20080102zb Comco Schutz gegen interne Datenspionage

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

Leitfaden

Schutz gegen interne Datenspionage

Die Hälfte der deutschen Unternehmen ist in den vergangenen beiden Jahren mindestens einmal Opfer von Wirtschaftskriminalität geworden. Zu diesem Ergebnis kommen die Unternehmensberatung PricewaterhouseCoopers und die Universität Halle-Wittenberg in einer gemeinsamen Studie. Ihr zufolge wurden in 49 Prozent der befragten Unternehmen Spionage, Korruption oder Betrug entdeckt. 2005 waren es 46 Prozent, 2003 noch 39 Prozent. Hinzu kommt eine Dunkelziffer unentdeckter Fälle. Doch der Schaden ist auch so schon immens: In der Studie kommen die Forscher auf eine Summe von mindestens sechs Milliarden Euro, die Wirtschaftskriminelle pro Jahr allein in Deutschland anrichten.

Diese Ergebnisse decken sich tendenziell mit den Erkenntnissen des Bundeskriminalamtes. Danach ist die Wirtschaftskriminalität in Deutschland statistisch auf dem Vormarsch. 2006 registrierte das BKA über 95.000 Fälle - das waren 7,5 Prozent mehr als im Jahr zuvor. Gleichzeitig wuchs die Schadenssumme um 2,8 Prozent auf rund 4,3 Milliarden Euro. Damit machte die Wirtschaftskriminalität im vergangenen Jahr zwar nur 1,5 Prozent der Delikte, aber über die Hälfte (53 Prozent) des gesamten Kriminalitätsschadens aus. Einen steilen Anstieg zeigten die Taten mit Hilfe des Internets, die sich auf 9.700 Fälle verdoppelten.

Letztlich erst aufgeschreckt durch solche Meldungen, widmen sich die Unternehmen zunehmend mehr dem Schutz vor internem Datenmissbrauch. Aber wegen der komplexen Kommunikationsmatrix der lokalen Netzwerke lässt sich mit klassischen Methoden kaum ausreichender Schutz schaffen.

Dieser Leitfaden soll deshalb darin unterstützen, sowohl die aktuelle Situation hinsichtlich der internen Sicherheitsbedingungen in den Unternehmen zu beleuchten als auch die möglichen Lösungsszenarien fachlich zu betrachten, um vor diesem Hintergrund eigene Handlungserfordernisse abzuleiten. Hierfür dient auch eine Checkliste zur Selbstanalyse: Je zahlreicher es dabei zu Nein-Nennungen kommt, desto deutlicher zeichnet sich das Erfordernis ab, adäquate Maßnahmen zur Optimierung der internen IT-Sicherheit vorzunehmen.

Problematischer Security-Status

Die meisten Unternehmen bezeichnen ihren gegenwärtigen Schutz gegen Sicherheitsrisiken durch Mitarbeiter als unzureichend. Nach einer Erhebung der COMCO AG gestehen sie mehrheitlich einen zu lässigen Umgang mit diesem Problem, aber auch Unkenntnis wirksamer Lösungen ein. Ein beträchtlicher Teil der Firmen gibt zudem an, dass eine zu intensive Kontrolle des Personals ihrer Unternehmenskultur wider-sprechen würde. Der Unter-suchung zufolge erachtet es mehr als die Hälfte der über 300 befragten Mittelstands- und Großunternehmen als »sehr schwierig«, die potenziellen Sicherheitsbedrohungen durch Mitarbeiter wirksam zu unterbinden. Ein weiteres Viertel sieht hierbei etwas geringere, aber immer noch »schwierige« Bedingungen. Entsprechend selten sind ausreichende Schutzmechanismen in den Firmen anzutreffen. Sie sind nach dem Urteil von 28 Prozent der befragten Firmen »sehr problematisch«, bei zusätzlich 49 Prozent entsprechen sie nur teilweise den Anforderungen. Eine zufrieden stellende oder sogar optimale Situation herrscht nicht einmal in jedem vierten Fall vor.

»Der Blick war zu lange ausschließlich auf die möglichen Bedrohungen durch die Außenwelt beschränkt«, sieht Udo Kalinna, Vorstandsvorsitzender der COMCO AG, den Grund für die weit verbreiteten Defizite beim Schutz gegen so genannte Innentäter. Dabei sei das Thema Wirtschaftskriminalität kei-neswegs neu, sondern lediglich vernachlässigt worden. »Der Umfang mit den Gefahren und die Konsequenzen von Datenmissbrauch haben sich parallel zur Digitalisierung der Unternehmensprozesse entwickelt«, urteilt Udo Kalinna. »Die Notwendigkeiten sind zwar erkannt worden, aber diese Einsicht bleibt häufig unverbindlich und mündet noch zu selten in ein konsequentes Handeln.«

Dies gestehen die meisten Unternehmen auch tatsächlich ein, wenn 57 Prozent selbstkritisch von einem zu lässigen Umgang mit den Fragen der internen Sicherheitsverhältnisse sprechen und darin eine der Ursachen für den gegenwärtig unbefriedigenden Status sehen. Noch mehr schreiben jedoch den fehlenden Ressourcen (59 Prozent) und einer unzureichenden Kenntnis angemessener Lösungen (62 Prozent) die Schuld zu. Auch mit fehlenden Investitionsmitteln wird von fast jedem Zweiten begründet, dass noch kein ausreichender Schutz vor internem Datenmissbrauch durch Mitarbeiter besteht.

Allerdings sind offenbar auch grundsätzliche Bewusstseinshürden noch zu überwinden. Denn zwei von fünf Firmen führen gleichzeitig an, dass zu viel Kontrolle der Unternehmenskultur widersprechen würde. In den Augen des COMCO-Vorstands Kalinna verstecken sich die Verantwortlichen damit jedoch hinter einem Alibi-Argument. »Bei den Zugangskontrollen zum Firmengelände oder zu sicherheitssensiblen Organisationsbereichen beispielsweise ist diese Frage zu Recht auch nie diskutiert worden, also warum sollte sie beim digitalen Schutz einen Hinderungsgrund für Maßnahmen darstellen«, will er diesen Aspekt nicht gelten lassen und fordert stattdessen zum Handeln auf: »Notwendig sind Security-Lösungen, die interne Angriffe schon im Ansatz erkennen und abwehren, noch bevor ein Schaden entsteht.«

 

Möglichkeiten und Grenzen alternativer Security-Konzepte

Die Besonderheit der internen Angriffe liegt in der sehr komplexen Kommunikationsmatrix lokaler Netzwerke. Während Schnittstellen zum Internet meistens über eine oder mehrere Firewalls realisiert werden, sind die Kommunikationspfade lokaler Netze weitaus vielfältiger, komplexer und performanter. Oftmals sind redundante Verbindungen oder vermaschte Infrastrukturen zu berücksichtigen, deren Design verschiedene und dynamische Kommunikationspfade ermöglicht und somit eine Paketanalyse erschwert. Darüber hinaus besteht das Problem, dass in lokalen Netzen zusätzliche Protokolle zu berücksichtigen sind, die dem Management der Infrastruktur dienen.

IDS-Lösungen

IDS-Lösungen gewährleisten wie Firewalls Schutz vor Angriffen, indem sie den gesamten Netzwerkverkehr auf allen Schichten nach bestimmten Angriffsmustern bzw. Anomalien durchfiltern. Dabei sind sie auf Sensoren an allen relevanten Punkten im Netzwerk angewiesen. In den meisten Fällen erfolgt die Angriffsdefinition durch Abgleich mit vorab definierten Angriffsmustern. Dieser Ansatz erfordert jedoch, praktisch alle Angriffsvarianten in jeglicher Modifikation für einen Abgleich verfügbar zu halten.

Ein weiterer Nachteil: Der Schutz des gesamten internen Unternehmensnetzes macht es erforderlich, an allen kritischen Netzpunkten Sensoren zu installieren. Sie müssen außerdem mit erheblicher Rechenleistung ausgestattet sein, um tatsächlich alle ankommenden Datenpakete aufnehmen und filtern zu können. Moderne Unternehmensnetze mit hoher Bandbreite überfordern deshalb vielfach die heute verfügbaren IDS-Sensoren, so dass kein zuverlässiger Schutz gewährleistet werden kann. Hinzu kommt die spürbare Belastung der Netzperformance bei lückenloser Sensorüberwachung. Zum anderen sorgt die Kommunikation der IDS-Komponenten untereinander für zusätzlichen Traffic, was zumindest in Teilbereichen ein Redesign des Unternehmensnetzes erforderlich machen kann.

Auch der hohe finanzielle Aufwand für die Anschaffung aller erforderlichen IDS-Komponenten dürfte Zweifel an der Wirtschaftlichkeit dieses Sicherheitsansatzes aufkommen lassen. Denn trotz eines hohen Investitionsaufwands in IDS-Systeme wird in aller Regel trotzdem kein Schutz vor noch nicht bekannten Angriffsarten geschaffen.

Schutzmechanismen in Netzwerkkomponenten

Ein anderer Lösungsansatz können prinzipiell intelligente Schutzmechanismen in Netzwerkkomponenten sein, die Manipulationen an den Adressbeständen erkennen und melden können. Dies macht Sinn und würde einen Basis-Schutz an jedem verfügbaren Port realisieren. Allerdings existieren für solche Schutzmechanismen noch keine internationalen Standards und haben die führenden Hersteller noch keine miteinander kompatiblen Lösungen entwickelt. Darüber hinaus verlangt ein solcher Ansatz ein umfassendes Security Management, welches die gesamte Infrastruktur herstellerübergreifend verwalten kann.

Überwachung über SNMP und Syslog

Einen alternativen Lösungsansatz stellt die Verwendung des Simple Network Management Protokolls (SNMP) und Syslog dar. SNMP und Syslog sind in fast allen Netzwerken aufgrund ihrer Verwendung in Netz- und System-Management-Lösungen bereits aktiv. Die Technologie ist in nahezu allen Infrastrukturkomponenten (Switches, Routern) verfügbar und kann somit flächendeckend zur Überwachung eines jeden Ports im Netzwerk genutzt werden. Darüber hinaus lassen sich Komponenten wie   Firewalls, IDS, IPS, Server und ggf. PCs für die zusätzliche Überwachung beliebiger SNMP-Parameter oder Syslog-Meldungen einbinden.

Die Angriffsüberwachung kann somit jegliche kommunizierenden Komponenten einbeziehen. Dies gilt auch für neue Technologien wie Wireless LAN (WLAN) und Voice over Internet Protocol (VoIP), die ein zusätzliches und teilweise noch unbekanntes Angriffspotenzial in sich bergen. Denn alle Geräte lassen sich inventarisieren und anhand ihrer Adressparameter und zugehörigen Switchports lokalisieren.

Dies schafft die Möglichkeit, Adressmanipulationen beispielsweise durch ARP-Poisoning, IP-Spoofing etc. zu erkennen und Angreifer vom Netzwerk zu isolieren. Zudem bewirkt die Überwachung der gesamten Netzwerk-Infrastruktur, dass deutlich geringere Investitionskosten entstehen und auch der laufende Betrieb keine Verwaltung eines zusätzlichen Systems erfordert.

Maximaler Schutz bei geringen Investitionen

Einen solchen Ansatz verfolgt etwa die Lösung »IntraPROTECTOR« als ein übergreifendes Security Management System. Hierbei empfängt und behandelt eine zentrale Konsole nach definierten Regeln alle sicherheitsrelevanten Ereignisse der gesamten Security-Infrastruktur, korreliert diese und stellt sie in einem flexiblen Alarm-Center nebst Reporting zur Verfügung. Der modulare Aufbau beinhaltet eigene Subsysteme zur Erkennung und Behandlung von internen Angriffen auf Infrastrukturkomponenten, die mit herkömmlichen Security-Lösungen nicht erkannt werden können.

»IntraPROTECTOR« wird an einem Port des lokalen Netzwerks angeschlossen und überprüft ARP-Caches und Forwarding-Tabellen der Infrastruktur mittels SNMP-Abfragen. Jede durch dieses Sicherheitssystem abgefragte Komponente - in der Regel Switches, Router und Server - wird als Sensor bezeichnet. Die gesammelten Informationen liefern einen Aufschluss über die Adressparameter der im Netzwerk kommunizierenden Geräte und die Topologie des Netzwerks. Damit ist eine lückenlose Identifizierung und Lokalisierung jeglicher im Netzwerk kommunizierenden Systeme möglich. Adressmanipulationen wie beim ARP-Poisoning und ARP- oder MAC-Spoofing werden unmittelbar nach Abfrage der Sensoren erkannt.

Die Datenbank des Systems speichert umfassende Informationen über alle kommunizierenden Teilnehmer des Netzwerks und diese können für das Inventory- und Asset Management bereitgestellt werden. Zusätzlich bietet das System Abfragemöglichkeiten für sämtliche Parameter von Systemen wie Server, PCs, Switches, Router, Firewalls und IDS/IPS.

Zudem besteht ein besonderes Access Control für die Überwachung des Netzwerkzugangs. Diese Lösung umgeht das Problem, dass die Integration eines typischerweise auf dem Standard 802.1x basierenden Zugangssystems häufig aufgrund der proprietären Spezifikationen einen erheblichen Aufwand erzeugt. Die Access Control-Lösung von »IntraPROTECTOR« verlangt keine Konfigurationen an Endgeräten und kann dadurch im Vergleich zu 802.1x-Lösungen schneller und kostengünstiger implementiert werden.

© COMCO AG

 

Checkliste zur Selbstanalyse

Die nachfolgenden Fragen zur Selbstanalyse dienen einer tendenziellen Bewertung der individuellen Ist-Bedingungen. Je zahlreicher es dabei zu Nein-Nennungen kommt, desto deutlicher zeichnet sich das Erfordernis ab, adäquate Maßnahmen zur Optimierung der internen IT-Sicherheit vorzunehmen.

 

 

Ja

Nein

Bestehen verbindliche Regelungen zur internen Informationssicherheit?

Können alle sicherheitsrelevanten Policies technisch umgesetzt werden?

Werden in festem Rhythmus und systematisch Risikoanalysen zur Informationssicherheit durchgeführt?

Können Verletzungen der Policies detailliert festgestellt werden?

Gibt es eine organisatorische Trennung von Security und Administration?

Sind in bestehenden Dienstleistungsverträgen Sicherheitsmaßnahmen und -verfahren berücksichtigt?

Gibt es eine Inventarisierung, die alle wichtigen Informationswerte enthält?

Sind diese Informationswerte nach ihrem Schutzbedarf definiert?

Sind in den Verträgen mit Geschäftspartnern überprüfbare Datenschutzregeln enthalten?

Gibt es festgelegte Regeln, nach denen Art, Umfang und Kosten von Sicherheitsvorfällen quantitativ erfasst werden?

Gibt es ein Genehmigungsverfahren für die Mitnahme von IT-Systemen / Software / Informationen aus den Geschäftsräumen?

Gibt es dokumentierte Arbeitsanweisungen für die Systemverwaltung der IT- und Kommunikationssysteme?

Gibt es schriftlich festgelegte Verfahren, nach denen Sicherheitsvorfälle behandelt werden müssen?

Werden Sicherheitsvorfälle analysiert und systematisch dokumentiert?

Gibt es schriftlich festgelegte Regeln für die Erstellung von Sicherheitskopien geschäftswichtiger Datenbestände?

Gibt es kontinuierlich überprüfte Regeln, nach denen der Informationsaustausch mit Dritten vorgenommen wird?

Gibt es schriftlich fixierte Anforderungen an die Kontrolle des Zugangs zu Geschäftsinformationen?

Gibt es ein formales Anmelde- und Abmeldeverfahren für Benutzer von IT- und Kommunikationssystemen? 

Wird eine Beschränkung des Zugriffs auf Informationen von den Systemen vorgenommen?

Werden elektronisch übermittelte Daten bezüglich ihrer Herkunft automatisch geprüft?

Werden Ereignisse identifiziert, die den kontinuierlichen Geschäftsbetrieb stören können?

Ist die Geschäftsführung/der Vorstand umfassend über alle Haftungsrisiken im Hinblick auf IT-Sicherheit informiert?

 

Download Checkliste im Wordformat

Folgen Sie »manage it«

auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH