Gefahr aus den eigenen Reihen

Gefahr aus den eigenen Reihen

Artikel erschienen in IT Magazine 2008/12

Wieso schnüffeln Mitarbeiter?

Es drängt sich die Frage auf, wieso die Mitarbeiter überhaupt im eigenen Unternehmen spionieren. Die Motive reichen von Langeweile bis Rache. Insbesondere unzufriedene Mitarbeiter stellen ein Sicherheitsrisiko dar, da sie keine finanziellen oder sonstigen Anreize benötigen. Laut einer Studie des amerikanischen Computer Emergency Readiness Team (US-CERT) geht den meisten Insider-Angriffen ein negatives Erlebnis des Mitarbeiters voraus, wie beispielsweise die Verweigerung einer Gehaltserhöhung. Die Attacken werden gründlich geplant, wobei Hintertüren und Kontofreigaben eingesetzt werden. Der eigentliche Angriff erfolgt dann von aussen über das Netzwerk.


Eine weitere Risikoquelle sind Mitarbeiter, die sich nach einer neuen Stelle umsehen oder bereits gekündigt haben. Sie geraten rasch in Versuchung, Informationen weiterzugeben, um sich so beim neuen Arbeitgeber interessant zu machen. Während der verbleibenden Zeit beim alten Unternehmen können sie weiterhin wichtige Informationen sammeln.
Nicht immer aber geschieht der Datendiebstahl mit böser Absicht. Auch der Firma wohlgesinnte Mitarbeiter machen Fehler, und so kann es dazu kommen, dass Informationen unbewusst und vor allem ungewollt weitergegeben werden. Dies geschieht meist über Social-Engineering-Plattformen, Hacking oder eingeschleuste Malware.


Wie gehen Angreifer vor?

Laut Baumann gibt es zahlreiche Möglichkeiten, um an Informatio­nen oder Daten zu gelangen. Ein grosses Gefahrenpotential sieht er beispielsweise bei mobilen Datenträgern mit nahezu unbegrenzter Speicherkapazität. Diese Hilfsmittel seien schnell angeschlossen und können unbemerkt transportiert werden. Auch Symantec empfiehlt in ihrem Security Threat Report, die Benutzung persönlicher Speichermedien innerhalb des Unternehmens einzuschränken.



Aber auch Mitarbeiter, die per sofort freigestellt seien und das Unternehmen sofort nach Erhalt der Meldung nicht mehr betreten dürfen, stellen gemäss Baumann ein Risiko dar. Hier müssen digitale sowie physische Zugangslösungen schnell dafür sorgen, dass der Mitarbeiter aus Ärger nicht noch wichtige Informationen ko­piert. Mit dieser Meinung steht der IT Security Specialist von IBM Schweiz nicht alleine da. Verlässt ein Mitarbeiter das Unternehmen, egal ob freiwillig oder nicht, dann müssen alle seine Zugänge zum Netzwerk, den Systemen, Anwendungen und Daten sofort gesperrt werden, so das Computer Emergency Readiness Team (US-CERT).



Für Bill Whitney, CTO bei Ion Networks, steht der Open File Transfer ganz oben auf der Liste der gängigsten Methoden, die Insider für Angriffe nutzen. Wie er in einem Artikel in der Network World erläutert, werde Open File Transfer gebraucht, um die Netzinfrastruktur zu patchen. Dieser Zugriff ist aber kaum gesichert und lässt sich daher auch dazu nutzen, kritische Komponenten zu entfernen oder den Systembetrieb zu unterbrechen.



Bislang musste man auf jedem einzelnen System individuelle Berechtigungen einrichten, um den offenen File-Transfer zu beschränken und zu überwachen. Mittlerweile gibt es jedoch neue Techniken, etwa VAC-Systeme (Vendor Access Control), die den Zugang eindämmen und die Aktivitäten firmenweit kontrollieren können.



Des weiteren empfiehlt Whitney Unternehmen, die für den Remote Access auf Systeme von Drittanbietern zurückgreifen, ihre Telnet- und SSH-Ports (Secure Shell Ports) entweder zu schliessen oder hinreichend zu sichern. Ansonsten könne ein Techniker mit einer einzigen internen IP-Adresse in das Firmennetz gelangen. Als Schutz lassen sich zwischengeschaltete Systeme als Proxy nutzen, um Kontrolle und Nachvollziehbarkeit zu gewährleisten.



Häufig verbinden sich Techniker über serielle Konsolen-Ports, die Router und Linux/Unix-Server bereitstellen. Um skalierbaren Zugriff zu ermöglichen, nutzen sie Terminal-Server. Diese bieten standardmässig aber nur minimale Sicherheit. Mit dem Zugriff auf einen einzigen Terminal-Server kann sich ein Insider Zugang zu Tausenden Systemen verschaffen und diese lahmlegen. Deshalb empfiehlt Whitney den Unternehmen, Terminal-Server regelmässig auf ihre Sicherheitsfähigkeiten hin zu überprüfen und die Konsolen-Ports von Systemen mit Security-Devices zu sichern.


Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER