Sicherheits-Policies: Nicht zweckgebundene Ressourcennutzung

Im ersten Teil dieses Artikels ging es um zielgerichtete Attacken und darum, wie Cyberkriminelle in ein Unternehmensnetzwerk eindringen, indem sie die Computer von Mitarbeitern angreifen, die ihre Arbeitsrechner verwenden, um in sozialen Netzwerken zu kommunizieren und Websites zu besuchen, die nichts mit ihrer beruflichen Tätigkeit zu tun haben.

Doch neben zielgerichteten Attacken gibt es auch andere Bedrohungen. Mitarbeiter können bewusst oder zufällig Schuld daran sein, dass vertrauliche Daten abfließen oder sie können wissentlich oder unwissentlich das Urheberrechtsgesetz verletzen, was wiederum eine Klage gegen das Unternehmen nach sich ziehen könnte.

Überdies berichten wir von Vorfällen, die mit dem Weiterleiten und der Speicherung von Unternehmensdokumenten im privaten E-Mail-Postfach oder in der Cloud sowie mit der Verwendung von Software zusammenhängen, die für den Datei-Austausch über P2P benutzt wird. Wir zeigen zudem auf, welche Technologien und Sicherheits-Policies es Systemadministratoren und IT-Sicherheitsexperten ermöglichen, derartige Vorfälle zu verhindern.

Verlust der Reputation

Der gute Ruf ist ein wichtiges Aktiva eines jeden Unternehmens, der nicht nur vor Cyberkriminellen geschützt werden muss. Mitarbeiter, die dienstliche Korrespondenz an einen privaten E-Mail-Account senden, die illegalen Content herunterladen und Piraten-Software auf ihrem Arbeitsrechner verwenden, denken häufig noch nicht einmal darüber nach, dass ihr Verhalten dem guten Ruf des Unternehmens, bei dem sie tätig sind, Schaden zufügen könnte.

Offenlegung vertraulicher Informationen

In einem Unternehmen kam es zu einem Vorfall, weil sensible Informationen an die Öffentlichkeit gelangten. Ein Mitarbeiter der IT-Abteilung begann die Ermittlungen in diesem Fall mit einer Überprüfung der abgeflossenen Daten und entdeckte zu seiner Überraschung, dass in den Metadaten wichtige Informationen gespeichert waren: Der Name des Unternehmens, der Name des Computers, auf dem das Dokument zuletzt gespeichert wurde, die Namen der Autoren, E-Mail-Adressen, Telefonnummern usw. – normalerweise löschen Cyberkriminelle solche Informationen, um die undichte Stelle zu verschleiern. Im Zuge der Ermittlungen fanden die Sicherheitsexperten Kopien der veröffentlichten Dokumente auf den Arbeitscomputern von fünf Mitarbeitern. Nicht einer von ihnen gab zu, die Dokumente an Dritte weitergeleitet zu haben, sie alle waren ehrlich überrascht, als sie im Gespräch mit den Spezialisten von dem Vorfall erfuhren. Aufgrund einer Analyse der Log-Dateien der Proxy-Server des Unternehmens kam heraus, dass einer dieser fünf Mitarbeiter Dateien auf die Server eines kostenlosen E-Mail-Services geladen hatte, deren Namen mit den Namen der veröffentlichten Dokumente identisch waren.

In einem zweiten Gespräch erklärte der Mitarbeiter den Sicherheitsexperten, dass er tatsächlich manchmal seinen privaten E-Mail-Account verwende, um Unternehmensdokumente zu speichern. Für ihn war das durchaus bequem, denn auf diese Weise musste er die entsprechenden Dokumente nicht während der Arbeitszeit durcharbeiten, sondern konnte sie – nachdem er sie an seine private E-Mail-Adresse gesendet hatte – auch zu Hause durchlesen bzw. fertigstellen. Hier ist anzumerken, dass jedem beliebigen Mitarbeiter dieses Unternehmens auf Anfrage problemlos der entfernte Zugriff auf seinen E-Mail-Account im Unternehmensnetzwerk zur Verfügung gestellt wurde: Zu diesem Zweck musste er lediglich einen Antrag ausfüllen und einen Token sowie die entsprechenden Anweisungen zur Installation entgegennehmen. Der Mitarbeiter beteuerte, dass er versucht habe, sich von zu Hause aus im Unternehmensnetzwerk einzuloggen, doch es sei ihm nicht gelungen, alles korrekt einzurichten. Daraufhin habe er entschieden, dass auch nichts Schlimmes passieren würde, wenn er seinen privaten E-Mail-Account für verschiedene berufliche Zwecke verwenden würde.

Nachdem sich die IT-Sicherheitsspezialisten Zugriff auf den privaten E-Mail-Account des Mitarbeiters verschafft hatten, überprüften sie eine Liste von IP-Adressen, über die eine Verbindung zum E-Mail-Postfach hergestellt worden war. Neben den privaten und dienstlichen IP-Adressen des Mitarbeiters wurde eine Vielzahl anderer IP-Adressen gefunden, die zu Proxy-Servern in verschiedenen Ländern der Welt gehören.

Bei der Untersuchung dieses Vorfalls entdeckten die Experten auf dem Privatcomputer des Mitarbeiters Spionage-Software, die in der Lage ist, vom Anwender eingegebene Registrierungsdaten (Benutzername, Passwort, Kreditkartennummer usw.) für verschiedene Systeme zu protokollieren – Websites, soziale Netzwerke, E-Mail, Online-Banking-Dienste. Nachdem sich Cyberkriminelle mit Hilfe dieses Schadprogramms Zugriff auf den privaten E-Mail-Account des Mitarbeiters verschafft hatten, fanden sie in seiner Post eine Vielzahl von gespeicherten Unternehmensdokumenten.

Der schuldige Mitarbeiter wurde entlassen, doch der Vorfall wird die Reputation des Unternehmens noch für lange Zeit negativ beeinflussen.

Verletzung des Urheberrechts

Es ist bekannt, dass das Herunterladen von Piratensoftware eine Verletzung des Urheberrechts darstellt. Doch nur wenige denken daran, dass die Mitarbeiter, die vom Unternehmensnetzwerk aus ins Internet gehen, dabei auch die IP-Adresse des Unternehmens verwenden. Das wiederum bedeutet, dass auch das Unternehmen dafür verantwortlich gemacht wird, wenn es zu einer Urheberrechtsverletzung kommen sollte.

In einem kleineren Unternehmen kam es auf diese Weise zu einem unangenehmen Vorfall. Zu bestimmten Stunden fiel die Zugriffsgeschwindigkeit auf das Internet deutlich ab. Der Systemadministrator überprüfte daraufhin die Statistik des Netztraffics und bemerkte, dass ein einzelner Computer 80% der gesamten Netzdurchlässigkeit nutzte, wobei die Zahl der eingehenden/ausgehenden Verbindungen über der Norm lag. Der Administrator nahm an, dass der Nutzer dieses Computers Dateien über ein P2P-Netz austauscht.

Es stellte sich heraus, dass einer der Mitarbeiter ein privates Notebook mitgebracht und es an das Unternehmensnetzwerk angeschlossen hatte. Auf dem Notebook war ein BitTorrent-Client installiert, der auf automatischen Start bei Systemstart eingestellt war. Der Mitarbeiter hatte diesen Umstand einfach vergessen, und das hatte zur Folge, dass das auf seinem Notebook laufende Programm zur Ursache des Problems mit dem Internetzugriff wurde.

Drei Monate später tauchten in dem Unternehmen Vertreter der Strafverfolgungsorgane mit einem Durchsuchungsbeschluss auf – sie beschlagnahmten eine Vielzahl von Festplatten und Dokumenten. Grund für die Untersuchung war der Verdacht, dass das Unternehmen das Urheberrecht verletzen könnte, und zwar wegen der Nutzung von Piraten-Software. Laut Gerichtsbeschluss wurde das Unternehmen zur Zahlung einer Strafe verurteilt. Seither wurde in den IT-Sicherheits-Policies des Unternehmens das Verbot der Nutzung jeglicher Piraten-Software verschärft. Bei der ersten Verletzung der Policy droht den Mitarbeitern eine hohe Strafe – bei wiederholten Übertretungen der Rauswurf. Darüber hinaus ist es nicht nur verboten, irgendwelchen nicht lizenzierten Content unter Verwendung des Firmennetzwerks herunterzuladen (gehackte Software, Filme, Musik, E-Books usw.), sondern es ist auch untersagt, solchen Content von zu außen ins Unternehmen zu verbringen.

Lösung

Wir haben nun zwei Fälle beschrieben, in denen die Verletzung der Sicherheits-Policies eines Unternehmens durch die Mitarbeiter zu ernsthaften Sicherheitsvorfällen geführt hat. Im alltäglichen Leben sind Szenarien dieser Art weitaus vielfältiger. Glücklicherweise gibt es einige simple Technologien, die es ermöglichen in Verbindung mit den Sicherheits-Policies den Großteil solcher Vorfälle abzuwenden.

Kontrolle des Netztraffics

In den oben beschriebenen Fällen – dem Abfließen von Unternehmensdokumenten und dem Download nicht lizenzierten Contents über P2P-Netze – diente das Unternehmensnetzwerk als Kanal zum Versand und Empfang der Daten. Daher ist eine Kontrolle des Netztraffics die vorrangige Maßnahme, die zur Gewährleistung der Sicherheit ergriffen werden muss. Technologien wie Firewall, IPS und HIPS ermöglichen es den Systemadministratoren und IT-Sicherheitsspezialisten Folgendes einzuschränken oder zu blockieren:

  • den Zugriff auf öffentliche Services und deren Server – E-Mail-Dienste, Speicher in der Cloud, Websites mit verbotenem Content usw.
  • die Nutzung von Ports und Protokollen zum Austausch von P2P-Traffic
  • den Versand von Arbeitsdokumenten über die Grenzen des Unternehmensnetzwerks hinaus

Man sollte allerdings berücksichtigen, dass die Kontrolle des Netztraffics allein kein hohes Schutzniveau des Unternehmensnetzwerks garantieren kann. Die Mitarbeiter können Methoden zur Verschlüsselung des Traffics einsetzen, sich mit Kopien (Spiegeln) gesperrter Internet-Services verbinden oder Proxy-Server und Anonymisierer zur Umgehung der Netzpolitiken verwenden. Überdies sind viele Anwendungen in der Lage, die Ports anderer Anwendungen zu nutzen und ihren Traffic in verschiedene Protokolle einzubauen, die nicht verboten sind. Doch trotzdem ist eine Kontrolle des Netztraffics nötig und wichtig, man sollte sie allerdings mit einer Anwendungskontrolle und Dateiverschlüsselung kombinieren.

Anwendungskontrolle

Mit Hilfe einer Anwendungskontrolle sind Systemadministratoren oder IT-Sicherheitsexperten nicht nur in der Lage, die Verwendung jeglicher unerwünschter Software zu verbieten – wie etwa Torrent-Clients, Programme zur Kommunikation in sozialen Netzwerken, Spiele, Piraten-Software, Media-Player usw. – sondern sie können auch nachvollziehen, wer wann welche Anwendungen benutzt. So haben sie die Möglichkeit, Versuche der Anwender, die Sicherheits-Policies zu „umgehen“, sofort zu vereiteln. Nun ist es praktisch unmöglich, jegliche Piraten-Software zu verbieten, da eine Unmenge von Modifikationen existiert, die sich nur durch wenige Bytes unterscheiden, bzw. diese künstlich erstellt werden können. Unter diesen Bedingungen ist es effektiver, eine Anwendungskontrolle in dem Modus „Standardmäßig verboten“ einzusetzen. So wird garantiert, dass die Anwender tatsächlich nur die vom Administrator und der IT-Sicherheit zugelassenen Programme verwenden.

Verschlüsselung von Dateien

Häufig ist es praktisch unmöglich, die Nutzung von Cloud-Services und privaten E-Mail-Adressen zur Speicherung von Unternehmensdokumenten mit vertraulichen Informationen durch die Mitarbeiter im Auge zu behalten. Viele E-Mail-Dienste und Cloud-Speicher verschlüsseln die vom Anwender weitergeleiteten Dateien, doch damit sind sie noch nicht zwangsläufig vor Cyberkriminellen geschützt – um sich Zugriff auf die Informationen zu verschaffen, müssen sie lediglich (und das ist für sie kein Problem) die Zugangsdaten vom Anwender stehlen.

Um sich gegen Cyberkriminelle zu wehren, bieten viele Services ihren Nutzern an, ihren Account mit dem Mobiltelefon zu verbinden. Dann wird für den Zugriff auf den Account neben Nutzername und Passwort auch ein einmaliger Bestätigungscode notwendig, der beim Versuch, sich zu identifizieren, auf das mobile Gerät geschickt wird. Dazu sollte man aber wissen, dass ein solcher Schutz nur dann wirkungsvoll ist, wenn sich keine Malware auf dem mobilen Gerät des Anwenders befindet, die es Cyberkriminellen wiederum ermöglichen würde, den gesendeten Code auszuspähen.

Glücklicherweise existiert eine zuverlässigere Methode, die Unternehmensdokumente garantiert zu schützen, die über die Grenzen des Unternehmensnetzwerks hinaus weitergeleitet werden – und zwar der Einsatz einer Technologie zur Dateiverschlüsselung. Selbst wenn sich Cyberkriminelle Zugriff auf die E-Mails oder den Cloud-Speicher, in dem ein Mitarbeiter Unternehmensdokumente verwahrt, verschaffen sollten, so kommt er an den Inhalt der Dokumente nicht heran, da sie noch vor der Weitergabe an einen externen Server verschlüsselt wurden.

Sicherheits-Policies

Die Kontrolle des Netztraffics, die Anwendungskontrolle und die Datenverschlüsselung sind wichtige Schutzmaßnahmen, die es ermöglichen, Datenlecks und die Verwendung unerwünschter Software im Unternehmen aufzudecken und automatisch zu unterbinden. Nichts desto weniger sind die Anwendung von Sicherheits-Policies sowie die Ausbildung der Mitarbeiter unerlässlich, da sich viele Anwender nicht darüber im Klaren sind, dass ihr Verhalten eine Bedrohung für das Unternehmen darstellen kann.

Im Fall von wiederholten Verstößen sollten die Policies administrative Sanktionen gegenüber dem jeweiligen Mitarbeiter vorsehen, unter anderem auch die Kündigung.

Zudem sollte in den Sicherheits-Policies festgeschrieben sein, welche Maßnahmen im Falle der Entlassung eines Mitarbeiters zu ergreifen sind, der Zugriff auf vertrauliche Daten oder kritische Systeme der Infrastruktur hatte.

Fazit

Vorfälle wie das Abfließen vertraulicher Daten oder der Download von nicht lizenziertem Content von der IP-Adresse des Unternehmens aus können dem guten Ruf einer Firma erheblichen Schaden zufügen.

Um das zu verhindern, sollte den Mitarbeitern der Zugriff auf Internet-Ressourcen, die eine Bedrohung für das Unternehmen darstellen könnten, eingeschränkt oder vollständig verboten werden. Zudem sollte die Verwendung von Ports, Datenübertragungsprotokollen und Anwendungen, für die arbeitstechnisch keine Notwendigkeit besteht, beschränkt oder blockiert werden. Um die Vertraulichkeit und Vollständigkeit von Unternehmensdokumenten zu gewährleisten, sollten Verschlüsselungstechnologien eingesetzt werden.

Die IT-Sicherheitsspezialisten dürfen neben der Aufdeckung und Vereitlung von Sicherheitsvorfällen mit Hilfe verschiedener Technologien die administrativen Schutzmaßnahmen nicht vernachlässigen. Die Anwender sollten wissen, was die Sicherheits-Policies gestatten und was sie verbieten – und welche Konsequenzen eine Verletzung der Regeln nach sich ziehen könnte.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.