Datenklau

Mitarbeiter, die zu Innentätern wurden

16.07.2019
Von Christina Wood und


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.

"Das können wir jetzt auch"

Als Dejan Karabasevic seinen Job beim Energieunternehmen AMSC aufgibt und zum chinesischen Windturbinenhersteller Sinovel wechselt, ist das alles andere als ein normaler Vorgang. Denn als ehemaliger Chef der Abteilung, die bei AMSC für Windturbinen zuständig ist, hat er Zugang zu proprietärer Technologie, die wesentlich zu deren Effizienz beiträgt. Karabasevic wird daraufhin von Sinovel (bis zu diesem Zeitpunkt übrigens einer der größten Kunden von AMSC) mit dem Ziel abgeworben, diese Software "mitzubringen".

Das tut dieser dann auch, lädt die Software vor seinem Abgang auf einen externen Rechner - und wird so zum Werkzeug eines beauftragten Datendiebstahls. Nachdem Sinovel dann in Besitz des Quellcodes ist, rüstet das Unternehmen seine Windturbinen selbst mit der Technologie aus - und spart sich so circa 800 Millionen Dollar. Die Vorgänge fliegen erst auf, als ein weiterer Zulieferer, den Sinovel mit der Nachrüstung beauftragen will, misstrauisch wird.

Der Schaden für AMSC ist beträchtlich: Rund eine Milliarde Dollar Börsenwert lösen sich in nichts auf, knapp 700 Jobs gehen verloren (die Hälfte der weltweiten Belegschaft), wie beim resultierenden Gerichtsverfahren klar wird. In diesem Fall hätte ein einziger Innentäter durch den Diebstahl von geistigem Eigentum beinahe ein gesamtes Unternehmen zu Fall gebracht.

Schmieriges Spiel

David Kent baut ein Social Network für Experten aus der Ölindustrie namens Rigzone auf. Im Jahr 2010 verkauft er das Netzwerk an die DHI Group (damals noch Dice Holdings) - für 51 Millionen Dollar. Teil des Deals ist damals auch eine Wettbewerbsverbotsklausel. Diese Klausel respektiert Kent auch vorbildlich. Nachdem sie ausgelaufen ist, baut er eine ganz ähnliche Plattform namens Oilpro auf - in der Hoffnung, ein weiteres Akquisitionsziel für DHI zu schaffen. Ein paar Jahre später ist die Mitgliederzahl von Oilpro auf über 500.000 angewachsen und DHI bietet erneut für die Plattform - diesmal rund 20 Millionen Dollar.

Allerdings ist Kent nicht das Social-Networking-Genie, das er vorgibt zu sein, sondern ein krimineller Hacker. Mit der Hilfe eines ehemaligen Kollegen (jetzt Mitarbeiter bei Rigzone) kompromittiert er die Seite, die er vorher veräußert hat und stiehlt 700.000 Kundendatensätze.

Das fliegt nur durch Zufall auf, als sich ein Rigzone-Kunde über Spam-Mails von Oilpro beschwert, obwohl er mit letzterer Plattform nie zuvor etwas zu schaffen hatte. Bei Rigzone setzte man daraufhin einige Fake Accounts auf, um den Schuldigen in die Falle zu locken. Das Ende vom Lied: FBI-Ermittlungen, Gerichtsverfahren, drei Jahre Haft für David Kent.

Die Wutprobe

Wie gefährlich verärgerte Mitarbeiter für ein Unternehmen werden können, zeigt die Story um Christopher Grupe. Der ist bis zum Dezember 2015 System Administrator bei der Canadian Pacific Railway (CPR). In erster Linie zeichnet er sich dabei aber durch seinen Nicht-Teamgeist aus, weswegen er zuerst suspendiert und im Anschluss gefeuert wird. Irgendwie schafft es Grupe aber dennoch, seinen Boss davon zu überzeugen, dass er selbst kündigen darf. Bevor er seinen Arbeitsrechner zurückgibt, nutzt er ihn aber noch, um sich Zugang zum Unternehmensnetz zu verschaffen, löscht dort verschiedene Dateien von essenzieller Bedeutung, entfernt Administratorrechte und ändert Passwörter. Anschließend löscht er die Festplatte seines Computers, um seine Spuren zu verwischen.

Das Netzwerk bricht in der Folge zusammen - das IT Team hat keinerlei Zugriff mehr auf die Systeme und muss tatenlos zusehen. Nachdem es über Umwege schließlich gelingt, die Systeme zur Räson zu bringen, heuert CPR einen externen Dienstleister für die Untersuchung der Vorfälle an. Logdateien entlarven schließlich den Innentäter, der in der Konsequenz für ein Jahr hinter schwedische Gardinen wandert.

Viele Wege führen zum Datenklau

Manchmal kommt es vor, dass der Innentäter nicht wirklich "inside" ist und auch nicht wirklich für den "breach" verantwortlich zu machen ist. Das lässt sich hervorragend am berüchtigten Target-Datenklau aus dem Jahr 2014 veranschaulichen, bei dem die Anschriften, Telefonnummern, E-Mail-Adressen und Kreditkartendaten von circa 70 Millionen Menschen gestohlen werden.

Kriminelle Hacker haben es zuvor geschafft, die Point-of-sale-Gerätschaften von Target-Filialen mit Software auszustatten, die die eingegebenen Daten aufzeichnet. Um an die Daten ranzukommen, brauchen die Cybergangster nur noch eines: Zugang zum Unternehmensnetz. Und den holen sie sich, indem sie ein schwächeres System angreifen.

Bei diesem System handelt es sich um das eines Zulieferers von Target: Fazio Mechanical. Ein Mitarbeiter des Zulieferers fällt auf eine Phishing-Mail herein, Sekunden später befindet sich eine Malware namens Citadel im Netzwerk. Die späht die Login-Daten aus, die nötig sind um Zugang zum Netz von Target zu erhalten. Der Rest ist Geschichte.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Zur Startseite