IT-Sicherheit

Gefahr aus den eigenen Reihen

14.06.2019
Von Sven Knop und Florian Wood
Für Firmen kann eine Lücke in ihrer IT-Infrastruktur das geschäftliche Ende bedeuten. Doch oft geht die größte Gefahr nicht von Hackern oder Wirtschaftsspionen aus, sondern von den eigenen Mitarbeitern.

Ob in der Automobilindustrie, im Maschinen- und Anlagenbau oder im Konsumgüterbereich – die Digitalisierung macht vor keiner Branche halt. Dies gilt auch für den Kern der Wertschöpfung eines jeden Unternehmens: sein geistiges Eigentum. In dem Maße, wie die Digitalisierung den Nutzen des geistigen Eigentums steigern hilft, setzt sie es gleichzeitig auch erhöhten Risiken wie beispielsweise Verlust oder Diebstahl aus. Dass es sich dabei nicht um eine rein theoretische Gefahr handelt, haben die Angriffe und Skandale der letzten Zeit gezeigt – mehr noch: Hundertprozentige Sicherheit ist in der digitalen Welt eine Illusion. Und genau deshalb ist IT-Sicherheit nicht nur ein technisches Problem. Vielmehr ist sie als Teil des Risikomanagements der Unternehmen anzusehen und zu behandeln. Und hier müssen neben der Technik ebenfalls Menschen und Prozesse mit einbezogen werden. IT-Security-Anbieter und Analystenhäuser haben in ihren Angeboten und Aussagen auf diese Entwicklung reagiert und ergänzen die Bedrohungsabwehr um immer mehr Lösungen und Konzepte zur Bedrohungsanalyse oder -aufklärung – alles unter der Annahme, dass Angriffe erfolgreich sind.

So erkennen Unternehmen einen Täter von innen

Dabei konzentriert sich die Diskussion um die IT-Sicherheit insbesondere auf Angriffe von außen. Nach Schätzungen des Bundesamts für Verfassungsschutz (BfV) kommen diese aber tatsächlich viel seltener vor als Attacken aus dem Unternehmen selbst: Das BfV spricht von einem Verhältnis von 70:30 zwischen Innen- und Außenangriffen. Experten verschiedener Sicherheitsfirmen kommen zu einer ähnlichen Einschätzung. Die Diskussion um IT-Sicherheit in Unternehmen spiegelt also mitnichten die tatsächliche Bedrohungslage wider.

Doch wie kann eine Firma die Risiken, die von Innentätern ausgehen, realistisch bewerten? Woran erkennt man einen Inside Job – vor allem vor dem Hintergrund des deutschen Arbeitsrechts, das eine Überwachung von Arbeitnehmern nur sehr eingeschränkt zulässt? Eine Antwort lautet hier: Man erkennt das Risiko eines Angriffs von innen an verdächtigem Verhalten, genauer gesagt an Abweichungen des Verhaltens gegenüber dem bisherigen, unauffälligen Verhalten eines Arbeitnehmers.

Wer darf im Unternehmen auf welche Daten zugreifen?
Wer darf im Unternehmen auf welche Daten zugreifen?

Einige Beispiele, die für einen potenziellen Angriff von innen sprechen: Ein Ingenieur greift auf Dateien zu – zum Beispiel für ein wichtiges Entwicklungsprojekt des Unternehmens –, die er üblicherweise nicht aufruft. Außerdem greifen Kollegen aus seiner Abteilung ebenfalls nicht darauf zu. Diese Aktion könnte ein Verdachtsmoment sein. Nur darauf lässt sich allerdings kein Vorwurf begründen und man könnte so einen falschen Alarm auslösen. Schließlich wäre es auch möglich, dass der Ingenieur vor Kurzem eine neue Aufgabe übernommen hat. Deshalb muss das Unternehmen weitere äußere Umstände berücksichtigen: Beispielsweise wenn der Arbeitnehmer die Dateien zu einer Zeit aufgerufen hat, zu der er niemals zuvor gearbeitet hat. Oder wenn er außerdem auf Dateien aus einem anderen – seit Monaten inaktiven – Projekt zugegriffen hat und wenn das bewegte Datenvolumen aus den verschiedenen Projekten ungewöhnlich hoch war. Je mehr Ereignisse mit hohem Risikowert ein einzelner Anwender in kurzer Zeit erzeugt, desto geringer ist die Wahrscheinlichkeit, dass es sich um einen Zufall oder falschen Alarm handelt.

Insider-Angriffe: Diese Daten sind gefährdet

Vertrauliche Firmeninfos (Finanz- und Kundendaten)

57,00%

Zugriffsdaten (Passwörter etc.)

52,00%

Persönliche Daten der Angestellten

49,00%

Geistiges Eigentum (Patente, Produktpläne)

32,00%

Arbeitnehmerinfos (Personalabteilung)

31,00%

Infrastrukturdaten (Netzwerkkontrolle)

27,00%

Per Bedrohungsanalyse Gefahren voraussagen

Verhaltensanalysen sollten genau aus diesem Grund nicht das einzelne Ereignis beleuchten, sondern Muster und Beziehungen, die durch das Verhalten der Anwender entstehen. So lassen sich Risiken oder Bedrohungen bestimmten Benutzern, Projekten und Zeiträumen unmittelbar zuordnen. Die Informationen sind immer und sofort verfügbar, sodass Aufwand und Kosten im Vergleich zu klassischen, forensischen Projekten deutlich sinken. Die Quelle dieser Informationen sind Versionierungslösungen zur Verwaltung geistigen Eigentums. Dabei fallen notwendigerweise Meta-Daten an, die als perfekte Grundlage für Verhaltensanalysen dienen können: Wer arbeitet gerade an welchem Objekt? Wer hat welche Datei ein- und ausgecheckt?

Geschäftliche Geräte wie Notebooks lassen sich zwar mit vielen Maßnahmen gegen Diebstahl sichern.
Geschäftliche Geräte wie Notebooks lassen sich zwar mit vielen Maßnahmen gegen Diebstahl sichern.

Freilich geben solche anonymisierten Verhaltensanalysen lediglich Hinweise auf eine eventuelle Straftat, liefern also keine juristisch verwertbaren Beweise. Allerdings sind diese Hinweise begründet und erlauben somit in Zusammenarbeit mit den Arbeitnehmervertretern eine fundierte Risikobewertung. Auf dieser Basis lässt sich dann entscheiden, ob dem Verdacht nachgegangen und die Anonymität im Einzelfall aufgehoben werden soll.

Führende Analystenhäuser sehen hier sogar eine neue Produktkategorie namens „user-based analytics“ (UBA). So wichtig also die Bedrohungsanalyse und -aufklärung zur Abwehr von Angriffen von außen sind, so wenig werden Unternehmen in Zukunft auf Verhaltensanalysen verzichten können. Denn nur so lassen sich Angriffe auf das geistige Eigentum von innen erkennen, bevor es zu spät ist.

Achtung vor Phishing-Mails

Manchmal werden interne Mitarbeiter unbeabsichtigt Komplizen von Angreifern, die die IT-Sicherheit eines Unternehmens attackieren. Denn sie öffnen E-Mails, die zur Eingabe vertraulicher Daten auffordern. Um eine möglichst hohe Öffnungsquote zu erreichen, wird oftmals versucht, Angst zu erzeugen in der Hoffnung, dass der Nutzer auf diese Weise seine übliche Vorsicht aufgibt. Besonders beliebt ist der Trick, eine Sperrung des Kontos (bei der Bank, bei Paypal oder bei Facebook) oder der Kreditkarte vorzutäuschen – verbunden mit der Aufforderung, sich auf einer von der E-Mail aus verlinkten Seite anzumelden, um die Sperrung aufzuheben. Meist versuchen die Betrüger auch, einen zeitlichen Druck aufzubauen, indem sie behaupten, die Eingabe der Daten müsse in den nächsten 24 Stunden erfolgen. Generell versenden Banken, aber auch Kreditkartenunternehmen und Online-Bezahldienste keinerlei E-Mails, die zu einer Seite verlinken, auf der Sie Ihre Kontodaten eingeben sollen. Löschen Sie die E-Mail sofort und klicken Sie keinesfalls auf den Link! Schon der bloße Besuch der Seite kann zu einer Infektion mit einem Virus oder Trojaner führen (Drive-by-Download)!

Von Google bis IBM: Die schlimmsten Inside Jobs

Die Kenntnis konkreter Fälle von Angriffen auf Unternehmensdaten durch Mitarbeiter kann außerdem helfen, frühzeitig die Aufmerksamkeit für bestimmte Aspekte der IT-Sicherheit in der Firma zu schärfen.

Beispielsweise der Fall von Anthony Levandowski: Dieser handelt mutmaßlich von einem der größten bislang bekannt gewor- denen Fälle von Datenklau durch einen Innentäter. Levandowski arbeitet zunächst für Google an autonomen Autos – die Abteilung wird später zu Waymo. Dort ist er wesentlich an der Entwicklung eines Lidar-Systems beteiligt, damals eine essenzielle Errungenschaft für den gesamten Mobilitätssektor. Im Mai 2016 verlässt Levandowski Waymo, um im Anschluss daran mit Otto Motors sein eigenes Unternehmen zu gründen. Dieses Unternehmen wird dann überraschend kurzfristig im Juli 2016 vom Fahrdienstleister Uber gekauft.

Waymo, ein Tochterunternehmen von Google, entwickelt selbstfahrende Autos.
Waymo, ein Tochterunternehmen von Google, entwickelt selbstfahrende Autos.
Foto: Waymo

Danach dauert es nicht lange, bis Anschuldigungen die Runde machen, dass der damalige Uber-CEO, Travis Kalanick, sich hinter den Kulissen mit Levandowski zusammengetan hat, um an das geistige Eigentum von Waymo zu gelangen und damit die Entwicklung autonomer Autos bei Uber voranzubringen. Levandowski soll vor seinem Abgang bei Google Tausende von Dokumenten und Dateien heruntergeladen und sie zu Otto Motors mitgenommen haben, um sie sodann an Uber zu veräußern. Google zieht daraufhin vor Gericht, und Levandowski wird nur wenig später von Uber entlassen, da seine Kooperationsbereitschaft bei der internen Untersuchung der Ereignisse scheinbar zu wünschen übriglässt. Im Februar 2018 einigen sich Waymo und Uber im Rahmen eines außergerichtlichen Vergleiches. Der neue Uber-CEO Dara Khosrowshahi entschuldigt sich öffentlich. Und Waymo erhält Uber-Aktien zu einem geschätzten Wert von 245 Millionen US-Dollar.

Wie viel Schaden ein als vertrauenswürdig eingestufter Mitarbeiter anrichten kann, wenn er zum Innentäter wird, zeigt die Geschichte von Jiaqiang Xu. Der Chinese ist 2015 eine von wenigen ausgewählten Personen, die bei IBM den Quellcode für ein Cluster-Dateisystem entwickeln. Die proprietäre Software ist für das Unternehmen so wertvoll, dass sie mit eigens entwickelten Schutzmaßnahmen gesichert wird. Nachdem Xu sich das Vertrauen des Unternehmens erschlichen hat, fertigt er eine Kopie der IBM-Software an, kündigt und bietet die Raubkopie zum Verkauf an. Dummerweise offeriert Xu die Software unwissentlich verdeckten FBI-Ermittlern. Denen bietet er an, den Quellcode so anzupassen, dass dessen ursprüngliche Quelle nicht zurückverfolgt werden kann. Kurz nach diesem Business Meeting wird der Übeltäter verhaftet. Im Januar 2018 wurde Jiaqiang Xu dann wegen Diebstahls geistigen Eigentums und Industriespionage zu fünf Jahren Haft verurteilt.

Verlässt ein Mitarbeiter das Unternehmen, so kann es durchaus sinnvoll sein, Maßnahmen gegen einen Datenklau zu treffen. Das zeigt auch der Fall von Jason Needham. Der ist bis zum Jahr 2013 beim Ingenieurs- und Architekturbüro Allen & Hoshall in Memphis, Tennessee, USA, angestellt. Daraufhin beschließt er, seine eigene Firma zu gründen. Allerdings kann Needham in der Fol- ge noch zwei Jahre lang unbemerkt auf die Server seines ehemaligen Arbeitgebers zugreifen. Er lädt Entwürfe und Designstudien mit einem geschätzten Wert von rund 425 000 US-Dollar herunter und verschafft sich Zugang zu dem E-Mail-Konto eines Ex-Kollegen. Vor Gericht behauptet Needham später, er habe nur „aus Gewohnheit“ und „Besorgnis“ auf seine alten Projekte zugreifen wollen. Der Fakt, dass Needham zuvor einem potenziellen Kunden ein Angebot unterbreitet hat, das enorme Ähnlichkeiten zu einem von Allen & Hoshall aufweist, lässt diese Aussage des Innentäters jedoch eher unglaubwürdig wirken. Mithilfe des FBI gelingt es Allen & Hoshall, die Innentäterschaft vor Gericht zu beweisen. Seine Lizenz ist Jason Needham mittlerweile los, seine Freiheit ebenfalls: 18 Monate Gefängnis lautete das Urteil.

Risiko Mitarbeiter: Nur IT-Sicherheit reicht manchmal nicht

Persönliche Bereicherung kann eine Motivation sein, um das eigene Unternehmen zu schädigen. Aber auch Ärger über die Firma, wie beispielsweise wegen mangeln- der Aufstiegschancen oder fehlender Anerkennung kann einen Mitarbeiter zum Täter werden lassen. Es sind also nicht nur Defizite der IT-Sicherheit, welche die Gefahr von Innentätern erhöhen, sondern bisweilen auch solche in der Mitarbeiterführung.

Als Dejan Karabasevic seinen Job bei dem Energieunternehmen AMSC aufgibt und zu dem chinesischen Windturbinenhersteller Sinovel wechselt, ist dies alles andere als ein normaler Vorgang. Denn als ehemaliger Chef der Abteilung für Windturbinen hat er Zugang zu proprietärer Technologie, die wesentlich zu deren Effizienz beiträgt. Karabasevic wird dann von Sinovel – bis zu diesem Zeitpunkt übrigens einer der größten Kunden von AMSC – mit dem Ziel abgeworben, diese Software „mitzubringen“. Daher lädt er die Software vor seinem Abgang auf einen externen Rechner und wird zum Werkzeug eines beauftragten Datendiebstahls. Sinovel ist nun im Besitz des Quellcodes und kann seine Windturbinen selbst mit der Technologie ausstatten und sich somit circa 800 Millionen US-Dollar sparen. Die Vorgänge fliegen erst auf, als ein weiterer Zulieferer misstrauisch wird, den Sinovel mit der Nachrüstung beauftragen will.

Der Schaden für AMSC ist beträchtlich: Die Firma verliert rund eine Milliarde US-Dollar an Börsenwert. Infolgedessen werden knapp 700 Arbeitnehmer entlassen – die Hälfte der weltweiten Belegschaft. Beinahe hätte also ein einziger Innentäter durch Diebstahl geistigen Eigentums ein weltweit erfolgreiches Unternehmen komplett zu Fall gebracht.

Ein verärgerter Ex-Arbeitnehmer von Canadian Pacific Railway legte dessen IT-Infrastruktur komplett lahm.
Ein verärgerter Ex-Arbeitnehmer von Canadian Pacific Railway legte dessen IT-Infrastruktur komplett lahm.

Wie gefährlich verärgerte Mitarbeiter werden können, zeigt auch die Story von Christopher Grupe. Er ist bis Dezember 2015 System Administrator bei der Canadian Pacific Railway (CPR). Wegen mangelnden Teamgeistes suspendiert ihn die Firma zunächst und feuert ihn daraufhin. Grupe schafft es, seinen Vorgesetzten zu überzeugen, dass er selbst kündigen darf. Bevor er seinen Arbeitsrechner zurückgibt, benutzt er ihn, um sich Zugang zum Unternehmensnetz zu verschaffen, löscht dort wichtige Dateien, entfernt Administratorrechte und ändert Passwörter. Dann säubert er die Festplatte seines Rechners, um Spuren zu verwischen. Das Unternehmensnetzwerk bricht zusammen, denn das IT-Team hat keinen Zugriff mehr auf die Systeme. CPR heuert einen externen Dienstleister für die Untersuchung der Vorfälle an. Logdateien entlarven den Innentäter, der zu einer Gefängnisstrafe von einem Jahr verurteilt wird.

IT-Sicherheit: Der menschliche Faktor

In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten in Bezug auf Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, das direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übe rgab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut gegangen war, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.

Zur Startseite