Über 80 Prozent der Firmen fühlen sich mehr durch interne als durch externe Angriffe bedroht. Dies ergab eine Umfrage von Secure Computing an der europäischen Sicherheitsmesse InfoSecurity 2008 in London. Mit Insider-Attacken sind sowohl der ungewollte Datenverlust als auch der absichtliche Diebstahl durch eigene Mitarbeiter gemeint. 34 Prozent der an der InfoSecurity 103 befragten IT-Verantwortlichen messen denn auch der Absicherung gegen interne Angriffe oberste Priorität zu und planen in diesem Segment die grössten Investitionen.
Die Umfrageergebnisse von Corporate Trust weisen in die gleiche Richtung. Das Beratungsunternehmen hat gemeinsam mit dem Handelsblatt und dem hamburgischen Büro für Angewandte Kriminologie eine Studie mit rund 7500 deutschen Unternehmen durchgeführt. Dabei wurden Insider Threats als grösste Gefahr für Industrie- und Wirtschaftsspionage identifiziert. Als Übeltäter stellte sich nämlich in rund einem Viertel aller aufgeklärten Spionagefälle ein eigener Mitarbeiter heraus. Es erstaunt daher wenig, dass 80 Prozent der Befragten künftig mit einem Anstieg des Spionage-Risikos rechnen.
In dasselbe Horn wie Secure Computing und Corporate Trust bläst eine letztjährige Deloitte-Studie. Dabei gaben 30 Prozent der 169 befragten Finanzdienstleiter an, innerhalb der letzten zwölf Monate wiederholt Opfer von internen Angriffen geworden zu sein. Auch die Ergebnisse von Gartner zeichnen ein ähnliches Bild: Laut der Studie «Pervasive Security in a Connected World» vom April 2007 sind Insider Threats für rund 70 Prozent der Datenverluste in Unternehmen verantwortlich.
Die Angst vor internen Attacken erklärt sich mit der steigenden Komplexität von IT- und Kommunikationssystemen. Dadurch nimmt auch die Zahl der Personen zu, welche die Systeme verwalten und uneingeschränkten Zugriff auf das Firmennetz haben.
Mitarbeiter haben also ein leichtes Spiel, wenn sie Daten abgreifen wollen. Als Insider wissen sie, wie die physischen und technischen Sicherheitsmassnahmen funktionieren, können diese umgehen und gezielt Schaden anrichten.
Unterstützt werden solche Vorhaben zudem vom mangelnden Bewusstsein der Unternehmen. Laut Reto Baumann, Ethical Hacker und zertifizierter IT Security Specialist bei IBM Schweiz, ist dies das grundlegende Problem. Häufig werde erst reagiert, wenn die Daten schon gestohlen wurden.
Es drängt sich die Frage auf, wieso die Mitarbeiter überhaupt im eigenen Unternehmen spionieren. Die Motive reichen von Langeweile bis Rache. Insbesondere unzufriedene Mitarbeiter stellen ein Sicherheitsrisiko dar, da sie keine finanziellen oder sonstigen Anreize benötigen. Laut einer Studie des amerikanischen Computer Emergency Readiness Team (US-CERT) geht den meisten Insider-Angriffen ein negatives Erlebnis des Mitarbeiters voraus, wie beispielsweise die Verweigerung einer Gehaltserhöhung. Die Attacken werden gründlich geplant, wobei Hintertüren und Kontofreigaben eingesetzt werden. Der eigentliche Angriff erfolgt dann von aussen über das Netzwerk.
Laut Baumann gibt es zahlreiche Möglichkeiten, um an Informationen oder Daten zu gelangen. Ein grosses Gefahrenpotential sieht er beispielsweise bei mobilen Datenträgern mit nahezu unbegrenzter Speicherkapazität. Diese Hilfsmittel seien schnell angeschlossen und können unbemerkt transportiert werden. Auch Symantec empfiehlt in ihrem Security Threat Report, die Benutzung persönlicher Speichermedien innerhalb des Unternehmens einzuschränken.
Aber auch Mitarbeiter, die per sofort freigestellt seien und das Unternehmen sofort nach Erhalt der Meldung nicht mehr betreten dürfen, stellen gemäss Baumann ein Risiko dar. Hier müssen digitale sowie physische Zugangslösungen schnell dafür sorgen, dass der Mitarbeiter aus Ärger nicht noch wichtige Informationen kopiert. Mit dieser Meinung steht der IT Security Specialist von IBM Schweiz nicht alleine da. Verlässt ein Mitarbeiter das Unternehmen, egal ob freiwillig oder nicht, dann müssen alle seine Zugänge zum Netzwerk, den Systemen, Anwendungen und Daten sofort gesperrt werden, so das Computer Emergency Readiness Team (US-CERT).
Der durch unternehmensinterne Spionage entstehende Schaden ist nicht nur finanzieller Natur. Auch das Image der Firma wird in Mitleidenschaft gezogen. Zudem drohen im schlimmsten Fall rechtliche Konsequenzen, weil Compliance- und Policy-Vorgaben verletzt wurden. Unternehmen müssen sich also dringend vor Insider Threats schützen. Um den richtigen Weg zu finden, muss gemäss Giuseppe Cristofaro, Leiter Security and Privacy Services bei IBM Schweiz, jedes Unternehmen individuell analysiert werden, beispielsweise bezüglich Grösse, IT-Infrastruktur und Geschäftsfeld.
Als technische Lösungen empfiehlt er Identity und Access Management. So werde Mitarbeitern nur der Zugriff gewährt, den sie benötigen. Ausserdem könne man so die USB-Ports überwachen und das unbemerkte Kopieren von Daten verhindern. Ein ebenso wichtiger Bestandteil seien Reports, die die Zugriffe der Mitarbeiter auf sensible Daten festhalten.
Auch das US-CERT rät zum Zugriffsmanagement. Zudem sollten sich Angestellte nur in denjenigen Räumlichkeiten aufhalten dürfen, die sie für ihre Tätigkeit brauchen. Mit dieser Massnahme schützen sich Unternehmen vor allem gegen Übergriffe von temporären Mitarbeitern.
Ebenso bieten Traffic-Monitoring, Gerätekontrolle und Datenverschlüsselung Schutz vor Industriespionage. Dabei handelt es sich aber oftmals um einen Balanceakt zwischen dem Persönlichkeitsschutz der Mitarbeiter und der Bewahrung unternehmensinterner Informationen. Da die Überwachung der Mitarbeiter auch für das Betriebsklima kaum förderlich ist, ist es ratsam, sie in Grenzen zu halten.
Als weitere Schutzmassnahme empfiehlt das US-CERT, die einzelnen Aufgaben, Rechte und Pflichten auf mehrere Mitarbeiter aufzuteilen. So liege die Verantwortung nicht nur bei einer Person und das Risiko sinke, dass ein einzelner Angestellter Datenspionage betreibe. Die Hemmschwelle steigt, wenn man für einen Angriff die Hilfe eines Kollegen braucht. Diese Aufsplittung ist auch im Bereich der Entwicklung und Implementierung von Netzwerken, Systemen und beim Application Security Design hilfreich. So verhindern Unternehmen, dass das ganze Know-how bei einer Person gebündelt ist.
Neben all den technischen Lösungen darf man einen weiteren wichtigen Ansatz nicht vergessen. Auch die Sensibilisierung der Mitarbeiter und die strenge Umsetzung der Policies bilden einen wichtigen Bestandteil zum Schutz der Daten. Mit Hilfe von Awareness-Kampagnen und gezielten Schulungen sollen die Angestellten für das Thema Sicherheit sensibilisiert werden. Dieser Meinung ist auch Identity- und Access-Management-Experte Cristofaro. Für ihn spielt vor allem interne Werbung für IT-Security eine wichtige Rolle und sollte von der Unternehmensleitung unterstützt werden. So steigere man das Bewusstsein der Mitarbeiter – laut Cristofaro die Grundvoraussetzung, um Bedrohungen von innen begegnen zu können.
Im Rahmen der letztjährigen Deloitte-Studie gaben denn auch 78 Prozent der befragten Finanzdienstleister an, in den vergangenen zwölf Monaten mit ihren Mitarbeitern mindestens ein Awareness-Training über Sicherheit und Datenschutz durchgeführt zu haben.
Für Baumann sind die sogenannten Job-Rotations eine interessante Methode, um dem Informationsdiebstahl vorzubeugen. Dabei tauschen Angestellte für einige Zeit ihre Arbeitsplätze mit Kollegen. Oft fallen den neuen Mitarbeitern in einer Abteilung Unregelmässigkeiten eher auf, da die Routine den Blick auf Details noch nicht verstellt hat. Wichtig für den Erfolg der Job-Rotations sei allerdings eine offene Unternehmenskultur, die es zulässt, dass Mitarbeiter Verdachtsmomente den Vorgesetzten tatsächlich melden.
Allgemein gilt die Maxime: Je zufriedener ein Mitarbeiter ist, desto loyaler verhält er sich gegenüber seinem Arbeitgeber. Entscheidend für die Zufriedenheit sind Faktoren wie Lohn, Tätigkeit, Kompetenzen, Lob des Vorgesetzten und die Unternehmenskultur. Dies zeigt eine Benchmark-Studie zur Mitarbeitermotivation in der Schweiz, die das LINK Institut 2006 durchgeführt hat (Detailresultate bei luzern@link.ch erhältlich).
Ist ein Mitarbeiter motiviert und zufrieden, so startet er keine Insider-Attacken, um seinem Arbeitgeber zu schaden. Unternehmen können sich also auch mit Lob, guten Karrieremöglichkeiten, Teambildungs-Events und Mitarbeiterausflügen vor Attacken aus den eigenen Reihen schützen.
Obwohl das Thema Insider-Threats aktuell ist, fehlen konkrete Zahlen. Dies hängt laut Giuseppe Cristofaro damit zusammen, dass die meisten Fälle nicht gemeldet werden. Er geht denn auch von einer hohen Dunkelziffer aus.
Trotz verbesserten technischen Lösungen werden Mitarbeiter immer einen Weg finden, geheime Informationen aus dem Unternehmen abzuziehen und weiterzuverbreiten. Nach Einschätzung von Reto Baumann wird die Bedrohung durch Insider künftig zunehmen. Diese Entwicklung werde durch das organisierte Verbrechen unterstützt. Diese Organisationen seien bereit, grössere Geldbeträge zu bezahlen, um gewisse Informationen zu erhalten. Bereits heute gibt es im Internet Angebote, die Mitarbeiter pro installiertem «Schnüffler», einem kleinen Stück Software, pauschal mehrere hundert Dollar bieten, so Baumann. Je nach abgezogener Information werden sogar weitere Bezahlungen in Aussicht gestellt.
Dies spreche unter Umständen, je nach Summe, nicht nur verärgerte Mitarbeiter an, sondern auch andere, bislang loyale Kollegen. Daher werden in Zukunft die nicht-technischen Faktoren wie Mitarbeiterzufriedenheit und -bindung an Bedeutung gewinnen.
Baumann hält aber auch fest, dass die IT-Security ein dynamisches Feld ist – Schutzmassnahmen, die gestern noch sicher waren, sind es heute unter Umständen schon nicht mehr. Ausserdem sei es eine Gratwanderung, auf der einen Seite den normalen Geschäftsbetrieb nicht durch Sicherheitsmassnahmen einzuschränken und auf der anderen Seite ebendiesen trotzdem sicher zu gestalten. Erschwerend hinzu- kommen die je nach Land unterschiedlichen gesetzlichen Auflagen. Vor allem für internationale Unternehmen werde IT-Security so hochkomplex.
