Die Zukunft der Cyber-Kriminalität
Die Zukunft der Cyber-Kriminalität
Die Zukunft der Cyber-Kriminalität
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
2 gtr | April 2007 gtr | April 2007 2<br />
Der Datenkom-<br />
promittierung<br />
Den hahn<br />
von John Viega<br />
zudrehen<br />
vom laptopdiebstahl<br />
bis hin zur forensischen<br />
nachbereitung benötigen Sie<br />
richtlinien zum Schutz ihrer<br />
unternehmensressourcen.<br />
Mit dem Ausnutzen von IT-Sicherheitsproblemen<br />
lässt sich ganz klar Geld verdienen. Erinnern<br />
Sie sich, wie furchtbar es war, als schnöde<br />
Charaktere mit ihrer Werbung und ihrem Spam<br />
das Monopol über Ihre Onlinewahrnehmung<br />
erlangten? Im Vergleich zu dem, was jetzt kommt,<br />
erscheint diese Zeit geradezu wie das Zeitalter <strong>der</strong><br />
Unschuld. Popupfenster gehen auf die Nerven –<br />
gestohlene Identitäten sind jedoch schlimmer.<br />
Heutzutage suchen <strong>Cyber</strong>-Kriminelle nach so<br />
vielen persönlichen Informationen wie irgend<br />
möglich. Seien es Namen, Ausweisnummern,<br />
<strong>der</strong> Geburtsname Ihrer Mutter o<strong>der</strong><br />
Kreditkartendaten – um nur einige zu nennen.<br />
Anhand von Daten <strong>der</strong> Verbraucherschutzorganisation<br />
Privacy Rights Clearinghouse waren<br />
seit Februar 2005 Daten von mehr als 9 Millionen<br />
US-Bewohnern durch Sicherheitslücken gefährdet.<br />
Tatsächlich wurden die meisten dieser Daten<br />
aber nicht für Identitätsdiebstahl verwendet. (Auf<br />
die meisten wurde nicht zugegriffen, sie waren<br />
lediglich gefährdet.) Aber je<strong>der</strong> hat wahrscheinlich<br />
schon persönliche Daten an irgendwelche<br />
Firmendatenbanken weitergegeben, die<br />
potenziell von Identitätsdiebstahl betroffen sein<br />
könnten. Wenn Sie sich einen Überblick über die<br />
Verbreitung dieses Problems verschaffen möchten,<br />
sehen Sie sich einfach die Liste <strong>der</strong> betroffenen<br />
Organisationen unter http://www.privacyrights.org/<br />
ar/ChronDataBreaches.htm an. Und vielleicht<br />
handelt es sich ja demnächst schon um Ihren<br />
Telefonanbieter, Ihren Energieversorger, Ihr<br />
Krankenhaus, eine Behörde o<strong>der</strong> Ihre Hochschule.<br />
Das Problem besteht nicht darin, dass Sie im<br />
Internet einkaufen, son<strong>der</strong>n darin, dass Ihre<br />
Daten elektronisch gespeichert werden.<br />
Regierungen und große Unternehmen in<br />
Nordamerika nehmen sich inzwischen<br />
dieses Problems an, indem sie zu<br />
regulieren versuchen, wie Firmen mit<br />
personenbezogenen Daten umgehen:<br />
Je<strong>der</strong> hat wahrscheinlich schon<br />
persönliche Daten an irgendwelche<br />
Firmendatenbanken weitergegeben,<br />
die potenziell von Identitätsdiebstahl<br />
betroffen sein könnten.<br />
• Als Folge des Database Breach Notification<br />
Act von Kalifornien (Gesetz für die<br />
Benachrichtigung über Datenbankeinbrüche,<br />
allgemein auch als SB 13 6 bezeichnet)<br />
haben 32 US-amerikanische Bundesstaaten<br />
festgelegt, dass Unternehmen, die mit dem<br />
jeweiligen Bundesstaat Geschäfte betreiben<br />
o<strong>der</strong> Bewohner des Bundesstaats beschäftigen,<br />
betroffene Personen bei jeglichen möglichen<br />
Kompromittierungen personenbezogener<br />
Daten umgehend zu informieren. Auf diese<br />
Weise können Firmen die Probleme nicht<br />
mehr so einfach unter den Teppich kehren.<br />
Zudem müssen sie eher mit einer negativen<br />
Berichterstattung in den Medien rechnen.<br />
• Für Kreditinstitute gelten verschiedene<br />
Standards. Hierzu zählen insbeson<strong>der</strong>e <strong>der</strong><br />
Gramm-Leach-Bliley Act (GLBA), <strong>der</strong> die US-<br />
Finanzinstitute zur Einhaltung bestimmter<br />
Sicherheitsstandards verpflichtet sowie dem<br />
Schutz und <strong>der</strong> Vertraulichkeit von Kundendaten<br />
vor Bedrohungen und unautorisierten Zugriffen<br />
dient, und <strong>der</strong> Payment Card Industry Data<br />
Security Standard, <strong>der</strong> die Datensicherheit bei<br />
Kreditkartentransaktionen regelt und häufig<br />
auch als PCI-Standard bezeichnet wird. Im<br />
Gegensatz zu SB 13 6 zielen diese Standards<br />
stärker darauf ab, minimale Maßstäbe für<br />
Vorkehrungen in <strong>der</strong> IT-Sicherheit zu setzen.<br />
• Im Gesundheitswesen bestehen eigene<br />
Vorschriften, die festlegen, wie die<br />
personenbezogenen Daten von Patienten zu<br />
speichern und zu schützen sind. <strong>Die</strong>s ist in den<br />
USA durch den Health Insurance Portability<br />
and Accountability Act (HIPAA, Gesetz für<br />
die Übertragbarkeit und Verantwortlichkeit<br />
bei Krankenversicherungen) geregelt. In<br />
Kanada gilt <strong>der</strong> Personal Health Information<br />
Protection Act (PHIPA, Gesetz zum Schutz<br />
persönlicher Daten im Gesundheitswesen).<br />
• Zudem gelten in Kanada mit dem Canadian<br />
Personal Information Protection and Electronic<br />
Documents Act (PIPEDA, Gesetz für den<br />
Schutz persönlicher Daten und den Austausch<br />
elektronischer Dokumente in Kanada) eine Reihe<br />
von zusätzlichen Richtlinien. <strong>Die</strong>ses Gesetz<br />
ist bindend für alle Geschäftsunternehmen, in<br />
denen private Kundendaten erfasst werden.<br />
• Der Sarbanes-Oxley Act gilt für alle<br />
Aktiengesellschaften mit Sitz in den USA, die<br />
<strong>der</strong> amerikanischen Börsenaufsicht (Securities<br />
and Exchange Commission, SEC) unterliegen. Es<br />
handelt sich hierbei um ein umfassendes Gesetz<br />
für die Kontrolle von Finanzdaten. Paragraph 404<br />
schreibt vor, dass Unternehmen den Nachweis<br />
über den ordnungsgemäßen Umgang mit ihren<br />
Finanzdaten erbringen können müssen.<br />
Ähnliche Gesetze werden jetzt auch außerhalb <strong>der</strong><br />
USA verabschiedet. So besteht die Europäische<br />
Datenschutzrichtlinie für elektronische<br />
Kommunikation aus einem generischen Satz von<br />
Richtlinien ähnlich dem kanadischen PIPEDA. In<br />
diesen Richtlinien wird nicht die Offenlegung von<br />
Daten, son<strong>der</strong>n es werden Maßnahmen gefor<strong>der</strong>t.<br />
Den Fluss eindämmen<br />
Mit welchen Lösungen versuchen die<br />
Unternehmen, die Datenkompromittierung<br />
zu stoppen? <strong>Die</strong> verwendeten Lösungen<br />
können in vier Kategorien geglie<strong>der</strong>t werden:<br />
• Richtlinien zum Umgang mit den Daten<br />
• Gateways zum Verhin<strong>der</strong>n <strong>der</strong><br />
Datenkompromittierung<br />
• Schutz <strong>der</strong> Endpunktgeräte<br />
• Laufwerkverschlüsselung<br />
In diesem Abschnitt wird jede dieser<br />
Lösungen kurz beschrieben und dabei auf<br />
die Stärken und Schwächen eingegangen.<br />
Richtlinien zum Umgang mit den Daten<br />
Der erste Schritt besteht sicherlich darin,<br />
die Richtlinie zum Umgang mit Daten zu<br />
dokumentieren und innerhalb des Unternehmens<br />
bekannt zu machen. In vielen Fällen kann<br />
die grundlegende Richtlinie direkt aus den<br />
Regelungen abgeleitet werden, die für den<br />
Geschäftsbereich gelten, in dem Sie tätig sind.<br />
Dazu gibt es wahrscheinlich noch einige<br />
unternehmensspezifische Anfor<strong>der</strong>ungen.<br />
Mitunter können interne Sicherheitsrichtlinien<br />
dazu beitragen, dass sich die Anfor<strong>der</strong>ungen besser<br />
erfüllen lassen. <strong>Die</strong>s wäre beispielsweise <strong>der</strong> Fall,<br />
wenn Sie explizit festlegen, dass alle Dokumente<br />
auf einem bestimmten Server als „vertraulich“<br />
eingestuft werden müssen und ausschließlich für<br />
die Finanzabteilung verwendet werden dürfen.<br />
Das Datenkompromittierungsproblem<br />
wird nicht allein dadurch gelöst,<br />
dass Sie einfach eine Richtlinie zum<br />
Umgang mit Daten formulieren.<br />
Sie müssen nun sicherstellen, dass diese<br />
Richtlinie allen Mitarbeitern bekannt ist, am<br />
besten mit einer Schulung. Lei<strong>der</strong> wird das<br />
Datenkompromittierungsproblem nicht allein<br />
dadurch gelöst, dass Sie einfach eine Richtlinie<br />
zum Umgang mit Daten formulieren und alle<br />
Mitarbeiter über eine Schulung damit vertraut<br />
machen. Selbst wenn die Mitarbeiter gut geschult<br />
wurden, ist dies keine Garantie dafür, dass sie die<br />
Richtlinie auch tatsächlich einhalten. Warum?<br />
Weil die Einhaltung von Richtlinien in den Köpfen<br />
<strong>der</strong> Menschen nicht die Hauptrolle spielt. <strong>Die</strong><br />
Richtlinie könnte beispielsweise besagen, dass<br />
Dokumente, die als „vertraulich“ gekennzeichnete<br />
Informationen enthalten, das Firmengelände<br />
nicht verlassen dürfen. Möglicherweise ist den<br />
Mitarbeitern diese Richtlinie auch nicht neu. In<br />
den meisten Fällen wird das jedoch einige Ihrer<br />
Mitarbeiter nicht davon abhalten, ihre Arbeit mit<br />
nach Hause zu nehmen, indem sie die Dateien<br />
zum Beispiel auf ein USB-Laufwerk kopieren<br />
o<strong>der</strong> per E-Mail an ihre Privatadresse senden.<br />
Trotzdem ist die Richtlinie sehr wichtig,<br />
weil sie die Grundlage für verschiedene<br />
weitere Technologien bildet, die<br />
das Problem beheben helfen.<br />
Gateways zum Verhin<strong>der</strong>n <strong>der</strong><br />
Datenkompromittierung<br />
In einigen Unternehmen geht man das Problem<br />
dadurch an, dass die Richtlinie für Daten beim<br />
Verlassen des Netzwerks automatisch erzwungen<br />
wird. Zumindest wird jedoch versucht, die<br />
Richtlinie auf dieser Ebene zu überwachen,<br />
damit Verstöße dagegen erfasst werden<br />
können. Unternehmen wie Vontu, Tablus,<br />
PortAuthority und Oakley Networks bieten<br />
Gateway-Geräte an, die den Netzwerkverkehr<br />
überwachen und anhand <strong>der</strong> Dateninhalte<br />
festlegen, ob die betreffenden Daten aus dem<br />
Netzwerk gelangen dürfen. Sie prüfen die<br />
Daten anhand von Regeln wie „Ausgehende<br />
Dokumente dürfen keine Ausweisnummern<br />
enthalten“ und ermitteln Ähnlichkeiten zu<br />
an<strong>der</strong>en Dokumenten des Unternehmens, in<br />
denen vertrauliche Daten gespeichert sind.<br />
Das Hauptproblem bei Gateways zum Verhin<strong>der</strong>n<br />
<strong>der</strong> Datenkompromittierung besteht darin, dass sie<br />
die meisten Kanäle, über die sicherheitsrelevante<br />
Daten aus dem Netzwerk gelangen können, gar