Wie "funktionieren" Innentäter? Wir erzählen die Geschichten von sieben Angestellten, die die Systeme ihres eigenen Unternehmens kompromittiert haben.
Sie können so viele Mauern bauen wie Sie wollen und alle Ressourcen aufwenden, die Ihnen zur Verfügung stehen: Wenn Ihr Feind im Inneren des Gemäuers lauert, blüht Ihnen nichts Gutes. Die Chancen, dass Ihr Unternehmen es eines Tages mit einem Innentäter zu tun bekommt, stehen übrigens ziemlich gut: Laut McAfee liegt der Anteil der Insider an der Gesamtheit aller Sicherheitsvorfälle bei 43 Prozent. Das Information Security Forum beziffert den Innentäter-Anteil seinerseits auf 54 Prozent. Und laut einer Studie des Sicherheitsanbieters Balabit gehen 69 Prozent der befragten IT-Entscheider davon aus, dass Innentäter die größte Bedrohung für ihre Netzwerke darstellen.
Ihre Systeme gegen einen "Insider Threat" abzusichern, ist jedoch eine völlig andere Sache, als es gegen externe Gefahren zu wappnen. Denn die Bedrohungen sind äußerst schwierig zu definieren und zu identifizieren. Und mit besserem Soft- und Hardware Equipment lässt sich diesen ebenfalls nicht Herr werden. Gegen Mitarbeiter die zu Hackern mutieren und/oder den Datenklau anstreben helfen nur:Wissen, Strategien und interne Protokolle.
Der erste Schritt zur Härtung gegen Hackerangriffe von Innen besteht folglich darin, Ihren Feind kennen und verstehen zu lernen. Deshalb haben wir an dieser Stelle sieben ungeheuerliche Beispiele für Innentäterschaft zusammengetragen.
Autonomer Wandertag
Die Geschichte von Anthony Levandowski könnte signifikanten Einfluss auf die Wahrnehmung und Entwicklung autonomer Mobilität nehmen. Sie handelt mutmaßlich von einem der größten, bislang bekannt gewordenen Fälle von Datenklau durch einen Innentäter.
Levandowski arbeitet zunächst für Google an autonomen Autos - die Abteilung wird später zu Waymo. Dort ist er wesentlich an der Entwicklung eines Lidar-Systems beteiligt, damals eine essenzielle Errungenschaft für den gesamten Mobilitätssektor. Im Mai 2016 verlässt Levandowski Waymo, um mit Otto Motors sein eigenes Unternehmen zu gründen. Selbiges Unternehmen wird dann - überraschend kurzfristig - im Juli 2016 von Uber akquiriert.
In dieser Übernahme liegt dann auch der Knackpunkt der Geschichte: Es dauert nicht lange, bis Anschuldigungen die Runde machen, dass der damalige Uber-CEO, Travis Kalanick, sich hinter den Kulissen mit Levandowski zusammengetan hat, um an das geistige Eigentum von Waymo zu kommen und so sein eigenes Programm für autonomes Fahren auf die Straße zu bringen. Levandowski soll vor seinem Abgang bei Google tausende von Dokumenten und Dateien heruntergeladen und sie zu Otto Motors "mitgenommen" haben - mit dem Ziel sie an Uber zu veräußern. Google zieht daraufhin vor Gericht, Levandowski wird wenig später von Uber entlassen, weil seine Kooperationsbereitschaft bei der internen Untersuchung der Ereignisse scheinbar zu wünschen übrig lässt.
Im Februar 2018 einigen sich Waymo und Uber im Rahmen eines außergerichtlichen Vergleichs. Der jetzige Uber-CEO Dara Khosrowshahi entschuldigt sich öffentlich und verspricht, "der Integrität bei jeder zukünftigen Geschäftsentscheidung von Uber Priorität einzuräumen". Darüber hinaus erhält Waymo Aktienanteile im (geschätzten) Wert von 245 Millionen Dollar.
Business as usual
Dass es durchaus sinnvoll sein kann, beim Abgang eines Mitarbeiters Maßnahmen gegen Datenklau zu treffen, zeigt der Fall von Jason Needham. Der ist bis zum Jahr 2013 beim Ingenieurs- und Architekturbüro Allen & Hoshall in Memphis, Tennessee, USA angestellt. Dann beschließt er, seine eigene Firma zu gründen.
Das Problem dabei ist nur, dass Needham über den Zeitraum von zwei Jahren - unbemerkt (!) - weiterhin auf die Server seines ehemaligen Arbeitgebers zugreift. Dabei lädt er Entwürfe und Designstudien (geschätzter Wert: circa 425.000 Dollar) herunter und verschafft sich Zugang zum E-Mail-Konto eines Ex-Kollegen. Vor Gericht behauptet Needham später, er habe nur "aus Gewohnheit" und "Besorgnis" auf seine alten Projekte zugreifen wollen. Der Fakt, dass Needham zuvor einem potenziellen Kunden ein Angebot unterbreitet hat, das enorme Ähnlichkeiten zu einem von Allen & Hoshall aufweist, lässt die Aussage des Innentäters eher ungläubig wirken.
Mit Hilfe des FBI gelingt es Allen & Hoshall, die Innentäterschaft vor Gericht zu beweisen. Seine Lizenz ist Jason Needham inzwischen los, seine Freiheit auch: 18 Monate Gefängnis lautete das Urteil.
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Hilfe zur Selbsthilfe
Wieviel Schaden ein als vertrauenswürdig eingestufter Mitarbeiter anrichten kann, wenn er zum Innentäter wird, zeigt die Geschichte von Jiaqiang Xu. Der Chinese ist 2015 eine von wenigen, ausgewählten Personen, die bei IBM den Quellcode für ein Cluster-Dateisystem entwickelt. Die proprietäre Software ist für "Big Blue" so wertvoll, dass sie mit eigens entwickelten Schutzmaßnahmen gesichert wird.
Nachdem Xu sich das Vertrauen des Unternehmens erschlichen hat, fertigt er eine Kopie der IBM Software an, kündigt und bietet die Raubkopie zum Verkauf an. Um sein Heimatland zu unterstützen. Und sich selbst natürlich. Dummerweise offeriert Xu "seine" Software unwissentlich verdeckten FBI-Ermittlern. Denen bietet er an, den Quellcode so anzupassen, dass dessen ursprüngliche Quelle nicht zurückverfolgt werden kann. Kurz nach diesem Business Meeting wird der Übeltäter verhaftet.
Im Januar 2018 wurde Jiaqiang Xu wegen Diebstahl geistigen Eigentums und Industriespionage zu fünf Jahren Haft verurteilt.
"Das können wir jetzt auch"
Als Dejan Karabasevic seinen Job beim Energieunternehmen AMSC aufgibt und zum chinesischen Windturbinenhersteller Sinovel wechselt, ist das alles andere als ein normaler Vorgang. Denn als ehemaliger Chef der Abteilung, die bei AMSC für Windturbinen zuständig ist, hat er Zugang zu proprietärer Technologie, die wesentlich zu deren Effizienz beiträgt. Karabasevic wird daraufhin von Sinovel (bis zu diesem Zeitpunkt übrigens einer der größten Kunden von AMSC) mit dem Ziel abgeworben, diese Software "mitzubringen".
Das tut dieser dann auch, lädt die Software vor seinem Abgang auf einen externen Rechner - und wird so zum Werkzeug eines beauftragten Datendiebstahls. Nachdem Sinovel dann in Besitz des Quellcodes ist, rüstet das Unternehmen seine Windturbinen selbst mit der Technologie aus - und spart sich so circa 800 Millionen Dollar. Die Vorgänge fliegen erst auf, als ein weiterer Zulieferer, den Sinovel mit der Nachrüstung beauftragen will, misstrauisch wird.
Der Schaden für AMSC ist beträchtlich: Rund eine Milliarde Dollar Börsenwert lösen sich in nichts auf, knapp 700 Jobs gehen verloren (die Hälfte der weltweiten Belegschaft), wie beim resultierenden Gerichtsverfahren klar wird. In diesem Fall hätte ein einziger Innentäter durch den Diebstahl von geistigem Eigentum beinahe ein gesamtes Unternehmen zu Fall gebracht.
Schmieriges Spiel
David Kent baut ein Social Network für Experten aus der Ölindustrie namens Rigzone auf. Im Jahr 2010 verkauft er das Netzwerk an die DHI Group (damals noch Dice Holdings) - für 51 Millionen Dollar. Teil des Deals ist damals auch eine Wettbewerbsverbotsklausel. Diese Klausel respektiert Kent auch vorbildlich. Nachdem sie ausgelaufen ist, baut er eine ganz ähnliche Plattform namens Oilpro auf - in der Hoffnung, ein weiteres Akquisitionsziel für DHI zu schaffen. Ein paar Jahre später ist die Mitgliederzahl von Oilpro auf über 500.000 angewachsen und DHI bietet erneut für die Plattform - diesmal rund 20 Millionen Dollar.
Allerdings ist Kent nicht das Social-Networking-Genie, das er vorgibt zu sein, sondern ein krimineller Hacker. Mit der Hilfe eines ehemaligen Kollegen (jetzt Mitarbeiter bei Rigzone) kompromittiert er die Seite, die er vorher veräußert hat und stiehlt 700.000 Kundendatensätze.
Das fliegt nur durch Zufall auf, als sich ein Rigzone-Kunde über Spam-Mails von Oilpro beschwert, obwohl er mit letzterer Plattform nie zuvor etwas zu schaffen hatte. Bei Rigzone setzte man daraufhin einige Fake Accounts auf, um den Schuldigen in die Falle zu locken. Das Ende vom Lied: FBI-Ermittlungen, Gerichtsverfahren, drei Jahre Haft für David Kent.
Wie Sie Phishing-E-Mails erkennen
Ignorieren Sie E-Mails, die zur Eingabe vertraulicher Daten auffordern! <strong>Merkmal:</strong> Um eine möglichst hohe Öffnungsquote zu erreichen, wird oft versucht, Angst zu erzeugen in der Hoffnung, dass der Nutzer auf diese Weise seine übliche Vorsicht aufgibt. Besonders beliebt ist der Trick, eine Sperrung des Kontos (bei der Bank, bei PayPal oder bei Facebook) oder der Kreditkarte vorzutäuschen – verbunden mit der Aufforderung, sich auf eine von der E-Mail aus verlinkten Seite anzumelden, um die Sperrung aufzuheben. Meist versuchen die Betrüger auch, einen zeitlichen Druck aufzubauen, indem sie behaupten, die Eingabe der Daten müsse in den nächsten 24 Stunden erfolgen.<br /><br /> <strong>Tipp:</strong> Generell versenden Banken, aber auch Kreditkartenunternehmen und Online-Bezahldienste keinerlei E-Mails, die zu einer Seite verlinken, auf denen Sie Ihre Kontodaten eingeben sollen. Löschen Sie die E-Mail sofort und klicken Sie keinesfalls auf den Link! Schon der bloße Besuch der Seite kann zu einer Infektion mit einem Virus oder Trojaner führen (Drive-by-Download)!
Überprüfen Sie, ob die Website gesichert ist! <strong>Merkmal:</strong> Webseiten, auf denen wichtige Daten eingegeben werden sollen, sind in der Regel durch eine sichere Verbindung geschützt. Dies lässt sich daran erkennen, dass die Web-Adresse (URL) mit https:// statt mit http:// beginnt. Verweist eine E-Mail, die zur Eingabe vertraulicher Daten auffordert, auf eine ungesicherte Website, ist diese mit hoher Wahrscheinlichkeit gefälscht. Oftmals verbergen die Phisher die tatsächliche Ziel-URL jedoch hinter einer angeblich gesicherten Scheinadresse.<br /><br /> <strong>Tipp:</strong> Überprüfen Sie, wohin der Link tatsächlich führt: mittels Rechtsklick auf den Link und Auswahl von „Eigenschaften“ oder, wenn Sie den Link bereits angeklickt haben, durch Überprüfung der Adresse in der Adresszeile. Auch hier gilt: Im Zweifel den Link nicht anklicken und die E-Mail löschen!
Achten Sie auf die genaue Schreibweise der URL! <strong>Merkmal:</strong> Um an ihr Ziel zu kommen, müssen die Phisher den Anschein erwecken, die E-Mail sowie die Seite, auf welcher der Nutzer seine Daten eingeben soll, wären echt und gehörten dem angeblichen Absender. Daher wählen sie Adressen, die auf den ersten Blick wie eine echte Adresse, beispielsweise der Bank, aussehen. Dabei werden von der Bank nicht benutzte, aber plausibel erscheinende Adressen verwendet (z. B. www.sparkasseonline. de) oder unauffällige Schreibfehler eingebaut ("postank" statt "postbank").<br /><br /> <strong>Tipp:</strong> Achten Sie immer auf die Schreibweise der URL (auch schon im E-Mail-Absender!) und überprüfen Sie diese auf Schreibfehler! Überprüfen Sie auch, welche URL das Unternehmen normalerweise hat (durch Vergleich mit der Website oder mit echten E-Mails)!
Achten Sie genau darauf, welche Daten Sie eingeben sollen! <strong>Merkmal:</strong> Zugänge zu Online-Konten, aber auch der Einsatz von Kreditkarten benötigen meist ein mehrstufiges Authentifizierungsverfahren. Bei Online-Konten sind das beispielsweise Kontonummer und TAN, bei Kreditkarten Kartennummer, Ablaufdatum und die dreistellige Prüfnummer. Als sichere Alternative gibt es seit einiger Zeit auch die Verifizierung über das so genannte 3D-Secure-Verfahren (z.B. „Verified by Visa“).<br /><br /> <strong>Tipp:</strong> Werden Sie aufgefordert, mehr als eine TAN oder sowohl ihre Prüfnummer als auch die 3D-Secure-ID einzugeben, handelt es sich um Phishing. Seriöse Websites verlangen nie beide Daten gleichzeitig.
Nicht nur Konto- und Kreditkarten-Phishing ist gefährlich! <strong>Merkmal:</strong> Schon längst beschränkt sich das Interesse der Phisher nicht mehr nur auf Bank- oder Kreditkartendaten. Generell ist jeder Zugang zu Online-Diensten interessant, sei es das Webmail-Konto, der Zugang zu sozialen Netzwerken, selbst Business-Dienste wie Google AdWords. Dabei nutzen beispielsweise Spammer die erbeuteten Daten, um Kampagnen für eigene Seiten zu schalten – auf Kosten der betrogenen Nutzer.<br /><br /> <strong>Tipp:</strong> Behandeln sie alle Zugangsdaten zu Internetdiensten vertraulich, auch wenn sie Ihnen nicht wichtig erscheinen! Angebliche E-Mails von Facebook oder Hotmail können genauso gefährlich sein wie solche von Ihrer Bank.
Die Wutprobe
Wie gefährlich verärgerte Mitarbeiter für ein Unternehmen werden können, zeigt die Story um Christopher Grupe. Der ist bis zum Dezember 2015 System Administrator bei der Canadian Pacific Railway (CPR). In erster Linie zeichnet er sich dabei aber durch seinen Nicht-Teamgeist aus, weswegen er zuerst suspendiert und im Anschluss gefeuert wird. Irgendwie schafft es Grupe aber dennoch, seinen Boss davon zu überzeugen, dass er selbst kündigen darf. Bevor er seinen Arbeitsrechner zurückgibt, nutzt er ihn aber noch, um sich Zugang zum Unternehmensnetz zu verschaffen, löscht dort verschiedene Dateien von essenzieller Bedeutung, entfernt Administratorrechte und ändert Passwörter. Anschließend löscht er die Festplatte seines Computers, um seine Spuren zu verwischen.
Das Netzwerk bricht in der Folge zusammen - das IT Team hat keinerlei Zugriff mehr auf die Systeme und muss tatenlos zusehen. Nachdem es über Umwege schließlich gelingt, die Systeme zur Räson zu bringen, heuert CPR einen externen Dienstleister für die Untersuchung der Vorfälle an. Logdateien entlarven schließlich den Innentäter, der in der Konsequenz für ein Jahr hinter schwedische Gardinen wandert.
IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Viele Wege führen zum Datenklau
Manchmal kommt es vor, dass der Innentäter nicht wirklich "inside" ist und auch nicht wirklich für den "breach" verantwortlich zu machen ist. Das lässt sich hervorragend am berüchtigten Target-Datenklau aus dem Jahr 2014 veranschaulichen, bei dem die Anschriften, Telefonnummern, E-Mail-Adressen und Kreditkartendaten von circa 70 Millionen Menschen gestohlen werden.
Kriminelle Hacker haben es zuvor geschafft, die Point-of-sale-Gerätschaften von Target-Filialen mit Software auszustatten, die die eingegebenen Daten aufzeichnet. Um an die Daten ranzukommen, brauchen die Cybergangster nur noch eines: Zugang zum Unternehmensnetz. Und den holen sie sich, indem sie ein schwächeres System angreifen.
Bei diesem System handelt es sich um das eines Zulieferers von Target: Fazio Mechanical. Ein Mitarbeiter des Zulieferers fällt auf eine Phishing-Mail herein, Sekunden später befindet sich eine Malware namens Citadel im Netzwerk. Die späht die Login-Daten aus, die nötig sind um Zugang zum Netz von Target zu erhalten. Der Rest ist Geschichte.