Russische Hacker? Eher nicht. Nach Informationen des Nachrichtemagazins Spiegel vermutet die Bundespolizei nach ihren Ermittlungen, dass im Bundestag möglicherweise ein sogenannter „Maulwurf“ – also ein Insider – sitzt und die Daten aus dem Untersuchungsausschuss an die Enthüllungsplattform WikiLeaks weitergegeben hat.
Nach Angaben von WikiLeaks sollen die rund 2.400 Dokumente zum NSA-Ausschuss aus verschiedenen Quellen stammen und nachweisen, dass die amerikanischen National Security Agency (NSA) und der BND zusammengearbeitet haben. Noch vor einigen Wochen hatte die “Frankfurter Allgemeine Sonntagszeitung” einen hohen Sicherheitsbeamten mit den Worten zitiert, „es gebe eine “hohe Plausibilität” dafür, dass die von WikiLeaks veröffentlichten Geheimakten beim Cyberangriff auf den Bundestag erbeutet wurden. Für den Angriff machten Sicherheitskreise russische Hacker verantwortlich.“
Das sieht im Licht der bundepolizeilichen Ermittlungen betrachtet nun anders aus. Wieder ein Insider?
Innentäter die unterschätzte Gefahr
Dass unter bestimmten Umständen praktisch jeder zum Insider werden kann haben Studien ausreichend belegt. Die drei wesentlichen Komponenten von Motiv, Moral und Möglichkeit müssen nur in einem günstigen (oder besser: ungünstigen) Mischungsverhältnis aufeinandertreffen. Das gilt für die großpolitische Gemengelage, Geheimnisverrat oder Wirtschaftsspionage.
Potenzielle Innentäter sind neben den eigenen aktuellen und ehemaligen Mitarbeiter*innen befristet im Unternehmen tätiges Personal und externe Dienstleister. Dass dieses Phänomen nicht neu ist, hatte Anfang dieses Jahres eine Umfrage der Computerwoche bestätigt, bei der im Rahmen des „Vendor Vulnerability Survey 2016“ annähernd 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA befragt wurden. Die als besonders sicherheitsaffin geltenden Deutschen hegten zwar einerseits große Befürchtungen Opfer eines Cyberangriffs zu werden, vergeben aber andererseits Zugriffsberechtigungen an Dienstleister ausgesprochen großzügig. Zutritts- und Zugangsberechtigungen sind oft viel weiter gefasst als es nach dem Prinzip der minimalen Rechtevergabe notwendig gewesen wäre. Außerdem bleiben diese Berechtigungen gerne selbst dann noch erhalten, wenn ein Projekt längst beendet ist oder der betreffende Mitarbeiter das Unternehmen bereits verlassen hat.
Und Innentäter sind es auch, die aufgrund ihrer physischen und virtuellen Zugangs- und Zugriffsmöglichkeiten potenziell den größten Schaden anrichten.
Laut einer aktuellen Studie des Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund 4 Millionen US-Dollar.
Trotz dieser erschreckenden Zahl sind bei weitem nicht alle Vorstandsmitglieder, Geschäftsführer oder Hauptaktionäre ausreichend gewappnet ihre finanziellen Interessen dahingehend zu schützen. In Abwandlung eines alten Zitats aus der IT-Sicherheit gibt es nur zwei Sorten von Unternehmen: diejenigen, die schon Opfer einer Datenschutzverletzung geworden sind und diejenigen, die es (noch) nicht wissen.
Mehr wissen: Insider versus Algorithmus?
Wie in vielen Bereichen des digitalen Lebens kommt hier eine spezielle Klasse von Algorithmen ins Spiel – die sogenannten selbstlernenden Algorithmen.
Um spezielle Aufgaben lösen zu können sind bestimmte Algorithmen an die Funktionsweise des menschlichen Gehirns angelehnt wie Jürgen Geuter, Informatiker und Blogger, in seiner Wired-Kolumne erläutert. Die künstlichen Neuronen werden dann ähnlich zu einem neuronalen Netz verschaltet wie das in unserem Gehirn geschieht. „Jedes einzelne Neuron im Netzwerk entscheidet nun — abhängig von den Impulsen aus den Neuronen, die mit seinen Eingängen verbunden sind — ob es einen Impuls weiterleitet oder nicht. Erst wenn ein gewisser Schwellenwert erreicht wird, „schaltet“ das Neuron, sonst bleibt es still. Dabei gewichtet jedes Neuron unterschiedliche Impulse höher oder niedriger. Am Ende kommt eine Entscheidung dabei heraus, etwa die Feststellung, dass ein Bild eine Katze enthält, oder der Befehl an den Greifarm, sich um 45 Grad zu drehen.“
Dann kommt das Lernen ins Spiel. Dabei wird das System im Hinblick beispielsweise auf eine Zielfunktion hin trainiert. Immer und immer wieder. Algorithmen dieser Art kommen auch bei der Analyse des Benutzerverhaltens zum Tragen. Dabei wird zunächst ein im Hinblick auf bestimmte Nutzer als normal geltendes Verhalten definiert und entsprechende Grenzwerte festgelegt. Sogenannte prädiktive Bedrohungsmodelle dienen dazu so unterschiedliche Phänomene wie Insider-Bedrohungen, Attacken von außen bis hin zu Infektionen mit verschiedenen Ransomware-Varianten sowie verdächtiges (von den definierten Grenzwerten abweichendes) Nutzerverhalten zu erkennen und zu analysieren.
Haben ein Hacker oder Insider sich Zugang zu einem Konto mit den zugehörigen Berechtigungen für beispielsweise besonders vertrauliche Daten verschafft, kann etwa eine Data-Loss-Prevention-Lösung den Angriff nicht aufhalten.
Um diese Daten zu schützen, braucht man zusätzliche Informationen. Man sollte wissen:
Je nach dem, welchen Grad von Vertraulichkeit bestimmte Daten haben, entscheidet man über die entsprechende Risikostufe. Handelt es sich etwa um öffentlich zugängliche und weniger sensible Daten, bei denen die Auswirkungen bei einem potenziellen Angriff eher gering wären, werden sie als weniger gefährdet eingestuft. Security Insider definiert: „Es werden aber nicht alle ungewöhnlichen Verhaltensweisen gleich als gefährlich eingestuft. Jedes Verhalten wird zusätzlich auch im Bezug auf mögliche Auswirkungen bewertet. Wenn ein auffälliges Verhalten etwa weniger wichtige Ressourcen betrifft, erhält es eine niedrige Einstufung. Wenn es dagegen um sensiblere Daten geht, zum Beispiel Personally Identifiable Information (PII), dann erhält es eine höhere Einstufung. Auf diese Weise können Security-Teams Prioritäten setzen, welchen Ereignissen sie nachgehen wollen, während das UBA-System automatisch die Zugriffsrechte einer Person anpasst, die ein ungewöhnliches Verhalten zeigt.“
Mehr wissen mit Metadaten
Ein weiterer Schlüssel, um Insiderbedrohungen zu minimieren sind die Metadaten wie sie zwar vielfach zur Verfügung stehen, aber meist nicht ausreichend genutzt werden.
Das sind zum einen die Benutzer- und Gruppeninformationen (aus Active Directory, LDAP, NIS, SharePoint etc.) sowie die vergebenen Berechtigungen, damit ich weiß, wer auf bestimmte Daten und Informationen überhaupt zugreifen kann (und sollte).
Die Berechtigungen gekoppelt mit den tatsächlichen Dateiaktivitäten sagen bereits eine Menge aus. Sprich, welcher Benutzer wann wie auf welche Dateien und Daten zugegriffen hat. Und schließlich sollten Unternehmen und Behörden genau wissen, wo die Dateien gespeichert sind, die sensible Daten und kritische Informationen enthalten. Kombiniert man anschließend dieses Wissen mit den Grundlagen der Verhaltensanalyse erhält man ein sehr viel genaueres Bild dessen, was im Netzwerk vor sich geht. Verdächtige Aktivitäten sind beispielsweise ungewöhnliche Spitzen (in E-Mails, beim Zugriff auf Dateien oder auch Zugriffe, die verweigert wurden), das Zugreifen auf Daten, die für einen Benutzer oder auch bestimmte Konten untypisch sind, mehrere offene Events bei Dateien, die höchstwahrscheinlich Zugangsdaten enthalten, ein ungewöhnlicher Zugriff auf sensible oder veraltete Daten, kritische GPOs sind verändert oder Rechte erweitert worden.
John Carlin, Assistant Attorney General for National Security, hatte in der Bloomberg-Talkshow Charlie Rose über Cyberspionage, die Verbreitung von Attacken, Insiderbedrohungen und Prävention gesprochen. Für ihn sind in den weitaus meisten Fällen Insiderbedrohungen sehr viel realer als die Wahrscheinlichkeit in die Fänge eines staatlich beauftragten Hackers zu geraten. Carlins Rat: „Sich ausgerechnet gegen diejenigen zu verteidigen, denen man eigentlich vertrauen sollte, ist eine der schwierigsten Herausforderungen überhaupt. Gleichzeitig sind Insiderbedrohungen etwas mit dem sich Privatwirtschaft und Industrie ernsthaft auseinandersetzen sollten. Das bedeutet im Umkehrschluss, Firmen müssen in der Lage sein, alle potenziellen Veränderungen im Nutzerverhalten zu überwachen, die gegebenenfalls auf einen Insider verweisen. Gleichzeitig sollten Unternehmen ihre Systeme so aufsetzen, dass eine einzige Person niemals auf sämtliche Ressourcen zugreifen kann …“.
Quellen:
https://deutsch.rt.com/inland/43850-wikileaks-sorgt-fur-neuen-wirbel-nsa-bnd/
http://www.tagesschau.de/inland/wikileaks-ermittlungen-103.html
http://www.zeit.de/politik/deutschland/2016-12/nsa-akten-datenleak-bundestag-ermittlung
https://www.wired.de/collection/tech/ubernehmt-endlich-verantwortung-fur-eure-algorithmen
Rund 9.000 Zeichen