IT-Sicherheit

Spionage im Firmennetz verhindern: 5 Tipps

Oft kommen Gefahren für das Firmennetz nicht von außen, sondern innen. Mitarbeiter gehen sorglos mit Daten um oder spionieren schlimmstenfalls. Nur konsequentes Rechtemanagement kann das verhindern.

Shutterstock Teaserbild

© shutterstock/everything possible

Mit den richtigen Strategien kann Spionage im Firmennetz ein Riegel vorgeschoben werden.

Das Problem Insider-Bedrohung wird in der Informationssicherheit immer brisanter. Man denkt vielleicht dabei sofort an Wirtschaftsspionage, Konkurrenten, die ein Unternehmen infiltrieren, oder böswillig agierende Mitarbeiter, die Informationen mitgehen lassen. Das kommt sicherlich vor. Die Realität von Insider-Bedrohungen ist weniger spektakulär, aber leider genauso gefährlich. Es ist ein heikles Thema, das gerne ignoriert wird: das Fehlverhalten von Mitarbeitern. Die meisten Unternehmen führen mittlerweile Schulungen und Aufklärungsprogramme durch. Und doch passieren immer wieder Fehler. Irren bleibt menschlich.

Laut dem 2014 Data Breach Investigations Report (DBIR) von Verizon stecken denn auch hinter den meisten Insider-Vorfällen (60 Prozent) keine bösen Absichten, sondern schlicht Fehler. Fehler, die Unternehmen im Durchschnitt 800.000 US-Dollar kosten (bit.ly/23xJBDM).

Ein Beispiel, das in der Praxis relativ häufig vorkommt, sind die Copy & Paster. Darunter versteht man Mitarbeiter, die unbeabsichtigt vertrauliche oder sensible Daten im Unternehmensnetzwerk verstreuen, wo solche Dateien nur darauf warten, gefunden zu werden. Oder ein Mitarbeiter ist in einem Bereich des Netzwerks unterwegs, der nicht für seine Augen bestimmt ist. Wenn auch ohne böse Absicht. Hat dieser Mitarbeiter über sein Benutzerkonto Zugriff auf die betreffenden Daten, dann hat im Ernstfall auch ein Hacker Zugriff. Jedenfalls wenn er die Login-Daten dieses Nutzers missbraucht.

Es liegt in der Natur des Menschen, sich eher vor dramatischen Risiken zu fürchten. In Wirklichkeit sind es aber viel häufiger alltägliche Bedrohungen, die uns schließlich zum Verhängnis werden. Es ist also mehr als an der Zeit, ein totgeschwiegenes Problem anzugehen. Die folgenden Empfehlungen helfen Unternehmen, den Fokus zu verändern: Nämlich sich nicht mehr länger auf den Mitarbeiter zu konzentrieren, sondern auf etwas, das sich leichter kontrollieren lässt: die Daten selbst.

1. Verzicht auf globale Zugriffsrechte

Globale Zugriffsrechte sind eine potenziell gefährliche Waffe. Daher sollte man sie ausschließlich bei Informationen einsetzen, die tatsächlich zu 100 Prozent öffentlich zugänglich sein dürfen. Viele Systeme bieten die Option, mithilfe bestimmter Gruppen wie Jeder oder Authentifizierte Benutzer in Windows globale Rechte für Informationen zu erteilen. Wenn Unternehmen Berechtigungen über eine solche globale Zugriffsgruppe gewähren, heißt das im Grunde: "Mir ist egal, was mit diesen Daten passiert." Es ist tatsächlich bereits vorgekommen, dass globale Zugriffsrechte für Ordner erteilt wurden, in denen Millionen von Kreditkarten- oder Sozialversicherungsnummern gespeichert waren. Verzichten Sie deshalb komplett auf solche globalen Zugriffsrechte.

2. Zu weit gefasste Berechtigungen aufheben

Bei einer aktuellen Umfrage des Ponemon Institute haben vier von fünf IT-Experten angegeben, dass in ihrem Unternehmen das Prinzip der minimalen Rechtevergabe nicht umgesetzt wird.

Berechtigungen im Netzwerk

© Weka/ Archiv

Setzen Sie genaue Berechtigungen im Netzwerk. Globale und zu weit gefasste Rechte sind ein hohes Risiko.

Das heißt, in den allermeisten Organisationen verfügen Mitarbeiter über deutlich mehr Berechtigungen als erforderlich. Damit ist zugleich die Angriffsfläche für den Missbrauch der Zugriffsrechte viel größer, als sie eigentlich sein müsste. Einige der Gründe:

  • Mitarbeiter wechseln in neue Positionen, andere Abteilungen, oder die Verantwortlichkeiten ändern sich
  • Temporäre Projekte erfordern häufig temporäre Berechtigungen
  • Beratungsverträge laufen aus
  • Zugriffsrechte werden versehentlich erteilt
  • Mitarbeiter verlassen das Unternehmen

Mit Wildwuchs bei den Zugriffsrechten schlagen sich die weitaus meisten Unternehmen herum. Er lässt sich schwer verhindern und noch schwerer beseitigen. Doch es sind nicht nur die Benutzer oder Software-Anwendungen, die über allzu großzügig vergebene Berechtigungen verfügen. Gibt es beim Webserver eine Schwachstelle und läuft er unter einem privilegierten Domänennutzer, der Zugriff auf das Dateisystem oder, noch schlimmer, auf Netzwerkfreigaben hat, wird aus der Sicherheitslücke in der Webserver-Software jetzt ein Insider-Problem.

Betrachten Sie Software am besten wie einen Insider und wenden Sie das Prinzip der minimalen Rechtevergabe genauso an. Den Berechtigungen von temporären Mitarbeitern, Lieferanten, Beratern und Projektteams sollte man in jedem Fall sofort ein Ablaufdatum zuweisen. Das sind zumindest einige Maßnahmen, um potenziellen Wildwuchs zu verhindern.

Selbst wenn Sie automatisch ablaufende Zugriffsrechte erteilen, zahlen sich regelmäßige Überprüfungen durch die Benutzer der jeweiligen Abteilungen aus. Diese Benutzer haben einen großen Vorteil: Sie kennen die Personen, die die Daten verwenden. Das ist bei IT-Administratoren unter Umständen nicht der Fall. Überlassen Sie Entscheidungen den Leuten, die den Kontext kennen. Das sollten dann auch diejenigen Nutzer sein, die Änderungen vornehmen.

3. Richten Sie warnende Benachrichtigungen ein

In der Gruppe der Domain-Administratoren sollte man regelmäßig Berechtigungsprüfungen durchführen, um sicherzustellen, dass sich keine unbefugten Mitglieder eingeschlichen haben. Äußerst hilfreich kann es auch sein, Benachrichtigungen für den Fall einzurichten, dass ein Benutzer der Gruppe hinzugefügt wird. Das sollte so selten der Fall sein, dass man dazu auf jeden Fall eine E-Mail oder SMS-Nachricht erhält. Einmal mehr, wenn das außerhalb eines Change-Zeitfensters geschieht.

Active Directory zu überprüfen ist praktisch lebensnotwendig, denn in zahlreichen Unternehmen liegt hier das Herzstück der Zugriffskontrolle. Wenn jemand über eine Active-Directory-Gruppe Berechtigungen zu kritischen Informationen erhält, dann sollte ein Unternehmen Bescheid wissen, wer den Benutzer wann und wie hinzugefügt hat. Anschließend sollte man anhand der Protokolle zur Dateianalyse beobachten, wie der Nutzer die neu hinzugewonnenen Zugriffsrechte einsetzt.

Local Group Policy Editor

© Weka/ Archiv

Überwachen Sie Ihr System und lassen Sie sich bei kritischen Ereignissen automatische Warnungen schicken.

Ein hilfreiches Tool ist die Analyse des Benutzerverhaltens. Avivah Litan von Gartner geht so weit zu sagen, dass sowohl der Sicherheitsvorfall bei Target als auch die Snowden-Enthüllungen durch die Analyse des Benutzerverhaltens hätten verhindert werden können. Es reicht bei Weitem nicht aus, ein vom Kontext losgelöstes Element zu betrachten, wie es bei herkömmlichen IPS-Systemen der Fall ist. Vielmehr geht es darum, die Ereignisse in ihrem jeweiligen Zusammenhang zu sehen. Ein Beispiel: Herr Schmidt hat vor fünf Minuten 250 Verträge gelöscht, und er arbeitet in der Kantine - hier sollten alle Alarmglocken schrillen.

Das Erstellen von Profilen zum normalen Verhalten jedes einzelnen Benutzers hilft dabei, den erforderlichen Kontext zu definieren. So grenzt man die normalen Aktivitäten jedes Nutzers ein, und Warnungen werden nur dann ausgelöst, wenn der Nutzer sich ungewöhnlich verhält.

Ein Hinweis: Das lässt sich nur mit einer Software zur Dateianalyse bewerkstelligen, die jedes Ereignis innerhalb der Filesharing- (und E-Mail-)Infrastruktur erfasst und analysiert. Einmal implementiert liefert eine derartige Software zusätzliche Information:

  • Identifizieren, wenn eine sensible Datei in einem öffentlichen Ordner erstellt worden ist, und diese automatisch unter Quarantäne stellen.
  • Warnungen einrichten, wenn bestimmte Schwellenwerte überschritten werden, beispielsweise wenn Tausende von Dateien innerhalb einer Minute kopiert werden. Das ist in der Regel ein Hinweis darauf, dass ein Nutzer einen massiven Copy/Paste-Vorgang auf ein potenziell nicht kontrolliertes Endgerät angestoßen hat: Exfiltration.
  • Das Erstellen oder Ausführen von .exe-Dateien durch normale Benutzer auf einem Server überwachen.

Es empfiehlt sich zusätzlich, das Netzwerk auf deutlich gesteigerte Aktivitäten außerhalb der üblichen Arbeitszeiten hin zu überwachen, ebenso Zugriffe auf Informationen, die nicht in den Speicherbereich der jeweiligen Abteilung gehören.

4. Stellen Sie Fallen mit Honeypots

Ein Honeypot ist ein freigegebener Ordner mit Daten, die ein potenziell lukratives Ziel darstellen und frei zugänglich sind. Er dient allein dazu, festzustellen, wer darauf zugreift. Das Rezept ist ziemlich einfach. Richten Sie zunächst einen freigegebenen Ordner ein, auf den jeder Nutzer zugreifen kann. So etwas wie: X:\Freigabe\Gehälter oder X:\Freigabe\CEO.

Dann lehnen Sie sich zurück und sehen zu, wer vielleicht darauf anspringt. Unter Umständen ertappen Sie neugierige Mitarbeiter, die nur ein bisschen stöbern, oder aber eine Malware in Aktion.

5. Überwachen Sie Nutzer und Daten mit hohem Risiko

Es ist sehr wichtig, zu wissen, wo sich die "Kronjuwelen" eines Unternehmens befinden. Dazu ist in der Regel Technologie erforderlich, um die Daten zu klassifizieren. Doch mit dem Ermitteln sensibler Daten alleine ist es nicht getan. Dass sich in einer Umgebung 700.000 unverschlüsselte Kreditkartennummern befinden, ist gut zu wissen (auch wenn es vielleicht eine Panikattacke auslöst), doch diese Information allein reicht nicht aus. Eine Software dieser Art beantwortet auch Fragen wie: Wem gehören die Dateien (nicht das Attribut Verfasser/Data Owner - doch wer besitzt sie wirklich)? Wer hat Zugriff darauf? Wozu werden diese Daten verwendet? Wurden diese Dateien geöffnet? Kopiert? Von wem? Wann?

Varonis Excess Permissions

© Weka/ Archiv

Mit speziellen Sicherheitstools vergeben, kontrollieren und analysieren Sie Zugriffsrechte der Anwender im Netz (hier: Varonis).

Sobald Metadaten den jeweiligen Kontext liefern, sind die Klassifizierungsergebnisse zunehmend handlungsrelevant. Dann ist es möglich, die Daten mit dem größten potenziellen Risiko ausfindig zu machen und zu priorisieren, die Berechtigungsstruktur zu überwachen, Zugriffsrechte generell häufiger zu überprüfen und Warnungen einzurichten, um Datenschutzverstöße oder Datenklau frühzeitig zu bemerken.

Neben dieser Art von Daten sollte man auch Benutzer mit einem potenziell hohen Risiko (wie IT-Administratoren) überwachen. Die Kontrolle von Administratoren ist nicht ganz trivial, da es in der Natur der Sache liegt, dass sie normalerweise umfassende Zugriffsrechte benötigen. Doch wenn ein Domain-Administrator E-Mails im Posteingang anderer Nutzer liest und diese anschließend als ungelesen markiert ??

Fazit

Ob Unternehmen es sich nun eingestehen oder nicht - einige der größten und zugleich häufigsten Bedrohungen kommen von innen. Und sind meistens alles andere als spektakulär. Firmen investieren enorm viel Zeit und Geld in Notfallpläne für die nächste große Katastrophe oder in die Installation der neuesten Sicherheitstechnologie, die ein zweites Heartbleed-Desaster zu verhindern verspricht. Doch viele übersehen oder unterschätzen die einfachen, jedoch nicht weniger wichtigen Bedrohungen durch menschliches Versagen oder den Missbrauch von Zugriffsrechten.

Mit den oben genannten Sicherheits-Empfehlungen ist es bereits möglich, die Anzahl der Sicherheitsvorfälle deutlich zu reduzieren. Der Fokus liegt auf den Daten, nicht darauf, die Nutzer dazu zu bewegen, ihre Gewohnheiten zu ändern.

Mehr zum Thema

telekom, logo
Operation Treasure Map

Das Treasure-Map-Programm der NSA bietet Zugriff auf Handys, Tablets und Computer. Betroffen sind Provider wie Telekom, Netcologne und mehr.
Ransomware Zerolocker
Cybercrime als Geschäftsmodell

Der Markt für illegale Dienstleistungen wächst. Das Organisierte Verbrechen verdient mit Hackern, Spammern und Cyber-Attacken riesige Summen.
Telekom-Logo
Telekom-Rechnung

Die Deutsche Telekom warnt wieder vor E-Mails, die sich als Telekom-Rechnungen tarnen. Mittlerweile existieren sogar Schreiben, in denen Betroffene…
Reiner SCT TimeCard Multi Terminal Touch
Zeiterfassung

92,0%
Wer eine bequeme Projetzeiterfassung braucht, wirft einen Blick auf den Reiner SCT TimeCard Multiterminal Touch. Wir…
Shutterstock Teaserbild
So geht's

Das kennt jeder: Auf einmal läuft Windows irgendwie anders und Systemeinstellungen wurden verändert. Doch wer ist schuld? Ein Update? Andere…