Der Feind im Inneren

Dieser Text ist der Print-Ausgabe 07/2009 von Technologie Review entnommen. Das Heft kann, genauso wie die aktuelle Ausgabe, hier online portokostenfrei bestellt werden.

Ob mit Absicht oder aus Versehen - die meisten Sicherheitsprobleme im Datenverkehr von Unternehmen verursachen die hausinternen Mitarbeiter. Spezielle Software-Systeme sollen da Abhilfe schaffen.

Der Fall ist so brisant wie einfach: In einem norddeutschen Zulieferbetrieb für die Luftfahrtindustrie wurden sämtliche Konstruktionszeichnungen entwendet; der Täter spazierte an einem Wochenende in aller Ruhe in das Unternehmen und kopierte den gesamten Server. Ohne einen Helfer innerhalb der Firma wäre solch ein Diebstahl kaum möglich gewesen: "Der hat dem Eindringling den Generalschlüssel verschafft", sagt Lukas Grunwald. Der IT-Forensiker aus Hildesheim wird regelmäßig zu Hilfe gerufen, wenn wertvolle Daten plötzlich beim Konkurrenten landen.

Seiner Erfahrung nach schützen sich viele Unternehmen zwar sorgfältig vor Angriffen aus dem Internet, etwa indem sie mit einer Firewall das elektronische Eindringen erschweren oder "Intrusion-Detection-Systeme" als Alarmanlagen gegen digitale Diebe aufstellen. Doch oft lauert der Feind gar nicht jenseits der Werkstore, sondern ist innerhalb des eigenen Unternehmens zu suchen. Immerhin in einem Fünftel aller registrierten Fälle von Datenklau, so stellt die "Studie: Industriespionage" des Sicherheitsdienstleisters Corporate Trust aus dem Jahr 2007 fest, hatte der Täter nicht nur Zugang zum internen Netz, sondern war sogar ein Mitarbeiter des Unternehmens.

Viele Beschäftigte verursachen allerdings auch völlig unbedacht Schaden: Nicht selten schicken sie Unterlagen an ihre private E-Mail-Adresse bei einem der vielen Freemail-Anbieter, um daran nach Feierabend oder am Wochenende weiterzuarbeiten. Dabei denken sie nicht an die Sicherheitslücken, die sie damit aufreißen. Eine Studie der Zeitschrift "Kes" in Zusammenarbeit mit dem Softwarekonzern Microsoft hat ergeben, dass 49 Prozent der befragten Unternehmen schon einmal Verluste durch "Irrtum und Nachlässigkeit der Mitarbeiter" erlitten haben – weit mehr als mit gezieltem Informationsdiebstahl und Wirtschaftsspionage (12 Prozent). Schutz vor jeder Art Angriff von innen – ob absichtlich oder aus Versehen – soll die sogenannte Data Leakage Prevention (DLP) bieten. Der Begriff steht für spezielle Softwaresysteme, die auf zwei verschiedene Weisen arbeiten können: Sie kontrollieren entweder den Inhalt der übertragenen Daten, oder sie überprüfen deren Herkunftsort.

Um den Inhalt zu überwachen, werden sämtliche Datenströme innerhalb des Unternehmens und nach außen versandte Informationen unter die Lupe genommen. Die elektronische Post wird dabei auf individuell festgelegte Schlüsselbegriffe durchsucht. Darüber hinaus analysiert die DLP-Software digitale Fingerabdrücke von Dokumenten und untersucht Satzlängen, die Abstände sowie die Häufigkeit von Wörtern und sogar den Gebrauch von Füllwörtern. Der Sprachstil und die Ähnlichkeit von gesendeten Inhalten mit als vertraulich bekannten Daten dienen dem Programm als wichtiges Indiz, ob heikle Informationen im Strom der Bits und Bytes enthalten sind. Ist dies der Fall, wird der Datenverkehr unterbrochen oder ein Alarm ausgelöst.

Immer öfter nutzen Unternehmen solche DLP-Systeme. "Die bekannt gewordenen Datenskandale sorgen für eine hohe Nachfrage", sagt Tim Cappelmann, Senior-Consultant bei der AirITSystems Hannover GmbH. Die Kunden hätten nicht nur Angst vor dem Verlust wertvoller Daten, sie fürchteten auch die negativen Schlagzeilen, die gewöhnlich mit einem Diebstahl von Insider-Informationen verbunden seien. Allerdings hat auch die DLP-Software Schwachstellen: Zum einen löst sie mitunter Fehlalarm aus, zum anderen kann es passieren, dass sie vertrauliche Daten nicht erkennt; die Fehlerquoten für solche falsch-positiven und falsch-negativen Treffer sind ein streng gehütetes Betriebsgeheimnis der Hersteller. Technische Schwierigkeiten treten auch bei der Integration von großen Programmen wie etwa der SAP-Software auf, weil dort tief in die internen Datenstrukturen und Abläufe eingegriffen werden muss.

"Der DLP-Markt weist eine Besonderheit auf: Zeit seines Bestehens ist für ihn keine einzige neue Technologie entwickelt worden. Alle entsprechenden Technologien sind schon seit Jahrzehnten bekannt", sagt Rustem Khayretdinov, stellvertretender Generaldirektor von InfoWatch, einer Tochterfirma der Kaspersky Labs in Russland, die sich intensiv mit DLP befasst. Hinter dem Namen DLP-Systeme verbirgt sich folglich kein grundlegend neues Konzept, sondern lediglich die intelligente Bündelung und Weiterentwicklung bereits vorhandener Verfahren. Viele Hersteller verkaufen einfach ihre altbekannten, bloß ein wenig erweiterten Produkte unter diesem neuen Label. Es genügt daher in der Regel nicht, nur ein System einzusetzen. Wer umfassend abgesichert sein will, sollte mehrere Produkte von verschiedenen Herstellern kombinieren.

Damit die Software richtig arbeiten kann, müssen die Anwender ihre Daten außerdem entsprechend organisieren und klassifizieren. Ganz gleich, ob ein DLP-System den Inhalt von Dateien kontrollieren oder ihre Herkunft überwachen soll – in jedem Fall ist es notwendig, sämtliche Datenbestände zuvor in verschiedene Vertraulichkeitsstufen einzuteilen –, von "allgemein zugänglich" bis "streng vertraulich" oder "nur für den Vorstand". Oft sind Unternehmen daher gezwungen, ganze Arbeitsabläufe in der Firma zu ändern.

Sie müssen festlegen, welcher Mitarbeiter unter welchen Bedingungen mit welchen Daten arbeiten darf. Häufig wird den Verantwortlichen erst bei dieser Vorarbeit klar, welche Inhalte überhaupt vertraulich sind und wer damit umgehen muss. Allein das hat einen nicht zu unterschätzenden Wert für die IT-Sicherheit des Unternehmens und führt dazu, dass Mitarbeiter und Firmenleitung für das Problem sensibilisiert werden. Am Ende gebe es meist ein "geschütztes Datensilo, das verschlüsselt und überwacht wird", berichtet Tim Cappelmann.

Doch auch dann ist der Einsatz von DLP-Software keine Garantie gegen Abfluss wertvoller Daten, gerade wenn kriminelle Energie die treibende Kraft ist. So hilfreich DLP als Schutzinstrument sein kann – IT-Sicherheit ist eben kein Produkt, sondern immer ein kontinuierlicher Prozess. (nbo)