- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Fachartikel » Hintergrund

Datendiebstahl und Informationssicherheit


Die WikiLeaks-Story - die Wahrheit rund um das Thema Datensicherheit
Doch warum hat ein einfacher U.S. Army Analyst überhaupt Zugang zu Informationen, welche eigentlich nie an die Öffentlichkeit dürften?

Von Gabi Gerber, Barclay Technologies

(04.01.11) - Weshalb ist es möglich, dass ein "Army Intelligence Analyst" mit über 250.000 Diplomatischen Datensätzen – gebrannt auf eine ganz normale CD-RW und gelabelt mit Lady Gagas Song "Telephone" – den Irakischen Stützpunkt in der Nähe von Bagdad verlassen konnte? Ein 22-jähriger Mann hat damit den wahrscheinlich größten Datendiebstahl in der amerikanischen Geschichte geschafft.

Er hatte Zugang zu einem speziell klassifizierten Netzwerk der Regierung und suchte dort anscheinend nach gewissen Schlüsselwörtern, ähnlich wie wenn unsereins in Google einen Suchbefehl absetzt. Das Ergebnis war eine bunte Sammlung von Daten aus aller Welt, welche mit seinem Aufgabenbereich eigentlich gar nichts zu tun hatten.

Doch warum hat ein einfacher U.S. Army Analyst überhaupt Zugang zu Informationen, welche eigentlich nie an die Öffentlichkeit dürften? Gerade beim Pentagon, bei welchem Geld eine untergeordnete Rolle spielt; sollte man nicht davon ausgehen können, dass Sicherheitslücken dieser Art unter Kontrolle sein sollten? Letztes Jahr wurden innerhalb von sechs Monaten über 100 Millionen Dollar und Tausende von "Cyber Warriors" eingesetzt, um die Cyber Defense-Initiativen zu finanzieren.

Zudem wurde ein neues Militärkommando geschaffen, welches sich dediziert nur um Cybersecurity-Aspekte kümmern und jährlich über 200 Cyber Security Officer ausbilden soll. Reichen etwa all diese Mittel doch nicht aus, um einen Militärbeamten davon abzuhalten, hochsensible Daten an die Öffentlichkeit zu bringen?

Gemäß einem Video auf CBS News hat sich der Verteidigungsminister der Vereinigten Staaten – Robert M. Gates – wie folgt für diese Umstände gerechtfertigt:

Nach dem 11. September wurde festgestellt, dass es den Institutionen an einem Informationsaustausch gefehlt hatte. Hätten alle Institutionen ihre Informationen zusammen getragen und geteilt, hätte der 11. September möglicherweise verhindert werden können. Als Reaktion wurde von der Regierung beschlossen, dass Informationen grundsätzlich einem möglichst großen Kreis von Nutzern zur Verfügung gestellt werden müssen. Ziel: Niemandem an der Front soll der Zugang zu Informationen verweigert werden, die ihm möglicherweise hilfreich sein könnten.

Streng gesehen müsste man sich nun fragen, ob diese gelockerte Art des Informationsaustausches schlussendlich nicht die Sicherheit einer ganzen Nation gefährden könnte. Auf jeden Fall sollte nun jedoch allen Unternehmungen, welche geheime Informationen oder einfach grundsätzlich vertrauensvolle Daten in ihren Netzwerken haben, Folgendes klar geworden sein: Im sogenannten "Cyber Age" in dem wir uns befinden, darf der Zugriff auf kritische Daten nicht so salopp gehandhabt werden.

Doch der Weg ist steinig: Anscheinend hat das Verteidigungs-Departement der USA bereits im Februar dieses Jahres einen ehemaligen Hacker engagiert, welcher eine dedizierte Untersuchung bezüglich digitaler Spionage durch Mitarbeiter durchführen sollte. Peiter Zatko, welcher in der Hacker-Szene als Mudge bekannt war, kennt die böse und die gute Seite: Als Teenager in den 80ern startete er mit "Hacken" und wechselte in den 90igern auf die gute Seite.

Seine aktuellen Untersuchungen sollen jedoch noch Jahre davon entfernt sein, damit effektive Lösungen eingesetzt werden können, welche die aktuelle Kluft des Zugriffs auf für die Arbeit notwendigen Informationen und der Datensicherheit schließen werden. Die heute vorhandenen Lösungen decken anscheinend noch lange nicht alle Bedürfnisse ab, weil die verfügbaren Technologien noch in einer Anfangsphase stecken.

In der Zwischenzeit zeigte der WikiLeaks-Vorfall auf, dass das Pentagon definitiv noch nicht mal in der Lage ist, einen Basisschutz für das Erkennen und Schützen von heimlichen Aktivitäten, unautorisierten Downloads etc. zu gewährleisten, wie dies Steven Aftergood vom American Federation of Scientists bestätigt. Zudem fügt er hinzu, dass es sich hierbei um eine sehr schlechte Umsetzung von Sicherheitsrichtlinien handelt, wenn jemand Zugriff auf USB-Ports oder CD-RW-Laufwerke hat und nach Herzenslust Informationen downloaden kann.

Anscheinend hat das Pentagon nun Sofortmaßnamen zum Schutz vor unautorisierten Downloads von entsprechend klassifiziertem Material implementiert und den Einsatz von Wechselmedien in ihrem "Secure Internet Protocol Router Network – SIPRNet" strengstens verboten. Auch der technische Direktor von ESET Österreich – Martin Penzes - hat im Gespräch mit pressetext ausgesagt, dass ein solches Verbot zwar Nachteile beim Userkomfort mit sich bringt, aber definitiv die sicherste Variante sei (siehe pte101210010 Mitteilung vom 10.12.10).

Gemäß seiner Aussage handelt es sich hier zwar um drakonische Ansätze, aber weniger harte Richtlinien seien immer mit einem Restrisiko behaftet. Er erwähnte weiter auch Lösungen, welche beispielsweise USB-Geräte nur auf Grund von Charakteristiken wie Seriennummern zulassen. Doch wenn in diesem Beispiel ein erlaubter USB-Stick eingesetzt wird, können Daten trotzdem das Firmengelände verlassen.

Doch ist ein reines Verbot wirklich der richtige Weg? Angeblich droht das Pentagon ja lediglich mit einem Militärgerichtsverfahren, wenn USB-Sticks oder andere Medien trotzdem genutzt werden.

Der U.S. Army Analyst, der den Datendiebstahl begangen hat, wurde mittlerweile auch inhaftiert, doch hatte ihn diese Perspektive nicht von seinen Aktivitäten abgehalten. In seinem Chat auf www.wired.com hat er sein Vorgehen begründet mit der Aussage, dass er den Leuten die Wahrheit aufzeigen wollte, denn ohne diese könne die Gesellschaft keine fundierten Entscheidungen treffen.

Er ist ein Idealist, der genug von dem Handeln des Staates im ständigen Eigeninteresse hat, der alles hinterfragt und mitten in etwas steckte, was komplett gegen seine eigene Moral spricht. In so einer Situation und mit dem Denken eines Idealisten ist die Hemmschwelle, etwas Verbotenes zu begehen, sozusagen nicht vorhanden. Doch nach wie vor ist auch der amerikanische Staat noch der Meinung, dass ein reines Verbot für die Speicherung von Daten auf einem Wechselmedium vollkommen ausreicht.

Andererseits soll im Pentagon ein Erkennungssystem installiert werden, ähnlich wie bei den Kreditkarten-Firmen, um Betrügereien zu entdecken und zu überwachen – wortwörtliches Zitat aus der Los Angeles Times im Artikel "Inside job: Stolen diplomatic cables show U.S. challenge of stopping authorized users" vom 29. November 2010. Doch was versteht man unter "to detect and monitor fraud"? Man erkennt und überwacht den Diebstahl von Daten oder man kann auch etwas dagegen unternehmen? Viele Anbieter von entsprechenden Lösungen werben zumindest in deren Produktbeschreibungen mit; Detect, Monitor and Protect Confidential Data.

Doch im selben Artikel der Los Angeles Times wird auch erwähnt, dass die aktuellen Systeme Schwierigkeiten haben, um die feinen Anomalien zu entdecken, welche von ausgeklügelten Spionage Netzwerken angewendet werden.

Diese Schwierigkeiten respektive die damit trotzdem bestehenden Lücken der aktuell verfügbaren Lösungen will nun das Verteidigungs-Departement mit der eingangs erwähnten, neugeschaffenen Stelle von Peiter Zatko ergänzen. Hierbei stellt sich nun die Fragen, wie dies von normalen Unternehmungen bewerkstelligt werden soll, da die Privatwirtschaft selten über die Gelder eines Pentagon verfügen.

Auch Dale Meyerrose, der ehemalige Chief Information Officer von der U.S. Intelligence Community spricht von mitschuldigen Insidern, welche die größte Angst für das Verteidigungsministerium darstellt. Man könne sich nie komplett davor schützen. WikiLeaks ist für ihn keine Frage der Technologie sondern eine personelle Vertrauensangelegenheit.

Eigentlich wäre die korrekte Frage doch eher, ob es wirklich notwendig ist, dass Mitarbeiter heute so viele Freiheiten benötigen, um ihre Arbeit zu erledigen. Früher lagen wichtige Dokumente in einem Tresor und den Schlüssel dazu hatten nur sehr wenige Personen. Doch heute liegen die Informationen oftmals ungeschützt in einem Netzwerk und es werden Unsummen in Systeme investiert, die – wie aus dem WikiLeaks Fall hervorgehen – doch nicht die Schutzmaßnahmen darstellen, die man sich erhofft hatte.

Und dies nur, weil man den Mitarbeiter nicht zu sehr in seiner Arbeitsweise einschränken möchte? Rechtfertigt dies wirklich die Auswirkungen von WikiLeaks oder sollte man vielleicht doch noch drakonischere Ansätze in Betracht ziehen? Schlussendlich werden Maßnahmen zum Schutz gegen den Missbrauch von berechtigten Zugriffen immer mit Einschränkungen verbunden sein. Die Frage ist nur wie viele Vorfälle noch notwendig sind, bis diese Erkenntnis in der Wirtschaft akzeptiert wird. (Barclay Technologies: ra)

Die Barclay Technologies (Schweiz) AG ist ein Softwareentwickler einer Verschlüsselungstechnologie.

Barclay Technologies: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Und dann noch die DSGVO

    Im aktuellen Look@IT beruft sich Michael Kroker in seinem Blog auf eine Studie des italienischen IT-Beraters und Systemintegrators Reply. Demnach ist das Thema Datensicherheit im großen Komplex Industrie 4.0 die wohl größte Herausforderung für den Mittelstand. Zwar ist die Bereitschaft da, eine umfassende Vernetzung anzugehen, allerdings sind die Hürden andere als die, mit denen Großkonzerne zu kämpfen haben. Positiv wird hervorgehoben, dass mittelständische Unternehmen bereit sind auf den fahrenden Zug aufzuspringen. Drei von vier Unternehmen wollen in den kommenden Jahren beispielsweise in ihre IoT-Strategie investieren. Die größte Hürde sind Datensicherheitsbedenken gerade im Hinblick auf das dazu notwendige Cloud Computing. Die aktuelle Realität in zahlreichen mittelständischen Unternehmen deckt sich mit den Ergebnissen der Studie: Firmen betreiben bevorzugt hybride Netzwerkvarianten. Was Großunternehmen oder Konzerne und den Mittelstand zusätzlich unterscheidet sind Bedenken wegen der zu erwartenden Kosten. Fast die Hälfte der in der Studie befragten Mittelständler (48 Prozent) macht sich deswegen Sorgen, aber nur 29 Prozent der Großunternehmen.

  • Cyber Intelligence - Mehr als ein Trend?

    Cyber Intelligence, auch Cyber Threat Intelligence oder nur Threat Intelligence, ist keine neue Disziplin innerhalb der Informationssicherheit. Die US-amerikanische National Security Alliance hat gemeinsam mit dem Beratungsunternehmen Deloitte bereits 2011 verlautbaren lassen, dass Cyber Intelligence tatsächlich so etwas wie die intelligentere Art und Weise ist, mit Datenschutzverletzungen und Bedrohungsszenarien umzugehen. Zitat: "The consultancy Deloitte deems cyber intelligence as a vastly more sophisticated and full set of threat management tactics (than IT security itself), providing tools to move to a more proactive, over-the-horizon threat awareness posture."

  • Identitäten für elektronische Finanztransaktionen

    Bei einer Online-Transaktion "Ich stimme zu" zu klicken, reicht nicht aus um nachzuweisen, dass tatsächlich die richtige Person zugestimmt hat. Wenn es um sensible Transaktionen wie die von Finanzdienstleistern geht, dann reichen auch eine aufgezeichnete gesprochene Zustimmung oder eine handschriftliche Online-Unterschrift für eine eineindeutige Verifizierung nicht aus. Hier kommt digitale Identität ins Spiel. 'Digitale Identität' weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen: Initiale Identifikation, Authentifizierung und Autorisierung. Wie das im Einzelnen funktioniert und welche Transaktionen Banken und Finanzdienstleister mithilfe von Identitäten durchführen können, das ist Thema des aktuellen Blogbeitrags von GlobalSign.

  • Identity- und Access-Management-Systeme

    Der regulatorische Druck auf Unternehmen und Organisationen, geeignete Kontrollmechanismen zu etablieren, steigt stetig. Moderne IAM-Lösungen (Identity & Access Management) können wichtige Kernfunktionen übernehmen, um Vermögenswerte und Prozesse der Firmen besser zu schützen. IAM trägt bereits präventiv zur Risikominimierung bei, indem es Identitäten regelmäßig überprüft und nur autorisierten Nutzern Zugriff auf bestimmte Daten gewährt. Zentrale Compliance-Anforderungen erfüllen moderne IAM-Lösungen auch mit der Bereitstellung umfangreicher Analysen und Reports, die jederzeit tiefgreifende Einblicke in die Zugriffsstrukturen eines Unternehmens gewähren. Moderne IAM-Systeme beziehen hierfür ihre Daten aus zahlreichen Quellen und erstellen jederzeit detaillierte Analysen und Berichte. Dies beschleunigt die Reaktionszeit, um Autorisierungsfehler korrigieren zu können, verbessert die Systemsteuerung und vermindert die Risiken.

  • Stauatlas: IT in der Bankenregulierung

    Eine Vielzahl von Regularien von BCBS 239 bis MiFID II stellt die Compliance- und IT-Abteilungen der Kreditinstitute vor große Herausforderungen. Vor allem in Kombination mit ambitionierten Zeitplänen und einer großen Verunsicherung über die konkrete Ausgestaltung und potenzielle neue Gesetze. Dabei kämpfen die Compliance-Beauftragten oft mit reiner Pflichterfüllung statt Kür in den Abteilungen, drei Viertel der Bankmanager mangelt es an Akzeptanz für die Bedeutung der Regularien. In der Studie "Stauatlas: IT in der Bankenregulierung" hat das Software- und Beratungshaus PPI AG den Status Quo bei der Umsetzung in IT-Abteilungen untersucht.