Abwehr von Insider-Attacken: Wie Unternehmen ihre

Security and Privacy
September 2006
Abwehr von Insider-Attacken:
Wie Unternehmen ihre sensiblen
Informationen schützen können
Abwehr von Insider-Attacken:
Wie Unternehmen ihre sensiblen Informationen schützen können
Seite 2
Einleitung
Inhalt
2 Einleitung
3 Die zunehmende Gefährdung
durch Insider-Attacken
5 Risiken für Unternehmen:
Was steht auf dem Spiel?
6 Entwicklung von differenzierteren
Sicherheitsmaßnahmen
11 Zusammenfassung
Jedes Jahr werden immer mehr Geschäftstransaktionen elektronisch
durchgeführt, und Unternehmen speichern eine immer größere
Menge an sensiblen Daten. Für viele Unternehmen sind Daten von
existenziellem Wert, da sie die Grundlage aller Geschäftsabläufe
bilden. Immer mehr Benutzer haben heute Zugriff auf diese Daten
– Mitarbeiter, Geschäftspartner, Lieferanten und Kunden – und
die IT-Infrastruktur ist umfangreicher, komplexer, verteilter und
einfacher zugänglich als je zuvor.
Die zunehmende Vernetzung bietet Unternehmen, Behörden und
Verbrauchern zahlreiche Vorteile, birgt jedoch auch ein enormes
Risiko. Je mehr Zugriffspunkte ein Unternehmen bereitstellt, desto
größer ist die Gefahr eines unbefugten Systemzugriffs oder eines
Datendiebstahls. Und es steht viel auf dem Spiel – insbesondere da die
Menge der gespeicherten persönlichen Daten zunimmt. Unternehmen
und Behörden müssen strenge gesetzliche Auflagen einhalten und
das eigene intellektuelle Kapital vor Mitbewerbern oder subversiven
politischen Kräften schützen, während die Verbraucher in der Regel
vor allem wegen eines möglichen Identitätsdiebstahls und anderer
Datenschutzverstöße besorgt sind.
Durch die wachsende Sorge der Öffentlichkeit in Bezug auf die
Sicherheit und den Schutz personenbezogener Daten werden heute
viele Unternehmen und Behörden kritisch betrachtet. Die einzelnen
Länder sind verstärkt dabei, Gesetze zum Schutz vertraulicher Daten
auszuarbeiten. In Deutschland hat der Datenschutz mit dem vom
Bundesverfassungsgericht bestätigten Recht auf informationelle
Selbstbestimmung schon lange eine besondere Bedeutung. Das Telemediengesetz wird Diensteanbieter verpflichten, Nutzer genau über
die vorgenommene Datenspeicherung und -verwendung aufzuklären.
Auch Gesetze in Großbritannien, insbesondere der Data Protection Act
von 1998, wurden in den letzten Jahren erweitert, um den Schutz vor
Betrug und Identitätsdiebstahl abzudecken. In den USA verabschiedete
Kalifornien das Security Breach Notification Law, das Unternehmen
(unabhängig von ihrem Standort) dazu verpflichtet, die kalifornischen
Bürger über Fälle von Datenbetrug zu informieren.1 Seitdem haben
23 weitere US-Bundesstaaten eigene Gesetze verabschiedet, die eine
Offenlegung solcher Vorfälle vorschreiben, und Kanada plant ähnliche
Maßnahmen. Diese jüngsten Gesetze sowie häufige Berichte in den
Medien über Sicherheitsverstöße sind Reaktionen auf mittlerweile
weit verbreitete Sicherheitsbedrohungen.
Abwehr von Insider-Attacken:
Wie Unternehmen ihre sensiblen Informationen schützen können
Seite 3
Highlights
IBM hat in seinem Global Business Security Index Report von 2005 einen
neuen Trend hin zu kleineren, gezielten Attacken – anstelle von weit
reichenden unspezifischen Bedrohungen durch Würmer, Spam, Viren
und weitere Malware – ausgemacht. 2 Insbesondere Insider-Attacken
stellen eine enorme Gefahr für die Sicherheit und den Schutz von Daten
dar. Dieses White Paper verdeutlicht das Problem von Insider-Attacken
und unterbreitet Vorschläge, wie Unternehmen ihr Risiko verringern
können.
Die zunehmende Gefährdung durch Insider-Attacken
Starke Maßnahmen zum Schutz eines
Unternehmens vor externen Gefahren
können solche Bedrohungen effektiv
abwehren, sind jedoch nur ein Teil der
Sicherheit, die Unternehmen heute
brauchen.
Unternehmen haben jahrzehntelang daran gearbeitet, mit stärkeren
Maßnahmen zum Schutz vor unbefugten Zugriffen, wie z. B. Firewalls,
Antivirensoftware, biometrischen Zugangskontrollen und elektronischen Ausweisen, ein Gegengewicht zu offeneren, besser vernetzten
und verteilten Netzwerken zu schaffen. Diese Maßnahmen sorgten für
eine effektivere Abwehr von Gefahren von außerhalb und erschwerten
Hackern oder Viren das Eindringen in die Systeme eines Unternehmens.
Doch diese Technologien gehen größtenteils passiv an Sicherheitsprobleme
heran und sind darauf ausgelegt, nur unbefugte Zugriffsversuche zu
vereiteln. Sie stellen nur die erste Verteidigungslinie dar.
Auch wenn das Risiko interner Schwachstellen angesichts der Angriffe von außen
häufig in den Hintergrund gerät, ist es
dennoch ein drängendes Problem für
praktisch jedes Unternehmen und jede
Organisation.
Laut „The Global State of Information Security 2005“, einer von
PricewaterhouseCoopers und CIO veröffentlichten Studie, gehen
33 Prozent aller Angriffe auf die Informationssicherheit von internen
Mitarbeitern und 28 Prozent von ehemaligen Mitarbeitern und Partnern
aus.3 Auch wenn Unternehmen, Behörden und Branchenanalysten
das Risiko von internen Sicherheitsverstößen gewiss nicht außer Acht
lassen, gerät es doch angesichts spektakulärer Bedrohungen durch
Denial-of-Service-Attacken, weit verbreiteter Viren oder Diebstähle von
intellektuellem oder finanziellem Kapital häufig in den Hintergrund.
Abwehr von Insider-Attacken:
Wie Unternehmen ihre sensiblen Informationen schützen können
Seite 4
Highlights
„Unehrliche Insider“ können die Schwachstellen eines Unternehmens ausnutzen,
um Identitätsbetrug zu begehen und
vertrauliche Informationen auszunutzen
– z. B. aus Rache, um sich persönlich zu
bereichern oder im verbrecherischen
Auftrag.
Eine vom Privacy Rights Clearinghouse
geführte Liste zeigt Hunderte von Verstößen
gegen Datenschutzbestimmungen, die in
den USA allein seit Februar 2005 gemeldet
wurden.
Gefahren von außerhalb Priorität gegenüber internen Bedrohungen
einzuräumen, ist jedoch falsch und kann große Lücken im Schutzwall eines Unternehmens hinterlassen. HSBC Electronic Data
Processing (India) Private Ltd., ein auf Back-Office-Verarbeitung
und Kundensupport spezialisiertes Unternehmen, gab im Juni 2006
bekannt, dass sich ein Mitarbeiter, der zu einer größeren Diebesbande
gehörte, Zugriff auf Kundenkartendaten verschafft und damit 20 Kunden
in Großbritannien und Nordirland um 425.000 US-Dollar gebracht
hatte.4 Dieser Vorfall ist nur einer von vielen, die in den letzten Jahren
bekannt wurden. Eine vom Privacy Rights Clearinghouse in den USA
geführte Liste nennt Hunderte von Verstößen gegen die Datensicherheit
seit dem Aufsehen erregenden Datendiebstahl bei ChoicePoint im
Februar 2005.5 Viele dieser Sicherheitsverstöße hatten ihren Ursprung
innerhalb von Unternehmen – sie gingen von Personen aus, die auf der
Liste des Privacy Rights Clearinghouse als „unehrliche Insider“ geführt
werden. Hier einige Beispiele aus dieser Liste:
• Bei einer Full-Service-Wertpapierfirma verschaffte sich ein
früherer Mitarbeiter unbefugten Zugriff auf die Daten von
mehr als 100 Kunden.
• Die Systeme eines Hotels waren das Ziel eines Angriffs
eines wahrscheinlich unehrlichen Insiders. Dabei wurden
55.000 Kundendatensätze – Namen, Adressen, Kreditkartendaten, Sozialversicherungsnummern, Führerscheinnummern
und Bankverbindungen – einem Risiko ausgesetzt.
• Vermutlich ein unehrlicher Insider erlangte Zugriff auf die
Systeme eines Internet-Abrechnungsunternehmens, wobei
Namen, Telefonnummern, Adressen, E-Mail-Adressen, IP-Adressen,
Anmeldenamen, Kennwörter, Kreditkartentypen und Kaufbeträge
online offen gelegt wurden.
• Bei einem Versicherungsunternehmen verschaffte sich eine
Mitarbeiterin Zugang zu vertraulichen Daten, einschließlich
Namen, Sozialversicherungsnummern, Geburtsdaten und
Adressen von Immobilien in der Zwangsversteigerung, die sie
dann nutzte, um sich persönlich zu bereichern.
Viele weitere Fälle traten in Verbindung mit gestohlenen Laptops, verloren gegangenen Bändern mit Sicherungsdaten oder der unbefugten
Einrichtung und Nutzung von Accounts auf.5 Auch wenn diese Fälle
streng genommen nicht in die Kategorie „Insider-Attacken“ fallen,
können sie ein Unternehmen dennoch demselben Risiko aussetzen
– da Außenstehende die Zugriffsmöglichkeiten berechtigter Benutzer
ausnutzen, um Sicherheitsvorkehrungen zu umgehen und dabei
unbemerkt zu bleiben.
Abwehr von Insider-Attacken:
Wie Unternehmen ihre sensiblen Informationen schützen können
Seite 5
Risiken für Unternehmen: Was steht auf dem Spiel?
Highlights
Da Mitarbeiter über gültige Berechtigungen
verfügen und die Schwachstellen eines
Unternehmens kennen, sind InsiderAttacken häufig schwieriger zu erkennen
als unbefugte Zugriffsversuche von außen.
Insider-Attacken können erheblichen Schaden anrichten, der dem
durch Angriffe von außen verursachten Schaden in nichts nachsteht
oder diesen sogar noch übertrifft. Ein Insider ist in sein Unternehmen
eingebunden und genießt Vertrauen. Er verfügt über eine gültige
Berechtigung und kann sich in der Regel relativ unbehelligt innerhalb
der IT-Infrastruktur des Unternehmens aufhalten und bewegen.
Insider-Attacken zielen meist auf bestimmte Informationen ab und
nutzen etablierte Zugriffspunkte oder nicht behobene Schwachstellen.
Sie sind in vielerlei Hinsicht schwieriger zu erkennen als unbefugte
Zugriffsversuche von außen.
Laut einer vor kurzem durchgeführten
Studie dauert es durchschnittlich
18 Monate, bis betrügerische Machenschaften aufgedeckt werden.
In ihrem „2006 ACFE Report to the Nation on Occupational Fraud and
Abuse“ weist die Association of Certified Fraud Examiners (ACFE) nach,
dass die meisten allgemeinen Betrugsfälle – Veruntreuung, Korruption
oder betrügerische Abrechnungen – nur durch Zufall oder Tipps von
Mitarbeitern aufgedeckt werden. Dies deutet darauf hin, dass es in sehr
vielen Unternehmen an einer effektiven Überwachung und Aufsicht fehlt.
Der Bericht stellt auch fest, dass es im Durchschnitt 18 Monate dauert,
bevor solche betrügerischen Machenschaften entdeckt werden.6
Unbemerkte Attacken können gravierenden Schaden anrichten: Sie setzen
Unternehmen dem Risiko der Haftung
für gefährdete Daten aus, schwächen
seine Wettbewerbsposition und führen zu
Unterbrechungen der Geschäftsabläufe.
Interne Attacken, die unbemerkt bleiben, können einem Unternehmen
gravierenden Schaden zufügen. Sie gefährden die persönlichen Daten
von Kunden oder Mitarbeitern und vertrauliche Informationen zu
Entwicklung, Produktion oder Vertrieb. Ein solcher Verstoß gegen
die Datensicherheit – ob Identitätsdiebstahl, Missbrauch von Daten
oder Verkauf vertraulicher Informationen – setzt ein Unternehmen
nicht nur dem Risiko der direkten Schäden, sondern auch dem
Risiko von Haftung und Strafen aus. Auch die Wettbewerbsposition
eines Unternehmens wird drastisch in Mitleidenschaft gezogen, wenn
ein Insider das geistige Eigentum des Unternehmens oder Geschäftsgeheimnisse auf unbefugte Weise verwendet. Solche Attacken können
außerdem darauf abzielen, das Unternehmen zu erpressen oder seinen
Ruf zu schädigen. Führen sie zu IT-Ausfällen oder beschädigten
Systemen, haben solche Attacken zudem eine Unterbrechung von
Geschäftsabläufen zur Folge und mindern den Wert der IT-Investitionen.
Es steht viel auf dem Spiel. Daher wird es immer wichtiger, die Gefahr
von Insider-Attacken anzugehen – und zwar bevor diese eintreten.
Abwehr von Insider-Attacken:
Wie Unternehmen ihre sensiblen Informationen schützen können
Seite 6
Entwicklung von differenzierteren Sicherheitsmaßnahmen
Highlights
Verteilte globale Arbeitsumgebungen
und sich rasch ändernde geschäftliche
Bedingungen erfordern ein ausgewogenes
Verhältnis zwischen Zugriffsmöglichkeiten
für Endbenutzer und dem Schutz von
Daten.
Der Schutz vor Insider-Attacken setzt
ausgefeiltere und differenziertere
Sicherheitssysteme voraus.
Es gibt vier Grundelemente, die für die
nötige Differenziertheit zur Abwehr von
Insider-Attacken sorgen.
Die verteilten Umgebungen und sich rasch ändernden geschäftlichen
Bedingungen (z. B. Fusionen und Übernahmen, starke Veränderungen
im Personalstand und globale Ressourcenbeschaffung) führen heute
dazu, dass die Benutzer auf zahlreiche geografische Standorte verteilt
sind, Systeme viele unterschiedliche Zugriffspunkte haben und verärgerte Mitarbeiter möglicherweise dem Unternehmen Schaden zufügen wollen. Die Folge: Die Unternehmen sind heute einem größeren
Risiko von Insider-Attacken ausgesetzt. Jedes Unternehmen braucht
eine Strategie für das effektive Management dieses Risikos, um ein
ausgewogenes Verhältnis zwischen den Zugriffsmöglichkeiten für
Endbenutzer und dem Schutz vor Sicherheitsverstößen zu erreichen.
Wenn man nach Insider-Attacken Ausschau hält, muss man sich
– im Gegensatz zu Gefahren von außen – nicht fragen, ob der Zugriff
eines Benutzers berechtigt ist, sondern ob das Verhalten des Benutzers
akzeptabel ist. Während die erste Frage sich einfach mit ja oder nein
beantworten lässt, ist die zweite Frage sehr viel komplexer. Denn das
Verhalten eines Benutzers umfasst von Anfang bis Ende sämtliche
Ereignisse in einer bestimmten Benutzer-Session und erlaubt Rückschlüsse auf langfristige Muster sowie feine Unterschiede. Wie wir
im Folgenden verdeutlichen werden, gibt es vier Grundelemente, die
als Teil einer umfassenden Herangehensweise an die Abwehr von
Insider-Attacken für eine differenzierte Sicherheit sorgen. Diese
vier Elemente sind Verhaltensanalysen, integrierte Sicherheitskomponenten, die automatische Einleitung von Maßnahmen und ein iterativer
Modellierungsprozess.
Verhaltensanalyse
Um Insider-Attacken vermeiden zu können, muss man zunächst wissen,
welches Verhalten in einem bestimmten Geschäftsprozess normal ist
und welches Verhalten von der Norm abweicht. Einer der ersten Schritte
ist daher die Festlegung von Richtlinien – die Definition der Parameter
für akzeptables Verhalten innerhalb einer Vergleichsgruppe. Diese
Parameter bilden die Basis für eine Vergleichsanalyse. Deshalb ist
es wichtig, Verhaltensprofile von Benutzern auf der Grundlage von
Langzeitdaten oder konkreter Erfahrung anzulegen – und nicht nur
auf Basis häufig unrealistischer Erwartungen.
Abwehr von Insider-Attacken:
Wie Unternehmen ihre sensiblen Informationen schützen können
Seite 7
Highlights
Sicherheitssysteme sollten automatisch
die Onlineaktivitäten berechtigter Benutzer
überwachen, abnormales Verhalten
erkennen und sogar potenziellen Missbrauch vermeiden helfen.
(Werden die Parameter, die das Benutzerverhalten kennzeichnen sollen,
zu weit gefasst, besteht die Gefahr, dass außergewöhnliches Verhalten
möglicherweise unbemerkt bleibt. Bei zu eng definierten Parametern
besteht dagegen das Risiko, dass ständig falscher Alarm ausgelöst wird.)
Jede Änderung des Aufgabenbereiches eines Benutzers muss so natürlich
auch zur Aktualisierung seines Profils führen.
Sicherheitssysteme können diese Parameter als Grundlage für Vergleichsanalysen verwenden, um jeden Aspekt der Onlineaktivitäten berechtigter
Benutzer automatisch zu überwachen – von Anfang bis Ende jeder
Session. Die Systeme dürfen nicht nur in der Lage sein, abnormales
Verhalten anhand einer Vergleichsanalyse zu erkennen, sondern müssen
auch potenziellen Missbrauch vorhersehen und sogar verhindern, indem
sie unmittelbar auf bestimmte Trigger-Ereignisse reagieren. Dazu lassen
sich folgende Variablen überwachen:
• Erstverbindung – Datum und Uhrzeit der Anmeldung, beteiligte
IP-Adressen und Verbindungshäufigkeit
• Datenzugriff – Datenanforderungen, geordnet nach Typ
• Anwendungsnutzung – Häufigkeit und Dauer
• Gesamte Nutzung – Gesamtdauer der Session und Gesamtanzahl
der Datenanforderungen
Die Verhaltensanalyse kann dazu beitragen,
geringfügige Abweichungen und ungewöhnliche Muster in dynamischen Arbeitsumgebungen mit hohem Datenverkehr
aufzuzeigen.
Die Verhaltensanalyse kann sich in dynamischen Arbeitsumgebungen
mit hohem Datenverkehr als unverzichtbar erweisen, z. B. in
Call-Centern, in denen Kundendaten anfällig für Betrug oder Missbrauch sind. Die Mitarbeiter in diesen Call-Centern haben umfangreichen Zugang zu Kundendaten, greifen aber in der Regel während
ihres Arbeitstags nur auf eine überschaubare Anzahl an Datensätzen
zu. Wenn nun anhand einer Protokollanalyse festgestellt wurde, dass
jeder Mitarbeiter in einem bestimmten Call-Center normalerweise
auf zehn bis 15 Datensätze pro Tag zugreift, ist es angemessen, einen
Mitarbeiter genauer unter die Lupe zu nehmen, der plötzlich auf
30 oder mehr Datensätze zugreift. Ebenso könnte ein Unternehmen
Verdacht schöpfen, wenn sich ein Mitarbeiter Informationen ansieht,
die er für Kundeninteraktionen normalerweise gar nicht benötigt.
Nur durch permanente, kontrollierte Verhaltensanalysen lassen sich
solche Abweichungen feststellen.
Abwehr von Insider-Attacken:
Wie Unternehmen ihre sensiblen Informationen schützen können
Seite 8
Integrierte Sicherheitskomponenten
Highlights
Sicherheitselemente sollten nahtlos – in
Echtzeit – zusammenarbeiten, um eine
gründliche Analyse und schnelle Reaktion
auf potenzielle Gefahren zu ermöglichen.
Viele Unternehmen verfügen zumindest über einige der Sicherheitselemente, die zum Schutz vor Insider-Attacken erforderlich sind:
Authentifizierungssysteme, Software zur Ressourcenkontrolle,
Funktionen zur Überwachung von Einheiten und der Internetnutzung
sowie weitere Tools. Entscheidend ist jedoch, dass diese einzelnen
Komponenten so nahtlos wie möglich interagieren. Häufig nimmt
die Analyse einer enormen Menge an Daten aus einer Vielzahl verschiedener Einheiten, Zugriffspunkte und Benutzerkonten zu viel
Zeit in Anspruch. Tatsächlich ist dies einer der Gründe dafür, warum
Unternehmen die Erkennung von Insider-Attacken so schwer fällt.
Unternehmen müssen eine differenzierte Kommunikation, Korrelation
und Analyse einer Vielzahl verschiedener Sicherheitskomponenten
ermöglichen. Zu diesen Komponenten gehören Gateways für die
Authentifizierung, physische Sicherheitssysteme, Tools für das
Ressourcenmanagement, Funktionen zur Netzwerküberwachung
und Websicherheitsplattformen. Diese Systeme sollten in Echtzeit
miteinander kommunizieren, damit das Unternehmen schnell reagieren kann, um einen Missbrauch von Daten zu verhindern – und
die Systeme sollten potenzielle Angriffe möglichst vorhersehen
und verhindern.
Die Systeme, die ein Unternehmen zur Überwachung des Benutzerverhaltens einsetzt, sollten außerdem den Administratoren die Überwachung und Erkennung von Verhaltensmustern erleichtern. Daher
müssen die Administratoren Zugriff auf eine zentrale Konsole haben,
die Nachrichten und Ereignisse von Systemen zusammenstellt und
alle wichtigen Aspekte – von Netzwerkeinheiten bis zur Nutzung von
Anwendungen – überwacht. Die manuelle Protokollprüfung und Suche
nach komplexen Beziehungen zwischen Systemen nimmt mehr Zeit
und Arbeit in Anspruch, als notwendig und lohnenswert erscheint.
Abwehr von Insider-Attacken:
Wie Unternehmen ihre sensiblen Informationen schützen können
Seite 9
Highlights
Eine effektive Erkennung von Verhaltensmustern hängt von der Fähigkeit ab,
Nachrichten und Ereignisse aus unterschiedlichen Überwachungssystemen in
der gesamten IT-Umgebung zu korrelieren.
Überlegen Sie, um wie viel leistungsfähiger die Funktionen zur
Erkennung von Verhaltensmustern eines Unternehmens sein können,
wenn Ereignisse in der gesamten IT-Umgebung korreliert werden.
Zwei Beispiele: Ein Benutzer, der normalerweise nur auf eine bestimmte
Anwendung zugreift, startet plötzlich eine besonders große Menge von
Zugriffen auf viele verschiedene Anwendungen. Oder es werden zu unüblichen Zeiten viele Informationen aus einer Datenbank gelesen und
von dem gleichen System dann Verbindungen ins Internet aufgebaut.
Solche Ereignisse kann ein integriertes System verknüpfen und das
Verhalten als ungewöhnlich und potenziell gefährlich einstufen. Ohne
diese automatische Korrelation in Echtzeit könnten solche Angriffe
möglicherweise nicht schnell genug entdeckt werden. Schon eine Verzögerung von nur wenigen Stunden ließe einem potenziellen Angreifer
genug Zeit für seine Machenschaften.
Automatische Einleitung von Maßnahmen
Unternehmen müssen möglichst schnell Abweichungen vom normalen
Verhalten erkennen und entsprechend darauf reagieren. Die manuelle
Erkennung von Abweichungen und Einleitung von geeigneten Maßnahmen reicht jedoch möglicherweise nicht aus, insbesondere wenn
eine Attacke außerhalb der Geschäftszeiten stattfindet.
Die Sicherheitssysteme selbst müssen
in der Lage sein, sofort auf inakzeptables
Verhalten von Benutzern zu reagieren.
Die automatische Zugriffsverweigerung
kann potenzielle Attacken schnell verhindern – und Netzwerkadministratoren
einen Zeitvorsprung geben, geeignete
Maßnahmen festzulegen.
Um Schaden zu vermeiden oder zu begrenzen, müssen die Systeme
selbst in der Lage sein, sofort auf inakzeptables Verhalten zu reagieren.
Sobald beispielsweise das Verhalten vom Standard abweicht und dabei
ein bestimmter Schwellwert überschritten wird, sollte das System
den Zugriff auf die entsprechende Anwendung oder Datenressource
einschränken. Diese zeitnahe Reaktion gibt dem Netzwerkadministrator
Gelegenheit, um die Verhaltensmuster gründlich zu analysieren und
eine geeignete Maßnahme auszuwählen. Der Netzwerkadministrator
sollte kein spezialisiertes Sicherheits-Know-how benötigen, um diese
Daten interpretieren oder die nächsten Schritte festlegen zu können. Die
Sicherheitssysteme sollten deshalb automatisch eine Reihe relevanter
Maßnahmen vorschlagen, die auf neuesten Forschungsergebnissen und
Erkenntnissen über Sicherheitsrisiken basieren. Darüber hinaus sollten
die Systeme in der Lage sein, einen falschen Alarm zu erkennen und zu
ignorieren. Denn ein Warnsystem, das Meldungen lediglich weitergibt,
ohne eine solche einfache Analyse selbstständig durchzuführen, bietet
keinen Mehrwert für den Überwachungsprozess.
Abwehr von Insider-Attacken:
Wie Unternehmen ihre sensiblen Informationen schützen können
Seite 10
Iterativer Modellierungsprozess
Highlights
Um mit den wachsenden Sicherheitsbedrohungen Schritt zu halten, müssen
Unternehmen ihre Sicherheitsmaßnahmen
kontinuierlich ändern und erweitern.
Selbstoptimierende Systeme sollten
angemessen und intelligent auf
dynamische Geschäftsbedingungen
reagieren können – ohne manuelle
Intervention.
Ganz gleich, wie gut sich ein Unternehmen auf die Sicherheitsbedrohungen von heute vorbereitet, das Risiko nimmt weiter zu. Mitarbeiter
kommen und gehen. Die IT-Infrastruktur wird immer umfangreicher.
Sie wird um neue Technologien ergänzt, die zu unvorhergesehenen
Schwachstellen führen können. Um sensible Daten zu schützen, müssen
Unternehmen potenziellen Gefahren immer einen Schritt voraus sein.
Sicherheitssysteme sollten dabei eine wesentliche Rolle spielen.
Wichtig ist, dass Erkennungssysteme nicht auf eng gefasste, spezifische
Regeln beschränkt werden, da sich die Definition gültigen Verhaltens
mit der Zeit ändern kann. Stattdessen sollten Unternehmen Systeme
einsetzen, die sich selbst optimieren und dadurch angemessen und
intelligent auf dynamische Geschäftsbedingungen reagieren – ohne
dass die Regeln jedes Mal völlig neu definiert werden müssen. Beispielsweise kann ein Call-Center die durchschnittliche Länge eines Gesprächs
häufig ändern, um bestimmte Ziele in Bezug auf die Kosten oder Kundenzufriedenheit zu erreichen. Oder die Call-Center-Agents müssen
im Rahmen einer Marketingkampagne auf Daten zugreifen, die sie
normalerweise nicht benötigen. Können sich Systeme nicht dynamisch
an solche Änderungen anpassen, besteht die Gefahr, dass ständig falscher
Alarm gegeben wird – und eine berechtigte Warnung möglicherweise
übersehen wird. Gleichzeitig dürfen die für die Systeme festgelegten
Schwellenwerte nicht zu hoch gesetzt werden, da sonst feine Abweichungen innerhalb großer Stichproben von Verhaltensdaten nicht
zuverlässig erkannt werden. Ein ausgewogenes Verhältnis zwischen
beiden Extremen lässt sich mit einem iterativen Modellierungsprozess
erreichen, bei dem die Überwachungssysteme die normalen Abläufe,
Kommunikationsarten und Verhaltensmuster des Unternehmens
protokollieren und darin auch unterschiedliche Typen akzeptablen
Verhaltens erkannt werden.
Abwehr von Insider-Attacken:
Wie Unternehmen ihre sensiblen Informationen schützen können
Seite 11
Zusammenfassung
Highlights
Unternehmen müssen darauf vorbereitet
sein, Angriffe abzuwehren, ganz gleich,
wo diese ihren Ursprung haben – auch
wenn die Grenzen zwischen Unternehmen,
Partnern, Benutzern und Kunden verschwimmen.
Die jüngsten Vorkommnisse haben gezeigt, dass es sich Unternehmen,
gleich welcher Branche, nicht leisten können, das Risiko von InsiderAttacken zu ignorieren. Wenn Unternehmen wachsen, beschäftigen sie
Mitarbeiter an immer mehr unterschiedlichen Standorten. Sie implementieren Systeme, die heterogener, komplexer und besser vernetzt sind.
Sie speichern eine immer größere Menge an vertraulichen Daten und
müssen ständig neue gesetzliche Bestimmungen einhalten.
Die traditionellen Grenzen zwischen Unternehmen, Partnern,
Benutzern und Kunden lösen sich immer mehr auf, was die Definition
und Umsetzung von Sicherheitsrichtlinien erschwert. Unternehmen
müssen darauf vorbereitet sein, Angriffe abzuwehren, ganz gleich,
wo diese ihren Ursprung haben – indem sie Schwachstellen in genau
dieser Lücke zwischen dem traditionellen und dem offenen, verteilten
Unternehmen von heute und morgen ins Visier nehmen.
Weitere Informationen
IBM Deutschland GmbH
70548 Stuttgart
ibm.com/de
IBM Global Services gehört zu den führenden Experten im Bereich
Sicherheit und Datenschutz und kann Ihnen fundierte Informationen
über die Gefahr von Insider-Attacken liefern und mögliche Maßnahmen
zum Schutz vor diesen Attacken empfehlen. Das IBM Information Security
Framework, das methodisch und effizient an wichtige Sicherheitsprobleme
herangeht, unterstützt Unternehmen dabei, den immer größeren Gefahren, Risiken und geschäftlichen Anforderungen im Bereich Datenschutz
und allgemeine Sicherheit zu begegnen. Das IBM Center for Business
Optimization liefert wertvolle Einblicke in Sicherheits- und Datenschutzprobleme und hilft Unternehmen dabei, effektive Strategien zu erarbeiten
– durch komplexe mathematische Forschung, Business-PerformanceManagement, Business-Intelligence-Systeme, Software und Deep
Computing.
IBM Österreich
Obere Donaustraße 95
1020 Wien
ibm.com/at
IBM Schweiz
Vulkanstrasse 106
8010 Zürich
ibm.com/ch
Die IBM Homepage finden Sie unter:
ibm.com
IBM, das IBM Logo und ibm.com sind eingetragene
Marken der IBM Corporation.
Weitere Unternehmens-, Produkt- oder Servicenamen
können Marken anderer Hersteller sein.
Weitere Informationen erhalten Sie bei Ihrem IBM Vertriebsbeauftragten.
Oder wenden Sie sich direkt an:
Vertragsbedingungen und Preise erhalten Sie bei den
IBM Geschäftsstellen und/oder den IBM Business
Partnern. Die Produktinformationen geben den derzeitigen
Stand wieder. Gegenstand und Umfang der Leistungen
bestimmen sich ausschließlich nach den jeweiligen
Verträgen.
IBM Security & Privacy Deutschland
Björn Haan, Leiter Geschäftsfeld Deutschland, IBM Security and
Privacy Services – [email protected]
IBM Center for Business Optimization
Toby Cook, Associate Partner, IBM Center for Business Optimization –
[email protected]
© Copyright IBM Corporation 2006
Alle Rechte vorbehalten.
1
California Security Breach Information Act (S.B. 1386),
erlassen am 1. Juli 2003; http://info.sen.ca.gov/pub/0102/bill/sen/sb_1351-1400/sb_1386_bill_20020926_
chaptered.html
2
IBM Global Business Security Index Report, 2005
3
Scott Berinato (mit Research Editor Lorraine Cosgrove
Ware), „The Global State of Information Security
2005“, 15. September 2005, veröffentlicht von
PricewaterhouseCoopers und CIO;
http://www.cio.com/archive/091505/global.html
4
„A Chronology of Data Breaches Reported Since the
ChoicePoint Incident“, Privacy Rights Clearinghouse,
5. August 2006, verwendet mit Genehmigung des
Privacy Rights Clearinghouse, www.privacyrights.org
5
John Ribeiro, „HSBC claims customer fraud in Indian
services center“, Network World (IDG NewsService),
27. Juni 2006; http://www.networkworld.com/
news/2006/062706-hsbc-claims-customer-fraud-in.html
6
„2006 ACFE Report to the Nation on Occupational Fraud
and Abuse“, Association of Certified Fraud Examiners;
http://www.acfe.com/fraud/report.asp
IBM Information Security Framework
Michel Bobillier, Global Offering Executive, IBM Security and
Privacy Services – [email protected]
Oder besuchen Sie uns unter:
ibm.com/services/de/security
GSW00316-DEDE-00
IBM Form GM12-6807-00 (02/2007)