Das jüngste Pentagon-Datenleck – bei dem der 21-jährige Angehörige der Air National Guard, Jack Teixeira, angeblich vertrauliche Informationen auf Social-Media-Seiten preisgegeben hat, um sich vor seinen Freunden aufzuspielen – entfacht erneut Diskussionen über den Schutz von Daten vor böswilligen Insidern. Von der Schlange im Garten Eden (dem ursprünglichen Insider) über Snowden, Manning und Winner bis hin zum Fall Teixeira – ein einziger fauler Apfel genügt, um den Lauf der Geschichte zu verändern.
Der Zugriff auf Informationen – und die Tatsache, dass es im Allgemeinen viel zu viel Zugriff auf sensible Daten gibt – zieht sich wie ein roter Faden durch alle Geschichten von Insidern. Robert Litt, ehemals General Counsel beim Büro des Director of National Intelligence, sagt hierzu: „Nach den Lecks sollte eine nüchterne und gründliche Überprüfung der Informationsfreigabe, der Anzahl der Personen mit Sicherheitsfreigaben und der Umsetzung bestehender Richtlinien zur Notwendigkeit des Zugriffs und zur Überwachung geheimer Systeme stattfinden“.
Insider-Bedrohungen stellen das am schwierigsten abzuwehrende Risiko dar und können den größten Schaden anrichten. Das Pentagon hat innerhalb seiner physischen und digitalen Perimeter wahrscheinlich alles richtig gemacht. Teixeira arbeitete in einer SCIF, also einer sensiblen und getrennten Informationseinrichtung (Sensitive Compartmented Information Facility), die „vor elektronischer Überwachung schützt und Datenlecks verhindert“.
Es wurden also keine USB-Sticks rein- oder rausgelassen, es konnte nichts ins Internet hochgeladen werden und es konnten keine Übertragungen stattfinden. Trotzdem konnten diese Perimeterkontrollmaßnahmen nicht vor der Bedrohung schützen.
Was ist also schiefgelaufen? Dem Leaker wurde umfassender Zugriff auf sensible Daten gewährt, den er vermutlich nicht benötigte. Trotz des Branchenbooms rund um Zero Trust scheint es sich in diesem Fall um ein Versagen des „Need-to-know“-Modells (Zugriffsnotwendigkeit) und/oder um einen Fehler bei der Überwachung geheimer Systeme zu handeln.
In vielen Organisationen liegt der Fokus oft auf dem Schutz der Perimeter und nicht auf dem Schutz des Ziels selbst – der internen Daten.
Stellen Sie sich das folgende Gespräch zwischen einem CEO und einem IT-Sicherheitsteam vor, dessen Aufgabe es ist, sensible Daten zu schützen.
CEO: Patchen wir unsere Systeme?
IT-Sicherheitsteam: Natürlich. Andernfalls würden Angreifer Schwachstellen ausnutzen.
CEO: Schulen wir unsere Mitarbeiter durch simulierte Phishing-Versuche?
IT-Sicherheitsteam: Ja, wir schulen Mitarbeiter, weil sie ständig Phishing-E-Mails erhalten.
CEO: Ist Sicherheitssoftware auf jedem Endpoint installiert?
IT-Sicherheitsteam: Ja, denn nach dem Phishing kann die Endpoint-Software die Malware blockieren, die Angreifer zu installieren versuchen.
CEO: Blockieren wir Massen-Uploads und die Verwendung von USB-Sticks?
IT-Sicherheitsteam: Ja, denn dadurch können Insider ganz einfach Daten stehlen.
CEO: Sperren und überwachen wir unsere wichtigsten Daten?
IT-Sicherheitsteam: Nee.
Ist es nicht seltsam, dass Unternehmen über so viele Kontrollmaßnahmen verfügen, wo das eigentliche Risiko aber gar nicht liegt? Schließlich konzentrieren sich Banken nicht mehr darauf, was durch ihre Türen und Fenster kommt, sondern darauf, wer und was in und aus dem Tresor kommt – denn sonst würden ja Stifte und Büroklammern genauso gut gesichert werden wie Goldreserven.
Hätte Teixeira von vornherein keinen Zugriff auf so viele sensiblen Informationen gehabt, wäre der potenzielle Schaden möglicherweise gleich null oder deutlich geringer gewesen und hätte viel schneller eingedämmt werden können. Vielleicht wären dem Pentagon Fehler am Perimeter unterlaufen, aber niemand würde den Namen Teixeira kennen, wenn die Daten die ganze Zeit über sicher aufbewahrt worden wären.
In der digitalen Welt ist es natürlich enorm schwierig, den Tresor verschlossen zu halten. Jeden Tag werden immer sensiblere Daten an immer mehr Orten gespeichert, und für die Zusammenarbeit ist ein ausgewogenes Verhältnis zwischen Produktivität und Sicherheit erforderlich. Daten haben nur dann einen Wert, wenn sie auch geteilt werden können.
Wenn man Daten vollständig sperrt oder den Zugriff zu restriktiv gestaltet, lassen sie sich praktisch nicht nutzen. Die US-Geheimdienste mussten das nach dem 11. September auf die harte Tour lernen – denn zuvor hatten sie den Informationsaustausch zwischen den verschiedenen Behörden eingeschränkt. Wenn man jedoch die Beschränkungen zu sehr lockert, können Datenbestände schnell zu einem Risiko werden, wie der jüngste Vorfall im Pentagon gezeigt hat.
Wie lassen sich Zugriff und Sicherheit miteinander in Einklang bringen? Hier sind fünf Schritte, mit denen Sie ermitteln können, wie gut Sie auf einen böswilligen Insider oder einen externen Angreifer vorbereitet sind, der das Konto oder den Computer eines Insiders kompromittiert.
In den meisten Unternehmen greifen die Mitarbeiter von vielen Orten und unterschiedlichen Geräten aus, über mit der Cloud verbundene Anwendungen und Datenspeicher, auf sensible Daten zu – also so ziemlich das Gegenteil einer SCIF. Mit einem derart verteilten und unkalkulierbaren Perimeter macht es noch weniger Sinn, den Großteil unserer knappen Sicherheitsressourcen dort einzusetzen – wir haben keine Ahnung, woher die Angriffe kommen werden.
Wir wissen jedoch, worauf es die Angreifer abgesehen haben. Ihr Unternehmen ist vielleicht nicht im Besitz von streng geheimen Informationen, aber die Chancen stehen gut, dass Sie über Informationen verfügen, die jemand haben möchte. Und genau hier ist es sinnvoll, die knappen Ressourcen zu bündeln.
Sie sollten Ihre Daten anhand des „Need-to-know“-Prinzips (Zugriffsnotwendigkeit) sichern und sie präzise auf Anzeichen ungewöhnlicher Aktivitäten überwachen. So lässt sich der Schaden, den Insider anrichten können, reduzieren, und Sie können solche Angriffe leichter erkennen. Externe Angreifer, die den Computer oder das Konto eines Mitarbeiters übernehmen (und so im Grunde zu Insidern werden), müssen dann viel härter arbeiten, um an die gewünschten Daten zu gelangen. Dadurch gibt es auch mehr Möglichkeiten, sie mit Überwachungslösungen abzufangen.
Es spielt keine Rolle, ob Sie mit militärischen oder geschäftlichen Geheimnissen arbeiten, oder ob Ihre Mitarbeiter in einer SCIF, in einem Bürogebäude oder zu Hause arbeiten – indem Sie die Kontrollmaßnahmen rund um Ihre Daten priorisieren, schützen Sie diese besser vor Insidern und externen Angreifern. So schlagen Sie zwei Fliegen mit einer Klappe.
Dieser Artikel wurde ursprünglich in Forbes veröffentlicht.