Datendiebstahl von Innen & Gegenmaßnahmen
Gegenüber Angriffen von Innen können technische Maßnahmen ein geeignetes Hilfsmittel darstellen. Einige davon setzen beim Endgerät an. Bei der Hardware gehen die Maßnahmen in Richtung der Anschlüsse von externen Medienträgern. So sind bei einer vorbelasteten Schweizer Großbank an Rechnern, die kritische Informationen beherbergen, keine USB-Slots vorhanden. Mit der Steuerung und dem Logging der Datenübertragung auf bewegliche Medien oder Drucker kann der Abfluss nicht verhindert werden. Es kann so aber ein detektiver Schutzmechanismus etabliert werden. Bei Applikationen bieten sich Einschränkungen der Export-, Save-, und Reporting-Funktionalitäten an. Der gesamte Umgang mit Wechseldatenträgern und mobilen Geräten muss im Unternehmen aufbereitet und etabliert werden.
Ein Schritt in Richtung erhöhter Aufmerksamkeit kann mit Anwendungen erreicht werden, die das Nutzerverhalten erfassen und letztendlich Normales und Verdächtiges zu unterscheiden lernen. Untersucht werden dabei die Muster, mit denen Tastatur und Computermaus benutzt werden, welche Daten abgefragt werden und wie E-Mails versandt werden. Arbeitsrechtliche Bedenken sind dabei, je nach Rechtsprechung, augenfällig.
- USB-Sticks: Nützlich aber manchmal auch ein Datenleck
USB-Sticks: Universelle Medien zur Speicherung und zum Transport von Daten, die aber schnell zur Gefahr werden können, wie eine Studie von Kingston Technology zeigt. (Quelle: Kingston Technology) - USB Sticks in Gefahr
Virus- und Malware-Infektionen machen auch vor einem USB-Stick nicht halt. - Software-gestützte Verschlüssung auf (fast) allen Windows-Systemen.
Bitlocker To Go ist eine elegante Methode, USB-Sticks sicherer zu machen: Sie wird leider nur viel zu selten eingesetzt. - Bitlocker sichert den Zugriff
Kein Rankommen: Wurde der USB-Stick mit Bitlocker verschlüsselt, so muss der Nutzer zunächst das Passwort wissen oder die entsprechende Smartcard einsetzen, um den Inhalt zu entschlüsseln. - Bitlocker-Einsatz über GPO erzwingen
Administratoren können mit Hilfe eines Gruppenrichtlinien-Objekts (GPO) bindend festlegen, dass die Nutzer nur mittels Bitlocker verschlüsselte USB-Sticks verwenden dürfen. - Freeware Rohos Mini Drive
Rohos Mini Drive: Ein Beispiel für eine Freeware, die einen verschlüsselten Container auf einem USB-Stick anlegen kann. - Verschlüsselte Laufwerke einfach anlegen
Die Freeware Rohos Mini Drive ermöglicht es Nutzern mit wenigen Mausklicks Daten auf einem USB-Stick (bis zu 8 GByte in der freien Version) zu verschlüsseln. - Sicher wieder entschlüsseln
Rohos Mini Drive installiert eine ausführbare Datei auf dem USB-Stick, die dann das Entschlüsseln an jedem Windows-Rechner ermöglicht. Zudem bietet sie als Schutz vor Keylogger eine virtuelle Tastatur. - Prosoft SafeToGo 3.0
Ein gutes Beispiel für einen USB-Stick mit Hardware-Verschlüsselung mittels einen integrierten Onboard-CPU. (Quelle: ProSoft GmbH) - Hardware mit Tasten: Kingston Data Traveller 2000
Das Laufwerk wird mit einem Wort oder einer Nummernkombination über die alphanumerische Tastatur gesperrt. Der USB-Stick ist mit einer kompletten 256-Bit AES-Datenverschlüsselung im XTS-Modus ausgestattet. (Quelle Kingston Technology) - Zentrale Verwaltung der Kanguru-Sticks mittels Konsole
Wichtig für den professionellen Einsatz: Die verschlüsselten USB-Sticks können vom Administrator über eine zentrale Konsole verwaltet werden. (Quelle: Optimal Systemberatung GmbH)
Software-Produkte die auf das Erkennen und Stopfen von Datenlöchern ausgerichtet sind, fallen dabei in eine von drei Gruppen:
In der ersten Gruppe wird der Kontext von Datenflüssen untersucht, also die Verbindung selbst, deren Quelle, Ziel, Datentyp und Zeitstempel. Solche Lösungen können in Zusammenarbeit mit Firewalls oder IDS/IPS-Systemen den Datenverkehr notfalls blockieren oder eine Alarmierung vornehmen.
Bei Content-basierten Lösungen wird der Informationsgehalt von übermittelten Daten untersucht. Suchbegriffe können dann Kontonummern oder Postleitzahlen sein und Schwellenwerte für deren Häufigkeit in einem Datensatz festgelegt werden. Der Abgleich zwischen als kritisch festgelegten Inhalten und den untersuchten Daten erfolgt dabei vielfach über Hash-Werte. Dieser Ansatz hat sich bei strukturierten Daten als wirksam erwiesen. Weniger wirksam jedoch ist dieser Ansatz bei der Nutzung von Steganography oder ähnlicher Verschleierung von Daten.
Beim Content-Tagging, der dritten Technik, werden Datensammlungen nur in entsprechende geschützten Bereichen bereitgestellt und bearbeitet. Workstations oder Server werden regelmäßig nach kritischen Datensätzen abgesucht und mit der festgelegte Distribution Policy verglichen. Werden getaggte Datensätze außerhalb des geschützten Bereichs entdeckt, kann automatisch eine Quarantäne, Verschlüsselung oder Entfernung der Daten erfolgen.
Fazit: Auf die Organisation kommt es an
Wie am Beginn stehen auch am Ende eines möglichst wirksamen Schutzes vor Datenlecks nicht die Technik, sondern organisatorische Schritte. Bei jeder Entdeckung eines verdächtigen Vorfalls muss eine Benachrichtigung und Bewertung in Gang gesetzt werden. Ein solches Incident Management spiegelt sich auch zunehmend in den gesetzlichen Anforderungen vieler Länder wieder, wobei Datenlecks oftmals meldepflichtig sind. Innerhalb des Unternehmens überträgt sich die Aufarbeitung von Datenlecks in Lessons-Learned-Kanäle und eine gelebte Fehlerkultur.
Nach geschönten Jahresabschlüssen wurde 2002 in den USA das Sarbanes-Oxley (SOX)-Gesetz verabschiedet und in der Folgezeit gerichtlich ausgeweitet. Eine Vorgabe daraus ist der Schutz von Whistleblowern und die Verpflichtung für diese, die entsprechenden Eskalationskanäle (zum Beispiel Whistleblower-Hotline) zu etablieren. Beim Funktionieren dieser Hilfsangebote wären möglicherweise die Handlungen von Bradley Birkenfeld und dem Angestellten der Bank Julius Bär unterblieben.
Auch die Personal- und Lieferantenauswahl sollten in die Überlegungen eingebunden werden. Bezeichnend sind die Szenen aus der ARD-Dokumentation „Der große Steuerbetrug – Die Erlebnisse eines Whistleblowers" von 2015. Fast verstörend jovial berichtet der Protagonist von der Illoyalität gegenüber seinem Auftraggeber.
Der Brexit kann, wie teilweise bereits angekündigt, mit der Errichtung von Steueroasen gegenfinanziert werden. Dann ist eine ähnliche Motivation von Angriffen auf steuerrelevante Daten aus dem politischen und prominenten Umfeld wahrscheinlich.