Innentäter – Die verkannte Gefahr ?

Guido Kramer, CISSP und Senior Security Consultant bei Atos Origin, beschäftigt sich im folgenden Artikel mit der Gefahr von Innentätern sowie deren Motivation.

Das Thema „Sicherheit in der Informationstechnologie“ ist in den Medien omnipräsent. Es vergeht kaum ein Tag, an dem wir nicht in den Printmedien oder Blogs Meldungen wie beispielsweise „Datenskandal im sozialen Netzwerk“, „Computercracker im Staatsauftrag unterwegs“ oder „Neue Sicherheitslücke im Browser entdeckt“ entdecken.

Die Unternehmen haben die Gefahr der Cyberkriminalität in den vergangenen Jahren erkannt und –selbst in schwierigen Zeiten wie der Wirtschaftskrise– Geld in die Hand genommen, um den tagtäglichen Bedrohungen des Internets entgegenwirken zu können. Dabei wird in erster Linie versucht, sich gegenüber externen Angriffen zu schützen. Dies geschieht beispielsweise durch Firewall-Systeme, Anti-Viren-Gateways oder auch Intrusion Detection/Prevention Systemen an externen Netzübergängen oder demilitarisierten Zonen.

Sicherlich können sich Unternehmen mit solchen technischen Einrichtungen gegenüber externen Angriffen schützen. Jedoch sollte man dabei nicht außer Acht lassen, dass die Gefahren nicht nur aus dem Internet lauern, sondern sich durchaus auch in den eigenen Reihen finden lassen.

Die Rede ist von Innentätern, jener Gruppe von Mitarbeitern, die sich gegen das eigene Unternehmen wenden und einen immens hohen Schaden herbeiführen können. In der Presse wurde dieses Thema in den vergangenen Jahren stiefmütterlich behandelt. Der Grund dafür liegt auf der Hand: Nur die wenigsten Firmen geben öffentlich zu, dass es Probleme in den eigenen Reihen gibt. Der dadurch resultierende Image-Schaden könnte für ein Unternehmen weitreichende Folgen haben. Aber nicht nur die Wirtschaft hat die Innentäter zu fürchten: So sorgte beispielsweise im November 2010 die Veröffentlichung diplomatischer US-Berichte mit Analysen über Politiker verschiedener Länder auf der sogenannten Enthüllungsplattform „Wikileaks“ für internationales Aufsehen.

Was aber bewegt Mitarbeiter dazu, sensible Informationen aus dem Unternehmen weiterzugeben, wohlwissend, dass eine solche Tat strafbar ist und rechtliche Konsequenzen nach sich ziehen kann? Die Motive sind vielfältig; so geht es bei dem einen Mitarbeiter in erster Linie um das Geld, ein anderer Mitarbeiter ist aufgrund fehlender Perspektiven im Unternehmen frustriert, der nächste möchte bei seinem neuen Arbeitgeber mit Informationen aus dem alten Unternehmen punkten. Die Liste mit möglichen Beweggründen ließe sich beliebig fortführen. Entscheidend zu wissen ist jedoch, dass sich ein potenzieller Innentäter an jeder Stelle im Unternehmen befinden kann, sowohl am Empfang als auch auf der Ebene der Geschäftsleitung.

Persönliche Erfahrungen bei der Durchführung von Security Audits haben gezeigt, dass innerhalb vieler Unternehmen mit den internen Sicherheitsrichtlinien zu leichtfertig umgegangen wird. So sind beispielsweise die Workstations von Mitarbeitern von unbefugtem Zugriff Dritter nicht gesperrt, oder die Kennwörter für die Authentisierung an zentralen Systemen werden im Klartext übermittelt. An dieser Stelle kann ein Mitarbeiter mit etwas krimineller Energie und den entsprechenden Werkzeugen innerhalb kürzester Zeit Benutzer/Passwort-Kombinationen ausspähen und für seine Zwecke missbrauchen, beispielsweise für den Zugriff auf sensitive Daten aus der F&A-Abteilung (Diebstahl von Daten) oder für den Zugriff auf zentrale Netzkomponenten (Durchführung von Denial-of-Service-Attacken). Es bedarf jedoch nicht immer dem Know-How eines erfahrenen IT-Spezialisten, einem System Informationen zu entlocken. Die Möglichkeiten eines Innentäters, dem eigenen Unternehmen Schaden zuzufügen, sind vielfältig. Ebenso könnte auch die Reinigungskraft –ausgestattet mit diversen Zutrittsberechtigungen– mit Hilfe eines mitgebrachten USB-Sticks, Dateien von einem nicht gesperrten Computer transferieren.

Welche Möglichkeiten bieten sich Firmen, um diesem Problem Herr zu werden? In erster Linie müssen die Mitarbeiter für die Bedeutung des Wortes „Datensicherheit“ respektive mit dem Umgang von Informationen sensibilisiert werden. Dazu zählen nicht nur die Einhaltung unternehmensweiter Richtlinien, sondern auch die damit verbundenen strafrechtlichen Konsequenzen bei Nichtbeachtung dieser Regeln. Wie eingangs erwähnt scheuen sich viele Unternehmen davor, mit sogenannten „internen Datenpannen“ an die Öffentlichkeit zu gehen. Vielleicht ist aber gerade dieser Schritt notwendig, um potenziellen Innentätern frühzeitig zu verdeutlichen, dass es sich hierbei nicht um einen Kavaliersdelikt handelt, sondern um eine Straftat, die mit der erforderlichen Härte geahndet wird. Eine andere Möglichkeit bieten regelmäßig stattfindende Gespräche zwischen dem Mitarbeiter und dem Vorgesetzten, bei denen Themen –abseits des offiziellen Protokolls– angesprochen werden können oder auch Motivationshilfen, um frustrierte Mitarbeiter wieder auch den „richtigen Weg“ zu bringen.

Wie in vielen Bereichen der IT-Sicherheit werden wir auch bei dem Problem „Innentäter“ niemals eine 100%ige Sicherheit erreichen, egal wie viele Maßnahmen organisatorischer und technischer Art umgesetzt werden. Wirtschaft und Politik müssen sich jedoch bewusst werden, dass sich das „Schwarze Schaf“ auch in den eigenen Reihen befinden kann. Daher kann es nur von Nutzen sein, wenn der Umgang mit diesem Thema in Zukunft in einer transparenteren Art und Weise geschieht als es zurzeit der Fall ist.