Die Zukunft der Cyber-Kriminalität

2 gtr | April 2007 gtr | April 2007 2
Der Datenkom-
promittierung
Den hahn
von John Viega
zudrehen
vom laptopdiebstahl
bis hin zur forensischen
nachbereitung benötigen Sie
richtlinien zum Schutz ihrer
unternehmensressourcen.
Mit dem Ausnutzen von IT-Sicherheitsproblemen
lässt sich ganz klar Geld verdienen. Erinnern
Sie sich, wie furchtbar es war, als schnöde
Charaktere mit ihrer Werbung und ihrem Spam
das Monopol über Ihre Onlinewahrnehmung
erlangten? Im Vergleich zu dem, was jetzt kommt,
erscheint diese Zeit geradezu wie das Zeitalter der
Unschuld. Popupfenster gehen auf die Nerven –
gestohlene Identitäten sind jedoch schlimmer.
Heutzutage suchen Cyber-Kriminelle nach so
vielen persönlichen Informationen wie irgend
möglich. Seien es Namen, Ausweisnummern,
der Geburtsname Ihrer Mutter oder
Kreditkartendaten – um nur einige zu nennen.
Anhand von Daten der Verbraucherschutzorganisation
Privacy Rights Clearinghouse waren
seit Februar 2005 Daten von mehr als 9 Millionen
US-Bewohnern durch Sicherheitslücken gefährdet.
Tatsächlich wurden die meisten dieser Daten
aber nicht für Identitätsdiebstahl verwendet. (Auf
die meisten wurde nicht zugegriffen, sie waren
lediglich gefährdet.) Aber jeder hat wahrscheinlich
schon persönliche Daten an irgendwelche
Firmendatenbanken weitergegeben, die
potenziell von Identitätsdiebstahl betroffen sein
könnten. Wenn Sie sich einen Überblick über die
Verbreitung dieses Problems verschaffen möchten,
sehen Sie sich einfach die Liste der betroffenen
Organisationen unter http://www.privacyrights.org/
ar/ChronDataBreaches.htm an. Und vielleicht
handelt es sich ja demnächst schon um Ihren
Telefonanbieter, Ihren Energieversorger, Ihr
Krankenhaus, eine Behörde oder Ihre Hochschule.
Das Problem besteht nicht darin, dass Sie im
Internet einkaufen, sondern darin, dass Ihre
Daten elektronisch gespeichert werden.
Regierungen und große Unternehmen in
Nordamerika nehmen sich inzwischen
dieses Problems an, indem sie zu
regulieren versuchen, wie Firmen mit
personenbezogenen Daten umgehen:
Jeder hat wahrscheinlich schon
persönliche Daten an irgendwelche
Firmendatenbanken weitergegeben,
die potenziell von Identitätsdiebstahl
betroffen sein könnten.
• Als Folge des Database Breach Notification
Act von Kalifornien (Gesetz für die
Benachrichtigung über Datenbankeinbrüche,
allgemein auch als SB 13 6 bezeichnet)
haben 32 US-amerikanische Bundesstaaten
festgelegt, dass Unternehmen, die mit dem
jeweiligen Bundesstaat Geschäfte betreiben
oder Bewohner des Bundesstaats beschäftigen,
betroffene Personen bei jeglichen möglichen
Kompromittierungen personenbezogener
Daten umgehend zu informieren. Auf diese
Weise können Firmen die Probleme nicht
mehr so einfach unter den Teppich kehren.
Zudem müssen sie eher mit einer negativen
Berichterstattung in den Medien rechnen.
• Für Kreditinstitute gelten verschiedene
Standards. Hierzu zählen insbesondere der
Gramm-Leach-Bliley Act (GLBA), der die US-
Finanzinstitute zur Einhaltung bestimmter
Sicherheitsstandards verpflichtet sowie dem
Schutz und der Vertraulichkeit von Kundendaten
vor Bedrohungen und unautorisierten Zugriffen
dient, und der Payment Card Industry Data
Security Standard, der die Datensicherheit bei
Kreditkartentransaktionen regelt und häufig
auch als PCI-Standard bezeichnet wird. Im
Gegensatz zu SB 13 6 zielen diese Standards
stärker darauf ab, minimale Maßstäbe für
Vorkehrungen in der IT-Sicherheit zu setzen.
• Im Gesundheitswesen bestehen eigene
Vorschriften, die festlegen, wie die
personenbezogenen Daten von Patienten zu
speichern und zu schützen sind. Dies ist in den
USA durch den Health Insurance Portability
and Accountability Act (HIPAA, Gesetz für
die Übertragbarkeit und Verantwortlichkeit
bei Krankenversicherungen) geregelt. In
Kanada gilt der Personal Health Information
Protection Act (PHIPA, Gesetz zum Schutz
persönlicher Daten im Gesundheitswesen).
• Zudem gelten in Kanada mit dem Canadian
Personal Information Protection and Electronic
Documents Act (PIPEDA, Gesetz für den
Schutz persönlicher Daten und den Austausch
elektronischer Dokumente in Kanada) eine Reihe
von zusätzlichen Richtlinien. Dieses Gesetz
ist bindend für alle Geschäftsunternehmen, in
denen private Kundendaten erfasst werden.
• Der Sarbanes-Oxley Act gilt für alle
Aktiengesellschaften mit Sitz in den USA, die
der amerikanischen Börsenaufsicht (Securities
and Exchange Commission, SEC) unterliegen. Es
handelt sich hierbei um ein umfassendes Gesetz
für die Kontrolle von Finanzdaten. Paragraph 404
schreibt vor, dass Unternehmen den Nachweis
über den ordnungsgemäßen Umgang mit ihren
Finanzdaten erbringen können müssen.
Ähnliche Gesetze werden jetzt auch außerhalb der
USA verabschiedet. So besteht die Europäische
Datenschutzrichtlinie für elektronische
Kommunikation aus einem generischen Satz von
Richtlinien ähnlich dem kanadischen PIPEDA. In
diesen Richtlinien wird nicht die Offenlegung von
Daten, sondern es werden Maßnahmen gefordert.
Den Fluss eindämmen
Mit welchen Lösungen versuchen die
Unternehmen, die Datenkompromittierung
zu stoppen? Die verwendeten Lösungen
können in vier Kategorien gegliedert werden:
• Richtlinien zum Umgang mit den Daten
• Gateways zum Verhindern der
Datenkompromittierung
• Schutz der Endpunktgeräte
• Laufwerkverschlüsselung
In diesem Abschnitt wird jede dieser
Lösungen kurz beschrieben und dabei auf
die Stärken und Schwächen eingegangen.
Richtlinien zum Umgang mit den Daten
Der erste Schritt besteht sicherlich darin,
die Richtlinie zum Umgang mit Daten zu
dokumentieren und innerhalb des Unternehmens
bekannt zu machen. In vielen Fällen kann
die grundlegende Richtlinie direkt aus den
Regelungen abgeleitet werden, die für den
Geschäftsbereich gelten, in dem Sie tätig sind.
Dazu gibt es wahrscheinlich noch einige
unternehmensspezifische Anforderungen.
Mitunter können interne Sicherheitsrichtlinien
dazu beitragen, dass sich die Anforderungen besser
erfüllen lassen. Dies wäre beispielsweise der Fall,
wenn Sie explizit festlegen, dass alle Dokumente
auf einem bestimmten Server als „vertraulich“
eingestuft werden müssen und ausschließlich für
die Finanzabteilung verwendet werden dürfen.
Das Datenkompromittierungsproblem
wird nicht allein dadurch gelöst,
dass Sie einfach eine Richtlinie zum
Umgang mit Daten formulieren.
Sie müssen nun sicherstellen, dass diese
Richtlinie allen Mitarbeitern bekannt ist, am
besten mit einer Schulung. Leider wird das
Datenkompromittierungsproblem nicht allein
dadurch gelöst, dass Sie einfach eine Richtlinie
zum Umgang mit Daten formulieren und alle
Mitarbeiter über eine Schulung damit vertraut
machen. Selbst wenn die Mitarbeiter gut geschult
wurden, ist dies keine Garantie dafür, dass sie die
Richtlinie auch tatsächlich einhalten. Warum?
Weil die Einhaltung von Richtlinien in den Köpfen
der Menschen nicht die Hauptrolle spielt. Die
Richtlinie könnte beispielsweise besagen, dass
Dokumente, die als „vertraulich“ gekennzeichnete
Informationen enthalten, das Firmengelände
nicht verlassen dürfen. Möglicherweise ist den
Mitarbeitern diese Richtlinie auch nicht neu. In
den meisten Fällen wird das jedoch einige Ihrer
Mitarbeiter nicht davon abhalten, ihre Arbeit mit
nach Hause zu nehmen, indem sie die Dateien
zum Beispiel auf ein USB-Laufwerk kopieren
oder per E-Mail an ihre Privatadresse senden.
Trotzdem ist die Richtlinie sehr wichtig,
weil sie die Grundlage für verschiedene
weitere Technologien bildet, die
das Problem beheben helfen.
Gateways zum Verhindern der
Datenkompromittierung
In einigen Unternehmen geht man das Problem
dadurch an, dass die Richtlinie für Daten beim
Verlassen des Netzwerks automatisch erzwungen
wird. Zumindest wird jedoch versucht, die
Richtlinie auf dieser Ebene zu überwachen,
damit Verstöße dagegen erfasst werden
können. Unternehmen wie Vontu, Tablus,
PortAuthority und Oakley Networks bieten
Gateway-Geräte an, die den Netzwerkverkehr
überwachen und anhand der Dateninhalte
festlegen, ob die betreffenden Daten aus dem
Netzwerk gelangen dürfen. Sie prüfen die
Daten anhand von Regeln wie „Ausgehende
Dokumente dürfen keine Ausweisnummern
enthalten“ und ermitteln Ähnlichkeiten zu
anderen Dokumenten des Unternehmens, in
denen vertrauliche Daten gespeichert sind.
Das Hauptproblem bei Gateways zum Verhindern
der Datenkompromittierung besteht darin, dass sie
die meisten Kanäle, über die sicherheitsrelevante
Daten aus dem Netzwerk gelangen können, gar