Im letzten Blog-Eintrag dieser Serie möchte ich noch auf eine andere Art von Insidern eingehen. Über Mitarbeiter mit Anspruchsdenken habe ich schon geschrieben. Das sind Insider, wie wir sie uns vorstellen: Ein verärgerter Mitarbeiter, der zum Beispiel einen erwarteten Bonus nicht erhält und dann Millionen von Datensätzen aus dem CRM-System löscht.

Hier handelt es sich allerdings um Einzeltäter. Das ist beim Diebstahl geistigen Eigentums jedoch nicht immer der Fall.

Ich möchte Ihren Chef sprechen
Das Computer Emergency Response Team (CERT) der Carnegie Mellon University (CMU) in Pittsburgh entdeckte bei der Analyse der erfassten Diebstähle einen weiteren Insider-Typ. Der so genannte „Ambitious Leader“, der ambitionierte Anführer, will geistiges Eigentum und ein paar Kollegen zu einem anderen Unternehmen mitnehmen – entweder zu einem, das er selbst gründen wird, oder zu einer konkurrierenden Firma, in der er eine leitende Position übernehmen soll.

Der Anführer rekrutiert in der Regel andere, die ihm beim Einsammeln des geistigen Eigentums helfen und mit einem Job bei einem neuen Unternehmen „belohnt“ werden. Hier handelt es sich nicht um verärgerte Mitarbeiter. Vielmehr folgt der angesprochene Personenkreis einer charismatischen Führungspersönlichkeit mit der Aussicht auf mehr Anerkennung, kostenloses Kantinenessen und ein Büro mit schönem Ausblick….

In der Pop-Kultur findet man den verärgerten Mitarbeiter beispielsweise in der Filmkomödie „Alles Routine“. Doch bei der ambitionierten Führungspersönlichkeit handelt es sich um jemanden in einer höheren Position – Anwälte, Agenten, Börsenhändler und natürlich auch hochkarätige Techniker.

Erinnert sich noch jemand an die frühe Technikgeschichte und die Traitorous Eight („Die verräterischen Acht“)? Das war eine Gruppe von Hochschulabsolventen, die für den berühmt-berüchtigten (und jähzornigen) William Shockley arbeiteten, der den neu erfundenen Transistor vermarkten wollte. Die Gruppe floh praktisch vor ihrem Chef und gründete das legendäre Unternehmen Fairchild Semiconductor – das gesamte geistige Eigentum in ihren Köpfen. Der Rest ist Geschichte. Das Muster von Superstar-Mitarbeitern im Silicon Valley, die ein Unternehmen verlassen, um ein eigenes zu gründen, ist bis heute aktuell.

Einfacher zu erkennen
Insbesondere Mitarbeiter in höheren Positionen sollten Sie unbedingt eine Geheimhaltungsvereinbarung unterzeichnen lassen. Wie wir bereits in früheren Blog-Beiträgen erwähnt haben, wirken diese Vereinbarungen zum Umgang mit geistigem Eigentum kombiniert mit Informationen zu Datensicherheit und Mitarbeiterüberwachung durchaus abschreckend. Wenn potenzielle Insider merke, dass eine Firma beim Thema geistiges Eigentum keinen Spaß versteht, lassen sie unter Umständen von ihrem Plan ab.

Doch unter den Personen mit Anspruchsdenken hat knapp die Hälfte von ihnen keinerlei Vorkehrungen zur Verschleierung ihrer Aktivitäten unternommen. Sie waren der festen Überzeugung, dass sie sich nur das geistige Eigentum nehmen, das ihnen sowieso gehört. Diebstähle dieser Art sind natürlich schwieriger zu bemerken.

Die CERT-Forscher hatten zwar nicht viele Daten, doch ihnen fiel auf, dass Geheimhaltungsvereinbarungen bei den ambitionierten Anführern durchaus Wirkung zeigten: Sie wandten nämlich mit größerer Wahrscheinlichkeit Täuschungsmanöver an!

Die Täuschungsmanöver führten schließlich zu Indikatoren, die offensichtlicher waren. Eine solcherart strukturierte Führungspersönlichkeit kann die Attacke beispielsweise planen, indem sie die relevanten Ordner ausfindig macht und dann immer wieder kleine Dateimengen nach Feierabend kopiert oder verschiebt. Man kann davon ausgehen, dass sie nicht entdeckt werden wollen, bevor nicht ein Großteil ihres Vorhabens abgeschlossen ist. Dann verfügen sie unter Umständen schon über die erforderlichen Ressourcen, um einen Rechtsstreit in Bezug auf das geistige Eigentum zu gewinnen.

Das CERT-Team hat zudem festgestellt, dass Anführer auch gezwungen waren, Komplizen zu rekrutieren, wenn das geistige Eigentum auf verschiedene Zugriffsgruppen aufgeteilt war. Das scheint logisch: Der Anführer kann den Job nicht alleine erledigen und braucht Hilfe von anderen, die über die entsprechenden Zugriffsrechte verfügen.

Schlussfolgerungen
Die ambitionierten Führungspersönlichkeiten haben eindeutig das Zeug zum CEO (und dazu sind sie ja bereits auf dem besten Weg): Planung, Personalrekrutierung für ihr Projekt und komplexe Durchführung. Solche Aktivitäten sind weitaus einfacher aufzudecken, wenn ein Unternehmen über entsprechende Überwachungstools verfügt. Laut CERT kam es in mehreren Fällen zum „Download großer Mengen von Informationen, die nicht dem normalen Nutzerverhalten entsprachen“ – durch Mitarbeiter, die von eben solch einer Führungspersönlichkeit rekrutiert worden waren. In manchen Fällen war die betreffende Person schon gar nicht mehr selbst im Unternehmen tätig.

Was heißt das?

Wenn man sich die verschiedenen Insider-Typen genauer ansieht, ergibt sich die folgende Liste von Mitarbeitern, die Sie am leichtesten erwischen:

  • Unter Personen mit Anspruchsdenken: diejenigen, die das geistige Eigentum nicht direkt selbst erstellt haben und bei denen es wahrscheinlich Vorboten gibt – sie greifen auf Verzeichnisse zu, die sie normalerweise nicht verwenden, oder „trainieren“ in anderer Form für den großen Tag.
  • Unter ambitionierten Anführern: diejenigen, die mehrere Mitarbeiter rekrutieren müssen, um sich Zugang zum betreffenden geistigen Eigentum zu verschaffen. Zu den Vorboten zählen beispielsweise ungewöhnlich viele E-Mails und Dateikopien zwischen dieser Person und seinen künftigen Mitarbeitern.
  • Jeder beliebige Insider, bei dem verdächtige technische Aktivitäten oder Verhaltensweisen zu beobachten sind. Wenn die IT-Sicherheitsabteilung Augen und Ohren offen hält, kann sie mit Unterstützung der Personalabteilung Probleme am Arbeitsplatz ( wie z.B. auffälliges Verhalten, ungeklärte Abwesenheit etc.) mit Systemaktivitäten in Verbindung bringen.

Nein, Sie werden es vermutlich nicht schaffen, den Diebstahl geistigen Eigentums durch Insider ganz zu verhindern – es sind Ihre Mitarbeiter, und sie wissen, wo diese Schätze vergraben sind. Aber Sie können das Risiko entschärfen.

Die Blog-Serie zu Insider-Bedrohungen, enthielt schon einige Tipps, um das Risiko zu senken. Die wichtigsten seien hier noch einmal wiederholt: Setzen Sie das Prinzip der minimalen Rechtevergabe durch, trennen Sie Aufgabenbereiche voneinander ab und setzen Sie zwingend starke Passwörter durch. Und verstärken Sie die Sicherheitsmaßnahmen, bevor ein Mitarbeiter das Unternehmen freiwillig oder unfreiwillig verlässt.

Außerdem sollten Unternehmen ihr geistiges Eigentum – Code, Verträge, Kundenlisten – auf ihren Dateisystemen inventarisieren, detaillierte Protokolle erstellen und Zugriffe überwachen. Im Ernstfall dienen diese Protokolle als gerichtsverwertbare Beweise. Doch mit der geeigneten Software ist es immer noch möglich, Insider-Aktivitäten innerhalb kürzester Zeit aufzudecken.

The post Diebstahl geistigen Eigentums, Teil 4: Ambitionierte Insider appeared first on Varonis Deutsch.