Die Zukunft der Cyber-Kriminalität
Die Zukunft der Cyber-Kriminalität
Die Zukunft der Cyber-Kriminalität
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
2 gtr | April 2007 gtr | April 2007 2<br />
und einfache „Ja/Nein“-Angaben dazu enthalten,<br />
ob die betreffende Person an einer bestimmten<br />
Krankheit leidet. Hier liefert keine Musterabgleich-<br />
Technologie aussagekräftige Ergebnisse,<br />
wenn die Daten nicht aus einer Kunden- o<strong>der</strong><br />
Patientenliste abgeleitet werden. Durch die<br />
Bereitstellung einer solchen Liste entstehen<br />
Kosten, und bei einigen gängigen Namen kommt<br />
es zu Überlappungen mit häufigen Wörtern,<br />
wodurch falsche Positive möglich werden.<br />
In den meisten Unternehmen lassen sich<br />
die Dokumente im Netzwerk nicht gut<br />
zentral anzeigen.<br />
Alternativ sollte versucht werden, Dokumente<br />
mit vertraulichen Informationen zu finden<br />
und <strong>der</strong>en Inhalt zu überwachen. Eine sehr<br />
gute Lösung scheint <strong>der</strong> Ansatz, Dokumente<br />
unternehmensweit ordnungsgemäß zu<br />
katalogisieren. <strong>Die</strong>s gilt insbeson<strong>der</strong>e, wenn<br />
kontrolliert wird, wie mit einem Dokument<br />
mit vertraulichen Daten umgegangen wird,<br />
und wenn vereinbart wird, dass das Dokument<br />
nach entsprechenden Än<strong>der</strong>ungen zur<br />
Verteilung freigegeben werden kann. Ob dies<br />
nun durch Musterabgleiche, Pflichterfüllung<br />
des Endbenutzers o<strong>der</strong> eine Form von<br />
Genehmigungsprozess geschieht, hängt von <strong>der</strong><br />
jeweiligen Art des Geschäfts ab. Rechnen Sie<br />
bei dem Spagat zwischen <strong>der</strong> Gewährleistung<br />
von Konformität einerseits und einer möglichst<br />
großen Benutzerfreundlichkeit an<strong>der</strong>erseits<br />
mit einer Vielzahl von Meinungen.<br />
Lei<strong>der</strong> lässt es sich bei <strong>der</strong> Beseitigung von<br />
falschen Positiven nicht umgehen, ein ganzes<br />
Unternehmensnetzwerk zu katalogisieren – und<br />
dies ist eine wirklich große Herausfor<strong>der</strong>ung.<br />
Zunächst einmal lassen sich in den meisten<br />
Unternehmen die Dokumente im Netzwerk nicht<br />
gut zentral anzeigen. Eine zentral verwaltete,<br />
agentenbasierte Technologie kann jedoch zur<br />
Lösung dieses Problems beitragen. Danach<br />
besteht die Schwierigkeit darin, Server ausfindig<br />
zu machen, die nicht ganz dem Standard<br />
entsprechen, und eine Anmeldung bei ihnen<br />
zu ermöglichen. <strong>Die</strong>s kann beispielsweise bei<br />
Unix-Servern in einer vorwiegend Windowsbasierten<br />
Umgebung <strong>der</strong> Fall sein o<strong>der</strong> in<br />
Betrieben, in denen kleinere Gruppen ihre<br />
eigenen IT-Strukturen betreiben dürfen.<br />
Es gibt jedoch noch ein zweites großes Problem –<br />
eines, das sich vermutlich nicht völlig in den Griff<br />
bekommen lässt. Selbst wenn eine Firma in <strong>der</strong><br />
Lage ist, sämtliche Dokumente im Unternehmen<br />
anzuzeigen und ähnliche Dokumente in Bezug<br />
zueinan<strong>der</strong> zu setzen, steht sie immer noch<br />
vor <strong>der</strong> Herkulesaufgabe, alle Dokumente<br />
in Kategorien einzuteilen. Musterabgleiche<br />
können dabei hilfreich sein. Auch auf dem<br />
Speicherort basierende Annahmen können<br />
helfen. Beide Ansätze bergen jedoch Probleme<br />
mit falschen Positiven und falschen Negativen.<br />
Trotz dieser großen Herausfor<strong>der</strong>ung sieht die<br />
Situation nach <strong>der</strong> Kategorisierung <strong>der</strong> Dokumente<br />
in einem Netzwerk bedeutend besser aus.<br />
Zumindest hält sich <strong>der</strong> laufende Aufwand danach<br />
in Grenzen, da es ganz einfach sein wird, neue<br />
Richtlinien auf Dokumente anzuwenden. Wir<br />
gehen davon aus, dass dabei Musterabgleiche,<br />
Dateispeicherorte und das Ermessen des Benutzers<br />
berücksichtigt werden, wobei ein beson<strong>der</strong>s<br />
genaues Überwachungsprotokoll erstellt wird,<br />
wenn jemand eine Bewertung abgeben muss.<br />
Doch nachdem ein Unternehmen diese<br />
Schwierigkeit gemeistert hat, sind falsche Positive<br />
für hostbasierte Technologien nicht mehr so<br />
problematisch. Bei einem einzelnen Host lässt<br />
sich problemlos feststellen, welche Dokumente<br />
mit vertraulichen Daten ein Benutzer bearbeitet<br />
hat, woher sie stammten und welche Auswirkung<br />
die Än<strong>der</strong>ungen auf das jeweilige Dokument<br />
hatte. Auf <strong>der</strong> Grundlage dieser Informationen<br />
ermöglichen hostbasierte Lösungen sehr<br />
genaue Richtlinienentscheidungen. Bei einer<br />
eigenständigen netzwerkbasierten Lösung ist dies<br />
hingegen nicht <strong>der</strong> Fall. Bei netzwerkbasierten<br />
Lösungen ist es unmöglich, kosteneffizient alle<br />
Datenbewegungen im Netzwerk zu verfolgen<br />
und nachzuhalten, wie die Daten bearbeitet<br />
werden. In diesen Fällen bleibt Ihnen nichts<br />
an<strong>der</strong>es übrig, als sich auf Musterabgleiche und<br />
Ähnlichkeitsvergleiche zu stützen, was allerdings<br />
zu einer hohen Anzahl von falschen Positiven<br />
führt.Zudem befinden sich netzwerkbasierte<br />
Geräte zum Blockieren am falschen Ort.<br />
Lediglich zu unterbinden, dass ein Dokument<br />
mit vertraulichen Informationen das Netzwerk<br />
verlassen kann (z. B. durch Abweisen <strong>der</strong> E-<br />
Mail o<strong>der</strong> Beenden <strong>der</strong> HTTP-Verbindung),<br />
ist definitiv nicht zu empfehlen – <strong>der</strong> damit<br />
verbundene Aufwand wäre ein Alptraum.<br />
Daher entscheiden sich manche Firmen eher<br />
für hostbasierte Lösungen zum Schutz vor<br />
Datenkompromittierung. Irgendwann einmal<br />
werden die Unternehmen diese Technologien nicht<br />
mehr nur zur reinen Überwachung nutzen, son<strong>der</strong>n<br />
auch für die Bereitstellung von Ratschlägen und<br />
Hinweisen: Wenn also durch eine Aktion gegen<br />
eine Richtlinie verstoßen wird, werden die Benutzer<br />
entsprechend informiert, haben aber auch die<br />
Möglichkeit, die Aktion fortzusetzen, sofern sie<br />
den Grund für die Ausnahme dokumentieren.<br />
<strong>Die</strong>s wird in den meisten Unternehmen<br />
die gängige Praxis werden. <strong>Die</strong> Alternative<br />
besteht in <strong>der</strong> automatischen Ablehnung<br />
von Anfor<strong>der</strong>ungen und <strong>der</strong> Errichtung<br />
eines Ausnahmemechanismus, bei dem eine<br />
dafür zuständige Person die Genehmigung<br />
erteilen muss. <strong>Die</strong>s ist jedoch zu kostspielig,<br />
wie sich auch beim Durchlaufen <strong>der</strong><br />
Prüfphase eindeutig herausstellen wird.<br />
In den IT-Abteilungen ist man mit dem<br />
Ausbringen zusätzlicher Clientagenten<br />
zumeist sehr zurückhaltend. Tatsächlich<br />
liegt das Haupthin<strong>der</strong>nis bei <strong>der</strong> Einführung<br />
von hostbasierten Technologien zur<br />
Verhin<strong>der</strong>ung von Datenkompromittierung in<br />
<strong>der</strong> zögerlichen Haltung von IT-Abteilungen,<br />
wenn es um die Einführung von Agenten<br />
geht. Große, zuverlässige Anbieter mit soliden<br />
zentralisierten Verwaltungstechnologien für<br />
den Einsatz verschiedenster Agentenlösungen<br />
für die Unternehmenssicherheit können<br />
diesen Prozess jedoch vereinfachen.<br />
Netzwerkbasierte Geräte befinden sich<br />
zum Blockieren am falschen Ort.<br />
Nur wenige Anbieter setzen hostbasierte<br />
Technologien zur Verhin<strong>der</strong>ung von<br />
Datenkompromittierung ein. Und von<br />
denjenigen, die sie einsetzen, haben einige<br />
Probleme bei <strong>der</strong> Skalierbarkeit dieser<br />
Lösungen. <strong>Die</strong> meisten neuen Anbieter in<br />
<strong>der</strong> Netzwerkdatenschutz-Branche wenden<br />
sich inzwischen dem Hostmarkt zu. Viele von<br />
ihnen werden jedoch aufgrund <strong>der</strong> bereits<br />
genannten Gründe Probleme beim Vertrieb<br />
von agentenbasierter Technologie bekommen.<br />
<strong>Die</strong> hostbasierte Technologie wird zwar<br />
an Bedeutung gewinnen, doch auch die<br />
netzwerkbasierte Technologie wird weiterhin<br />
eine wichtige Rolle spielen. <strong>Die</strong>s liegt<br />
hauptsächlich daran, dass nicht alle Geräte<br />
in einem Unternehmensnetzwerk zentral<br />
verwaltet werden, was zum Teil auf nicht<br />
unterstützte Betriebssysteme zurückzuführen<br />
ist. Wir rechnen beispielsweise damit, dass<br />
es einige Zeit dauern wird, bis die gängigsten<br />
Unix-Varianten berücksichtigt sind. Bei einigen<br />
Betriebssystemen wird dies gar nicht mehr <strong>der</strong><br />
Fall sein (so etwa bei <strong>der</strong> Windows 95-Familie).<br />
Noch länger wird es bei <strong>der</strong> Unterstützung für<br />
mobile Geräte dauern, obwohl alles darauf<br />
hindeutet, dass Mobiltelefone mit zunehmen<strong>der</strong><br />
Bandbreite ein gängiger Aufbewahrungsort für<br />
Unternehmensdokumente mit vertraulichen<br />
Daten sein werden (schon allein durch das<br />
Zwischenspeichern von E-Mail-Anhängen<br />
auf dem Gerät). Viel wichtiger ist jedoch, dass<br />
die Firmen bestimmten Vertragspartnern<br />
und an<strong>der</strong>en externen Parteien, die einen<br />
hostbasierten Agenten nicht akzeptieren,<br />
wohl immer einen beschränkten Zugriff auf<br />
Unternehmensressourcen gewähren müssen.<br />
Vor diesem Hintergrund werden einige<br />
Unternehmen eine kombinierte Lösung aus<br />
hostbasierter Technologie zur Verhin<strong>der</strong>ung<br />
von Datenkompromittierung und<br />
Netzwerkzugriffssteuerung in Erwägung<br />
ziehen. Hierdurch erhalten sie zumindest ein<br />
genaues Überwachungsprotokoll über den<br />
Zugriff auf die Ressourcen. <strong>Die</strong>se Unternehmen<br />
werden jedoch weiterhin ein starkes Interesse<br />
daran haben, eine Datenkompromittierung<br />
beim Zugriff auf diese Geräte zu verhin<strong>der</strong>n<br />
(selbst dann, wenn <strong>der</strong> Zugriff erlaubt ist). Für<br />
solche Situationen ist eine Netzwerkanwendung<br />
immer noch die einzige praktikable Alternative.<br />
Darüber hinaus sind die Unternehmen zu<br />
einer Strategie <strong>der</strong> gestaffelten Verteidigung<br />
bereit. <strong>Die</strong> meisten Unternehmen möchten<br />
es nur mit einer einzigen Richtlinie zu<br />
tun haben. <strong>Die</strong>ser Umstand bedeutet also<br />
einen gewissen Vorteil für netzwerkbasierte<br />
Lösungen, in denen auf dieselbe Richtlinie und<br />
Berichterstellungsfunktionen zurückgegriffen<br />
wird wie in hostbasierten Technologien.<br />
Weitere Ausblicke<br />
Wir gehen davon aus, dass <strong>der</strong> Bedarf an<br />
Technologien zum Schutz vor Datenverlusten<br />
dafür sorgen wird, dass die heutige Technologie<br />
in den nächsten Jahren weiter verbessert<br />
wird. Außerhalb des aktuellen technischen<br />
Fokus <strong>der</strong> Branche zeichnen sich jedoch<br />
noch weitere interessante Bereiche ab.<br />
Anschlüsse für Datenquellen<br />
Das Problem <strong>der</strong> Datenkatalogisierung<br />
in einem Netzwerk betrifft zunächst die<br />
statischen Dateisysteme. Direkt danach<br />
wird sich die Branche jedoch Datenbanken<br />
und an<strong>der</strong>en Datenspeichern zuwenden. Es<br />
ist davon auszugehen, dass Unternehmen,<br />
die Technologien zur Verhin<strong>der</strong>ung von<br />
Datenkompromittierung anbieten, demnächst<br />
serienmäßig produzierte Anschlüsse<br />
für die gängigen Technologien anbieten<br />
werden. Hierdurch wird wahrscheinlich<br />
nicht <strong>der</strong> gesamte Bedarf abgedeckt, so<br />
beispielsweise in Fällen, in denen Unternehmen<br />
hoch spezialisierte und angepasste<br />
Geschäftsanwendungen nutzen. Daher ist<br />
damit zu rechnen, dass Softwareentwicklungs-<br />
Kits zur Unterstützung von Unternehmen<br />
herauskommen, die sich selbst um die<br />
Datenquellenverbindung kümmern.<br />
Digitale Rechteverwaltung<br />
Der hostbasierte Schutz vor<br />
Datenkompromittierung hat insofern<br />
eine ähnliche Beziehung zur digitalen<br />
Rechteverwaltung (Digital Rights Management,<br />
DRM), als hierbei auch versucht wird, zu<br />
überwachen, welche Aktionen die Benutzer<br />
mit Dokumenten ausführen können und<br />
welche nicht. Derzeit liegt <strong>der</strong> Schwerpunkt<br />
von DRM eher auf dem Schutz <strong>der</strong><br />
finanziellen Interessen von Rechteinhabern,<br />
wohingegen Lösungen zur Verhin<strong>der</strong>ung<br />
von Datenkompromittierung sich eher auf<br />
die Erkennung von Konformitätsverstößen<br />
konzentrieren. Wir rechnen damit, dass das<br />
explizite Erzwingen in vielen Situationen<br />
nicht Teil <strong>der</strong> Datenschutzstrategie sein<br />
wird. In je<strong>der</strong> DRM-Technologie ist es<br />
hingegen von grundlegen<strong>der</strong> Bedeutung.<br />
Aufgrund dieser unterschiedlichen Schwerpunkte<br />
stehen DRM-Lösungen zu Lösungen für den<br />
Schutz vor Datenverlusten nicht in direkter<br />
Konkurrenz. <strong>Die</strong>s liegt daran, dass DRM-<br />
Lösungen ihren Fokus nicht auf einer zentralen<br />
Richtlinienverwaltung und -überwachung im<br />
Unternehmen haben. <strong>Die</strong>s ist vor allem dann<br />
von Nachteil, wenn sich die Richtlinie im Laufe<br />
<strong>der</strong> Zeit än<strong>der</strong>t. (DRM „verpackt“ ein Dokument<br />
im Allgemeinen in einer Schutzschicht, in<br />
die die Richtlinie hineincodiert ist, und gibt