Gefährliche Insider-Attacken
Absolute Sicherheit gibt es nicht, auch nicht bei Daten. Selbst im militärischen Bereich gibt es ein Restrisiko, trotz immenser Investitionen in die Sicherheit. Das Ziel muss daher immer eine Abwägung zwischen den Risiken und den Kosten für ihre Entschärfung sein – die »risk mitigation«. Dabei ist in den vergangenen Monaten das Thema »Informationslecks« wieder in den Mittelpunkt der Diskussion gerückt.
Schutz vor Informationslecks
Dabei geht es darum, dass Informationen an die Öffentlichkeit oder an unerwünschte andere Personengruppen wie Mitbewerber oder den Staat gelangen, die eben nicht dort landen sollen. In den meisten Fällen werden diese Informationen bewusst oder unbewusst durch zugriffsberechtigte Personen herausgegeben. Angriffe von außen sind auch ein Problem, aber in den meisten Fällen nicht so schwerwiegend wie die Insider-Attacken.
Die Homepage des Analystenunternehmens Kuppinger Cole. Martin Kuppinger und Tim Cole beschäftigen sich mit Themen wie digitalen Identitäten, Identity und Access Management und GRC (Governance, Risk Management, Compliance).
Dabei geht es nicht nur um den bewussten Diebstahl wie bei den Daten von Bankkunden. Oft handelt es sich schlicht um menschliches Versagen. Unverschlüsselt transportierte Daten auf einem USB-Stick oder einer CD, die dann an einem öffentlichen Ort verloren werden, gehören genauso dazu. Solche Fälle gab es beispielsweise vor zwei bis drei Jahren mehrfach in Großbritannien.
Die Herausforderung ist also Informationssicherheit – und konkret der Schutz vor Informationslecks. Das Thema »Data Leakage Prevention«, kurz DLP, ist entsprechend für viele IT-Entscheider bereits ein Thema. Es deckt allerdings, soviel vorab, nur einen Teil der Problematik ab.
Datensicherheit bei Banken
Bisher wurden die Risiken oft unterschätzt. Gerade der Fall der Daten mit Bankkunden ist aber ein gutes Beispiel dafür, dass die Risiken sehr viel größer sind. Neben dem konkreten Schaden, der den Bankkunden, die Steuern hinterzogen haben, durchaus zu Recht entstehen kann, gibt es auch für die Banken erhebliche Risiken. Dass Steuerhinterziehung strafbar ist und sanktioniert werden muss, steht dabei auch außer Frage.
Das Risiko für die Banken ist zunächst ein Imageschaden. Dieser kann aber auch konkrete wirtschaftliche Folgen haben, da das erschütterte Vertrauen von Bankkunden sich auf den Netto-Neugeldzugang- respektive -abfluss auswirken kann, also darauf, wie viele Gelder zusätzlich angelegt werden. Ein Abfluss hat wiederum Folgen nicht nur für die Gewinnsituation von Banken, sondern beispielsweise auch für deren Fähigkeit zur Kreditvergabe. Letztlich können sich solche Fälle also sehr massiv auf die wirtschaftliche Leistungsfähigkeit auswirken.
Imageschaden fürs Unternehmen
Das gilt nicht nur für Banken, sondern auch für andere Unternehmen. Ein Wechsel von Kunden zu anderen Mobiltelefonanbietern bedeutet ebenfalls einen unmittelbaren und erheblichen wirtschaftlichen Schaden.
Dazu können auch noch weitere Kosten beispielsweise für Schadensersatz kommen. So hat ein Gericht in Liechtenstein unlängst entschieden, dass eine Bank für die verspätete Information von Kunden über gestohlene Daten Schadensersatz leisten muss, weil eine Selbstanzeige der Steuersünder nicht mehr möglich war. Rechtliche Sanktionen, auch durch die Verschärfung von Regelungen für den Umgang mit personenbezogenen Daten, sind ein nicht zu unterschätzendes Risiko.
Die taktischen Maßnahmen
Nun haben die meisten Unternehmen ja bereits Maßnahmen unternommen, um den Zugriff auf sensitive Daten zu kontrollieren. Offensichtlich reicht das aber in vielen Fällen nicht aus – vor allem bei Angriffen, die durch Mitarbeiter mit umfassenden Zugriffsberechtigungen ausgeführt werden. Andererseits kann man nicht innerhalb kürzester Zeit seine IT grundlegend verändern, sondern wird sich auf schnell einzuführende technische und ergänzende organisatorische Maßnahmen beschränken müssen.
Vier-Augen-Prinzip und Code-Reviews
Im organisatorischen Bereich zählen dazu die konsequente Durchsetzung von Vier-Augen-Prinzipien bei sensitiven Aufgaben und Code-Reviews – mit einem entsprechenden Auditing. Außerdem ist auch das IT-Management gefordert, sich intensiv Gedanken über die Situation und Vertrauenswürdigkeit von Mitarbeitern zu machen, um beispielsweise Unzufriedenheit als einen häufigen Auslöser von Informationsdiebstählen frühzeitig adressieren zu können.
Auch die Informationsklassifizierung ist sinnvoll, um besser abschätzen zu können, welche Informationen und Systeme wie geschützt werden müssen – etwas, das zwar im staatlichen und militärischen Bereich die Regel, im privaten Sektor aber immer noch eher die Ausnahme ist.
Privileged Access Management
Auf der technischen Ebene ist ein leistungsfähiges PAM-Konzept (Privileged Access Management) unabdingbar, um Zugriffe mit privilegierten Konten wie dem Root bei Unix und Linux besser kontrollieren zu können – und zwar nicht nur, ob und wer das Konto nutzen darf, sondern auch, welche konkreten Aktionen damit ausgeführt werden.
Verschlüsselung und Endpoint Security
Der Einsatz von Verschlüsselungstechnologien sowohl für Dokumente auf File-Servern wie auch für Daten in Datenbanken – über entsprechende »Database Security«-Produkte der großen Anbieter – ist ebenfalls zu prüfen. Verschlüsselung kostet Geld und Rechenzeit, aber Informationslecks eben auch.
Auch die Lösungen im Bereich der Endpoint Security und der DLP (Data Leakage Prevention) sind einen Blick wert. Allerdings bleiben dort oft noch viele Löcher übrig. Man muss daher genau überlegen, ob die Maßnahmen wirklich die tatsächlichen oder nur die gefühlten Risiken verringern.
Die strategischen Maßnahmen
Um sich auf Dauer besser gegen die Herausforderungen zu wappnen, gibt es vor allem vier Ansatzpunkte. Dazu zählt die Definition und Umsetzung einer Authentifizierungs- und Autorisierungsstrategie, die mit wenigen durchgängigen Schutzschichten arbeitet. Damit kann man Investitionen gezielt durchführen und Risiken besser identifizieren. Ein Teil davon muss auch die Minimierung der Nutzung von privilegierten Benutzerkonten sein.
»Wenn man Informationen zwar optimal verarbeiten, aber nicht schützen kann, ist die IT ein unkalkulierbarer Risikofaktor für Unternehmen.« Martin Kuppinger
Eher noch im Forschungsstadium stecken DLP-Ansätze für »data in use«, die also Daten auch bei der Verarbeitung schützen sollen. Unternehmen wie IBM und Microsoft arbeiten an solchen Themen mit interessanten Ansätzen. Bis man dieses Thema adressiert hat und Daten nicht nur »at rest« und »in move« schützen kann, wird aber noch einige Zeit vergehen.
Information Rights Management
Ein weiterer wichtiger Ansatzpunkt ist das Information Rights Management, also der Schutz von Dokumenten, eMails und so weiter direkt an der Information. Dazu werden diese verschlüsselt und mit Zugriffsberechtigungen versehen, so dass sie nur noch von berechtigten Benutzern in definierter Weise weiterverarbeitet werden können. Hier gibt es einige Lösungen im Markt, aber noch einen Mangel an Standardisierung und einige Hürden in der Umsetzung, vor allem bei Nutzung über die Unternehmensgrenzen hinaus. Und, nicht zu unterschätzen: Information R
ights Management schützt keine Daten in Datenbanken.
Externalisierung von Sicherheit
Schließlich muss man auch an der Softwarearchitektur ansetzen, um Anwendungen zu schaffen, die ein höheres Maß an Sicherheit und Kontrollierbarkeit bieten. Die Externalisierung von Sicherheit zu externen Diensten für die Verwaltung, Authentifizierung, Autorisierung und das Auditing ist ein Muss, ebenso wie eine Ende-zu-Ende-Sicherheit, die technische Benutzerkonten soweit wie möglich vermeidet.
Alle diese Maßnahmen benötigen aber Zeit in der Umsetzung – dennoch muss das Thema der Informationssicherheit ganz nach oben in jeder CIO-Agenda rücken. Denn wenn man Informationen zwar optimal verarbeiten, aber nicht schützen kann, ist die IT ein unkalkulierbarer Risikofaktor für Unternehmen.
(Martin Kuppinger/mt)
Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.
Kuppinger Cole ist Ausrichter der European Identity Conference 2010, die sich als Leitveranstaltung rund um diese Themenbereiche etabliert hat. Kuppinger hat darüber hinaus eine Vielzahl von IT-Fachbüchern und Fachartikeln veröffentlicht. Weitere Informationen finden Sie auf der Webseite .