Sicherheit aus neuer Perspektive - Teil 2
Absicherung gegen Innentäter
Geldgier, Geltungssucht oder Entlassung - die Angehörigen einer Organisation können sich aus vielen Gründen gegen die eigene Infrastruktur wenden. Wirtschaftsspione setzen alles daran, sich die Position eines Insiders zu verschaffen. Gegen interne Attacken helfen Single Sign-on und Digital-Rights-Management.
Noch vor etwa fünfzehn Jahren war es ungleich schwieriger als heute, Informationen aus einem Unternehmen herauszuschmuggeln, Produktions- und Wertschöpfungsabläufe zu stören oder Betriebs- und Kundendaten zu verfälschen. Die hochvernetzte, heterogene Informationswelt von heute vereinfacht solche Attacken erheblich. Andere Verletzungen der Informationssicherheit entstehen aus Ahnungslosigkeit oder beruhen auf Ignoranz.
Fallbeispiel Wirtschaftsspionage
Wirtschaftsspionage ist ernster zu nehmen, als viele Unternehmen glauben wollen. Ein Angriff aus dieser Motivation heraus ist außerdem inzwischen so leicht und preiswert geworden, dass Unternehmen jeder Größe und Bedeutung zum Ziel werden können. Möchte Unternehmen A Informationen aus der Entwicklungsabteilung von Unternehmen B haben, ist ein Angriff von außen, also über das Internet, meist der umständlichste Weg. Vor allem aufgrund der WLAN-Technik ist es viel einfacher, sich den Status eines Insiders zu verschaffen. Die Installation eines WLAN-Access-Points als Mittel der Wahl wurde im ersten Teil der Serie schon erwähnt, aber oft ist nicht einmal diese Mühe nötig. Vielleicht hat ein Mitarbeiter schon unerlaubt sein eigenes WLAN installiert und es nicht geschützt, oder ein falsch konfigurierter PC oder Laptop mit WLAN-Karte bietet einen bequemen Einstieg - der jeweilige Mitarbeiter hat dann entweder nicht gewusst, was er tut, oder vorhandene Richtlinien verantwortungslos ignoriert. Ein Laptop mit WLAN-Karte und eine Hochleistungsantenne genügen schon, um einen Unternehmenscampus auf entsprechende Einfallstore abzuscannen. Zu bedenken ist auch, dass die schlechte Arbeitsmarktsituation derzeit besonders günstige Möglichkeiten bietet, langfristig arbeitslose und entsprechend verzweifelte Informatiker für High-Tech-Delikte anzuwerben.
Der frisch gebackene Insider kann im Normalfall mit üblichen Hacking-Methoden große Erfolge erzielen, denn intern weist jedes Netz Verwundbarkeiten auf - und wenn es die altbekannten vergessenen Accounts sind, auf die der Hacker zugreift.
Eine völlig andere Methode ist und bleibt Bestechung. Gelingt es, Mitarbeiter eines Unternehmens auf diesem Weg als Helfer zu gewinnen, machen es Upload-Server, der verschlüsselte Skype-Kanal, USB-Speicher oder Notebooks leicht, die "bestellten" Daten zu übergeben.
Fallbeispiel Erpressung
Mit dem Szenario "illegales WLAN" werden Unternehmen außerdem leichter erpressbar. Über den Wireless-LAN-Zugang können Ziele auf dem Radar eines Angreifers auftauchen, deren Abschaltung, Störung oder Modifikation ein Unternehmen in ernsthafte Schwierigkeiten bringen kann: Produktionssysteme von Zulieferern, zentrale E-Commerce-Systeme und so weiter.
Die technischen Ziele sind Router, Switches, Serverfarmen und Datenbanksysteme, die oft unzureichend gepatcht und mit Standardpassworten geschützt sind. Auch in diesem Fall hilft internes Wissen über Kennworte und Topologien den Angreifern weiter. Ehemalige Insider speziell aus dem Bereich Administration der IT stellen hierbei eine besondere Bedrohung dar, falls diese vor dem Weggang Backdoors im Unternehmensnetz installiert haben - nach dem Motto: "Man weiß ja nie, wofür man es noch braucht!"
Rachegelüste und fehlendes Verantwortungsbewusstsein
Das Gefühl, ungerecht behandelt worden zu sein, kann leicht den Wunsch auslösen, dem Verursacher zu schaden. Im Unternehmen lassen sich solche Gelüste leicht und ohne Vorwarnung mithilfe der IT ausleben. Viele interne E-Mail-Server etwa sind so schlecht gegen Relaying geschützt, dass ein technisch versierter Mitarbeiter problemlos die Identität eines Kollegen oder Vorgesetzten stehlen kann, um dann beispielsweise dessen Adresse in anrüchigen Milieus in Umlauf zu bringen oder kompromittierende Mails an andere Organisationsangehörige zu schicken. Dies wiederum kann die Ermittlungsbehörden auf den Plan rufen, was für alle Betroffenen und die Organisation unangenehme Folgen hat und zu einem Reputationsverlust führt. Werden sogar Kunden- oder Patienteninformationen, Gehaltslisten der Manager oder ähnliche vertrauliche Daten veröffentlicht, ist der Schaden kaum abschätzbar.
Hinzu kommt, dass manche Mitarbeiter den Begriff "Persönlicher Computer" allzu wörtlich nehmen. Ich habe schon mehrfach das Kommunikationsverhalten von Mitarbeitern anonymisiert aufgezeichnet und analysiert - da werden pornografische Bilder und Videos heruntergeladen, in E-Bay mitgesteigert, Hobbyangebote Seite für Seite durchgegangen, die nächste Reise gebucht und per Skype telefoniert, gechattet und Files transferiert, die ein zentraler Virenscanner aufgrund des Skype-Tunnels nicht prüfen kann. Berichtet wurde auch schon über private Webserver im Unternehmen mit dubiosem Inhalt, die Benutzung von Tauschbörsen zum kostenlosen Download von copyrightgeschützten Titeln und andere Aktivitäten. Dass dabei auch die internen Mailadressen des Unternehmens verwendet werden, spürt man direkt an der Auslastung des Spam-Filters. Allein der Produktivitätsverlust beträgt bei 15 Minuten privaten Surfens täglich und 1000 Mitarbeitern schon 5000 Stunden pro Monat.
Aus der Perspektive der IT-Sicherheit sind aber noch andere Dinge relevant. Laptops, die mit nach Hause genommen werden, laufen dort in einer Umgebung, die der Systemverwalter nicht kennt und die deshalb als unsicher einzustufen ist. Der Administrator weiß nicht, wer Zugang zum Laptop hatte und was er damit angestellt hat. Kommt der Laptop zurück ins Unternehmen, schleppt der Benutzer damit vielleicht Würmer, Viren und Trojaner ein. Dass ein Laptop unbedingt kryptografisch und mit besonderem Zugangsschutz versehen werden sollte, versteht sich allein aus Gründen des Diebstahlsschutzes von selbst.
Digital-Rights-Managment als Informationsschutzmaßnahme
Gegen Verantwortungslosigkeit, Ahnungslosigkeit und Ignoranz helfen Motivation und Sicherheitstrainings (Siehe dazu auch den Beitrag "Die Mitarbeiter als Firewall", S. 56). Hinzu kommen Sanktionen, wenn trotzdem weiter wie bisher verfahren wird. Ein weiteres wichtiges Hilfsmittel ist Digital-Rights-Management. DRM verhindert, dass ein Externer mit Daten überhaupt etwas anfangen kann, die ihm unerlaubt zugänglich gemacht werden. Digital-Rights-Management steht für den Schutz von Dokumenten durch digitale Rechte, die ein Benutzer vergeben kann oder die ein Dokument per Default-Einstellung erhält. Dabei helfen Plug-ins, die in Text- oder Präsentationsprogramme oder PDF-Generatoren eingebunden sind. Beim Abspeichern des Dokuments in einem entsprechend ausgerüsteten System wird der Benutzer gefragt, welche Möglichkeiten andere Benutzer beim Umgang damit haben sollen. Diese Attribute werden auf dem Dokumentenauthentifizierungsserver abgelegt und mit dem Dokument verlinkt. Abschließend wird das Dokument verschlüsselt.
Erlaubt oder nicht erlaubt sein können beispielsweise:
Lesen, Schreiben, Löschen,
Ausdrucken, Weiterleiten, Screenshot,
Gültigkeit (Tage) und
Zugriff für einzelne Benutzergruppen.
Außerdem lässt sich zumeist ein genereller Sicherheitsgrad wie "vertraulich", "geheim", "öffentlich" oder "teilöffentlich" festlegen. Ruft ein anderer Benutzer das Dokument dann auf, wird mittels des Plug-ins das Dokument zunächst nur teilweise geöffnet. Das System prüft gegenüber dem Authentifizierungsserver, ob der Benutzer das Dokument überhaupt öffnen darf, und wenn ja, wie damit zu verfahren ist. Steht der Authentifizierungsserver nicht zur Verfügung, kann das Dokument überhaupt nicht geöffnet werden.
Wer zwei Authentifizierungsserver aufstellt, kann leicht zwischen vertraulichen internen Dokumenten (nur auf dem internen Authentifizierungsserver bekannt) und vertraulichen externen Dokumenten unterscheiden. Bekommt eine dem Authentifizierungsserver unbekannte Person ein geschütztes Dokument, kann diese es nicht öffnen. Dabei ist es gleichgültig, ob dem Interessenten die Datei per E-Mail oder per USB-Stick zugespielt wurde. Ist der interne Authentifizierungsserver nun zusätzlich auch per Internet erreichbar, bemerkt er den Öffnungsversuch, sofern der externe Interessent einen mit dem Internet verbundenen PC benutzt. Der Server kann dann einem Security-Operation-Center eine Alarmmeldung zustellen, dass interne Dokumente nach außen gelangt sind und dort aufgerufen werden.
Besonders hilfreich ist, dass sich einige Digital-Rights-Managementsysteme über "normale" Dokumente, E-Mails und Webseiten erstrecken. So lassen sich zum Beispiel Dokumente sperren, die Fehler enthalten, und E-Mails wieder einziehen. Machtlos ist DRM natürlich, wenn der Autor ein Dokument parallel in offener Form abspeichert und dann weitergibt.
Single Sign-on
Single-Sign-on-Verfahren (SSO) stellen sicher, dass Passworte öfter gewechselt werden, bei Verwendung der richtigen Policy schwieriger zu erraten sind und dass sie alle Systeme sichern, die eine Angriffsfläche bieten.
Ist SSO eingerichtet, meldet sich der Benutzer an einem zentralen System an. Dieses System sorgt dann mithilfe einer Routine auf dem PC dafür, dass sich der Benutzer von seinem Rechner aus automatisch an allen für ihn vorgesehenen Systemen anmeldet, natürlich jeweils mit unterschiedlichen Kennwörtern. SSO bewirkt auch, dass der Benutzer ein "knackiges" Passwort benutzen muss, welches schwerer zu erraten ist.
Der große Vorteil für den Benutzer ist, dass er sich nur ein Kennwort merken muss. Der Vorteil für den Administrator liegt darin, das SSO für ihn die Benutzer ein- oder austrägt. Der Vorteil für die Security schließlich ist, dass endlich mit toten Passwörtern und Accounts aufgeräumt werden kann. Mögliche Backdoors längst ausgeschiedener Administratoren verschwinden also.
Ideal ist es, wenn SSO mit den Systemen der Personalabteilung gekoppelt wird (Peoplesoft und andere Systeme). Dann können Rollen für Mitarbeitergruppen erstellt werden, und die Personalabteilung kann Prozesse anstoßen, bei denen ein neuer Benutzer in der Organisation automatisch die für ihn notwendigen Zugriffsrechte auf den erforderlichen Systemen und ein Initialpasswort erhält. Verlässt der Mitarbeiter das Unternehmen, ist mit einem Klick jeglicher Zugriff für ihn verlässlich gesperrt.
Weitere Maßnahmen gegen illegale Devices und die Zusammenfassung aller Maßnahmen zu einem System werde ich in den folgenden Serienteilen beschreiben.
Info: GTEN Tel.: 0811/998850 Web: www.gten.de
Lesen Sie mehr zum Thema
