Datenklau
Mitarbeiter, die zu Innentätern wurden
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Sie können so viele Mauern bauen wie Sie wollen und alle Ressourcen aufwenden, die Ihnen zur Verfügung stehen: Wenn Ihr Feind im Inneren des Gemäuers lauert, blüht Ihnen nichts Gutes. Die Chancen, dass Ihr Unternehmen es eines Tages mit einem Innentäter zu tun bekommt, stehen übrigens ziemlich gut: Laut McAfee liegt der Anteil der Insider an der Gesamtheit aller Sicherheitsvorfälle bei 43 Prozent. Das Information Security Forum beziffert den Innentäter-Anteil seinerseits auf 54 Prozent. Und laut einer Studie des Sicherheitsanbieters Balabit gehen 69 Prozent der befragten IT-Entscheider davon aus, dass Innentäter die größte Bedrohung für ihre Netzwerke darstellen.
Ihre Systeme gegen einen "Insider Threat" abzusichern, ist jedoch eine völlig andere Sache, als es gegen externe Gefahren zu wappnen. Denn die Bedrohungen sind äußerst schwierig zu definieren und zu identifizieren. Und mit besserem Soft- und Hardware Equipment lässt sich diesen ebenfalls nicht Herr werden. Gegen Mitarbeiter die zu Hackern mutieren und/oder den Datenklau anstreben helfen nur:Wissen, Strategien und interne Protokolle.
Der erste Schritt zur Härtung gegen Hackerangriffe von Innen besteht folglich darin, Ihren Feind kennen und verstehen zu lernen. Deshalb haben wir an dieser Stelle sieben ungeheuerliche Beispiele für Innentäterschaft zusammengetragen.
Autonomer Wandertag
Die Geschichte von Anthony Levandowski könnte signifikanten Einfluss auf die Wahrnehmung und Entwicklung autonomer Mobilität nehmen. Sie handelt mutmaßlich von einem der größten, bislang bekannt gewordenen Fälle von Datenklau durch einen Innentäter.
Levandowski arbeitet zunächst für Google an autonomen Autos - die Abteilung wird später zu Waymo. Dort ist er wesentlich an der Entwicklung eines Lidar-Systems beteiligt, damals eine essenzielle Errungenschaft für den gesamten Mobilitätssektor. Im Mai 2016 verlässt Levandowski Waymo, um mit Otto Motors sein eigenes Unternehmen zu gründen. Selbiges Unternehmen wird dann - überraschend kurzfristig - im Juli 2016 von Uber akquiriert.
In dieser Übernahme liegt dann auch der Knackpunkt der Geschichte: Es dauert nicht lange, bis Anschuldigungen die Runde machen, dass der damalige Uber-CEO, Travis Kalanick, sich hinter den Kulissen mit Levandowski zusammengetan hat, um an das geistige Eigentum von Waymo zu kommen und so sein eigenes Programm für autonomes Fahren auf die Straße zu bringen. Levandowski soll vor seinem Abgang bei Google tausende von Dokumenten und Dateien heruntergeladen und sie zu Otto Motors "mitgenommen" haben - mit dem Ziel sie an Uber zu veräußern. Google zieht daraufhin vor Gericht, Levandowski wird wenig später von Uber entlassen, weil seine Kooperationsbereitschaft bei der internen Untersuchung der Ereignisse scheinbar zu wünschen übrig lässt.
Im Februar 2018 einigen sich Waymo und Uber im Rahmen eines außergerichtlichen Vergleichs. Der jetzige Uber-CEO Dara Khosrowshahi entschuldigt sich öffentlich und verspricht, "der Integrität bei jeder zukünftigen Geschäftsentscheidung von Uber Priorität einzuräumen". Darüber hinaus erhält Waymo Aktienanteile im (geschätzten) Wert von 245 Millionen Dollar.
Business as usual
Dass es durchaus sinnvoll sein kann, beim Abgang eines Mitarbeiters Maßnahmen gegen Datenklau zu treffen, zeigt der Fall von Jason Needham. Der ist bis zum Jahr 2013 beim Ingenieurs- und Architekturbüro Allen & Hoshall in Memphis, Tennessee, USA angestellt. Dann beschließt er, seine eigene Firma zu gründen.
Das Problem dabei ist nur, dass Needham über den Zeitraum von zwei Jahren - unbemerkt (!) - weiterhin auf die Server seines ehemaligen Arbeitgebers zugreift. Dabei lädt er Entwürfe und Designstudien (geschätzter Wert: circa 425.000 Dollar) herunter und verschafft sich Zugang zum E-Mail-Konto eines Ex-Kollegen. Vor Gericht behauptet Needham später, er habe nur "aus Gewohnheit" und "Besorgnis" auf seine alten Projekte zugreifen wollen. Der Fakt, dass Needham zuvor einem potenziellen Kunden ein Angebot unterbreitet hat, das enorme Ähnlichkeiten zu einem von Allen & Hoshall aufweist, lässt die Aussage des Innentäters eher ungläubig wirken.
Mit Hilfe des FBI gelingt es Allen & Hoshall, die Innentäterschaft vor Gericht zu beweisen. Seine Lizenz ist Jason Needham inzwischen los, seine Freiheit auch: 18 Monate Gefängnis lautete das Urteil.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Hilfe zur Selbsthilfe
Wieviel Schaden ein als vertrauenswürdig eingestufter Mitarbeiter anrichten kann, wenn er zum Innentäter wird, zeigt die Geschichte von Jiaqiang Xu. Der Chinese ist 2015 eine von wenigen, ausgewählten Personen, die bei IBM den Quellcode für ein Cluster-Dateisystem entwickelt. Die proprietäre Software ist für "Big Blue" so wertvoll, dass sie mit eigens entwickelten Schutzmaßnahmen gesichert wird.
Nachdem Xu sich das Vertrauen des Unternehmens erschlichen hat, fertigt er eine Kopie der IBM Software an, kündigt und bietet die Raubkopie zum Verkauf an. Um sein Heimatland zu unterstützen. Und sich selbst natürlich. Dummerweise offeriert Xu "seine" Software unwissentlich verdeckten FBI-Ermittlern. Denen bietet er an, den Quellcode so anzupassen, dass dessen ursprüngliche Quelle nicht zurückverfolgt werden kann. Kurz nach diesem Business Meeting wird der Übeltäter verhaftet.
Im Januar 2018 wurde Jiaqiang Xu wegen Diebstahl geistigen Eigentums und Industriespionage zu fünf Jahren Haft verurteilt.