Datendiebstahl und Informationssicherheit
Die WikiLeaks-Story - die Wahrheit rund um das Thema Datensicherheit
Doch warum hat ein einfacher U.S. Army Analyst überhaupt Zugang zu Informationen, welche eigentlich nie an die Öffentlichkeit dürften?
Von Gabi Gerber, Barclay Technologies
(04.01.11) - Weshalb ist es möglich, dass ein "Army Intelligence Analyst" mit über 250.000 Diplomatischen Datensätzen – gebrannt auf eine ganz normale CD-RW und gelabelt mit Lady Gagas Song "Telephone" – den Irakischen Stützpunkt in der Nähe von Bagdad verlassen konnte? Ein 22-jähriger Mann hat damit den wahrscheinlich größten Datendiebstahl in der amerikanischen Geschichte geschafft.
Er hatte Zugang zu einem speziell klassifizierten Netzwerk der Regierung und suchte dort anscheinend nach gewissen Schlüsselwörtern, ähnlich wie wenn unsereins in Google einen Suchbefehl absetzt. Das Ergebnis war eine bunte Sammlung von Daten aus aller Welt, welche mit seinem Aufgabenbereich eigentlich gar nichts zu tun hatten.
Doch warum hat ein einfacher U.S. Army Analyst überhaupt Zugang zu Informationen, welche eigentlich nie an die Öffentlichkeit dürften? Gerade beim Pentagon, bei welchem Geld eine untergeordnete Rolle spielt; sollte man nicht davon ausgehen können, dass Sicherheitslücken dieser Art unter Kontrolle sein sollten? Letztes Jahr wurden innerhalb von sechs Monaten über 100 Millionen Dollar und Tausende von "Cyber Warriors" eingesetzt, um die Cyber Defense-Initiativen zu finanzieren.
Zudem wurde ein neues Militärkommando geschaffen, welches sich dediziert nur um Cybersecurity-Aspekte kümmern und jährlich über 200 Cyber Security Officer ausbilden soll. Reichen etwa all diese Mittel doch nicht aus, um einen Militärbeamten davon abzuhalten, hochsensible Daten an die Öffentlichkeit zu bringen?
Gemäß einem Video auf CBS News hat sich der Verteidigungsminister der Vereinigten Staaten – Robert M. Gates – wie folgt für diese Umstände gerechtfertigt:
Nach dem 11. September wurde festgestellt, dass es den Institutionen an einem Informationsaustausch gefehlt hatte. Hätten alle Institutionen ihre Informationen zusammen getragen und geteilt, hätte der 11. September möglicherweise verhindert werden können. Als Reaktion wurde von der Regierung beschlossen, dass Informationen grundsätzlich einem möglichst großen Kreis von Nutzern zur Verfügung gestellt werden müssen. Ziel: Niemandem an der Front soll der Zugang zu Informationen verweigert werden, die ihm möglicherweise hilfreich sein könnten.
Streng gesehen müsste man sich nun fragen, ob diese gelockerte Art des Informationsaustausches schlussendlich nicht die Sicherheit einer ganzen Nation gefährden könnte. Auf jeden Fall sollte nun jedoch allen Unternehmungen, welche geheime Informationen oder einfach grundsätzlich vertrauensvolle Daten in ihren Netzwerken haben, Folgendes klar geworden sein: Im sogenannten "Cyber Age" in dem wir uns befinden, darf der Zugriff auf kritische Daten nicht so salopp gehandhabt werden.
Doch der Weg ist steinig: Anscheinend hat das Verteidigungs-Departement der USA bereits im Februar dieses Jahres einen ehemaligen Hacker engagiert, welcher eine dedizierte Untersuchung bezüglich digitaler Spionage durch Mitarbeiter durchführen sollte. Peiter Zatko, welcher in der Hacker-Szene als Mudge bekannt war, kennt die böse und die gute Seite: Als Teenager in den 80ern startete er mit "Hacken" und wechselte in den 90igern auf die gute Seite.
Seine aktuellen Untersuchungen sollen jedoch noch Jahre davon entfernt sein, damit effektive Lösungen eingesetzt werden können, welche die aktuelle Kluft des Zugriffs auf für die Arbeit notwendigen Informationen und der Datensicherheit schließen werden. Die heute vorhandenen Lösungen decken anscheinend noch lange nicht alle Bedürfnisse ab, weil die verfügbaren Technologien noch in einer Anfangsphase stecken.
In der Zwischenzeit zeigte der WikiLeaks-Vorfall auf, dass das Pentagon definitiv noch nicht mal in der Lage ist, einen Basisschutz für das Erkennen und Schützen von heimlichen Aktivitäten, unautorisierten Downloads etc. zu gewährleisten, wie dies Steven Aftergood vom American Federation of Scientists bestätigt. Zudem fügt er hinzu, dass es sich hierbei um eine sehr schlechte Umsetzung von Sicherheitsrichtlinien handelt, wenn jemand Zugriff auf USB-Ports oder CD-RW-Laufwerke hat und nach Herzenslust Informationen downloaden kann.
Anscheinend hat das Pentagon nun Sofortmaßnamen zum Schutz vor unautorisierten Downloads von entsprechend klassifiziertem Material implementiert und den Einsatz von Wechselmedien in ihrem "Secure Internet Protocol Router Network – SIPRNet" strengstens verboten. Auch der technische Direktor von ESET Österreich – Martin Penzes - hat im Gespräch mit pressetext ausgesagt, dass ein solches Verbot zwar Nachteile beim Userkomfort mit sich bringt, aber definitiv die sicherste Variante sei (siehe pte101210010 Mitteilung vom 10.12.10).
Gemäß seiner Aussage handelt es sich hier zwar um drakonische Ansätze, aber weniger harte Richtlinien seien immer mit einem Restrisiko behaftet. Er erwähnte weiter auch Lösungen, welche beispielsweise USB-Geräte nur auf Grund von Charakteristiken wie Seriennummern zulassen. Doch wenn in diesem Beispiel ein erlaubter USB-Stick eingesetzt wird, können Daten trotzdem das Firmengelände verlassen.
Doch ist ein reines Verbot wirklich der richtige Weg? Angeblich droht das Pentagon ja lediglich mit einem Militärgerichtsverfahren, wenn USB-Sticks oder andere Medien trotzdem genutzt werden.
Der U.S. Army Analyst, der den Datendiebstahl begangen hat, wurde mittlerweile auch inhaftiert, doch hatte ihn diese Perspektive nicht von seinen Aktivitäten abgehalten. In seinem Chat auf www.wired.com hat er sein Vorgehen begründet mit der Aussage, dass er den Leuten die Wahrheit aufzeigen wollte, denn ohne diese könne die Gesellschaft keine fundierten Entscheidungen treffen.
Er ist ein Idealist, der genug von dem Handeln des Staates im ständigen Eigeninteresse hat, der alles hinterfragt und mitten in etwas steckte, was komplett gegen seine eigene Moral spricht. In so einer Situation und mit dem Denken eines Idealisten ist die Hemmschwelle, etwas Verbotenes zu begehen, sozusagen nicht vorhanden. Doch nach wie vor ist auch der amerikanische Staat noch der Meinung, dass ein reines Verbot für die Speicherung von Daten auf einem Wechselmedium vollkommen ausreicht.
Andererseits soll im Pentagon ein Erkennungssystem installiert werden, ähnlich wie bei den Kreditkarten-Firmen, um Betrügereien zu entdecken und zu überwachen – wortwörtliches Zitat aus der Los Angeles Times im Artikel "Inside job: Stolen diplomatic cables show U.S. challenge of stopping authorized users" vom 29. November 2010. Doch was versteht man unter "to detect and monitor fraud"? Man erkennt und überwacht den Diebstahl von Daten oder man kann auch etwas dagegen unternehmen? Viele Anbieter von entsprechenden Lösungen werben zumindest in deren Produktbeschreibungen mit; Detect, Monitor and Protect Confidential Data.
Doch im selben Artikel der Los Angeles Times wird auch erwähnt, dass die aktuellen Systeme Schwierigkeiten haben, um die feinen Anomalien zu entdecken, welche von ausgeklügelten Spionage Netzwerken angewendet werden.
Diese Schwierigkeiten respektive die damit trotzdem bestehenden Lücken der aktuell verfügbaren Lösungen will nun das Verteidigungs-Departement mit der eingangs erwähnten, neugeschaffenen Stelle von Peiter Zatko ergänzen. Hierbei stellt sich nun die Fragen, wie dies von normalen Unternehmungen bewerkstelligt werden soll, da die Privatwirtschaft selten über die Gelder eines Pentagon verfügen.
Auch Dale Meyerrose, der ehemalige Chief Information Officer von der U.S. Intelligence Community spricht von mitschuldigen Insidern, welche die größte Angst für das Verteidigungsministerium darstellt. Man könne sich nie komplett davor schützen. WikiLeaks ist für ihn keine Frage der Technologie sondern eine personelle Vertrauensangelegenheit.
Eigentlich wäre die korrekte Frage doch eher, ob es wirklich notwendig ist, dass Mitarbeiter heute so viele Freiheiten benötigen, um ihre Arbeit zu erledigen. Früher lagen wichtige Dokumente in einem Tresor und den Schlüssel dazu hatten nur sehr wenige Personen. Doch heute liegen die Informationen oftmals ungeschützt in einem Netzwerk und es werden Unsummen in Systeme investiert, die – wie aus dem WikiLeaks Fall hervorgehen – doch nicht die Schutzmaßnahmen darstellen, die man sich erhofft hatte.
Und dies nur, weil man den Mitarbeiter nicht zu sehr in seiner Arbeitsweise einschränken möchte? Rechtfertigt dies wirklich die Auswirkungen von WikiLeaks oder sollte man vielleicht doch noch drakonischere Ansätze in Betracht ziehen? Schlussendlich werden Maßnahmen zum Schutz gegen den Missbrauch von berechtigten Zugriffen immer mit Einschränkungen verbunden sein. Die Frage ist nur wie viele Vorfälle noch notwendig sind, bis diese Erkenntnis in der Wirtschaft akzeptiert wird. (Barclay Technologies: ra)
Die Barclay Technologies (Schweiz) AG ist ein Softwareentwickler einer Verschlüsselungstechnologie.
Barclay Technologies: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>