Der "innere Feind" ist ein Marketing-Tool
Zweifel am Innentäter-Primat
Die These, 70 bis 90 Prozent aller Angriffe auf die Informationssicherheit in einem Unternehmensnetz kämen "von innen", kursiert in der Branche seit Jahren als bewiesene Tatsache. Nun melden Sicherheitsspezialisten messtechnische und methodische Zweifel an.
Fachbeiträge zum Thema IT-Sicherheit in Zeitschriften und Vorträge auf Fachkongressen nehmen
seit Ende der 90er-Jahre immer wieder auf Statistiken Bezug, die Angriffen aus dem internen Netz
einen höheren Anteil an den Verletzungen der Informationssicherheit zumessen als klassischen
Hacker-Attacken. Häufig wird behauptet, die einschlägigen Erhebungen seien sich in dieser Hinsicht
allesamt "einig" (siehe etwa Andreas Rieke, "Angriffe von innen (I): ARP-Spoofing", IT-Sicherheit
& Datenschutz 06/2005, Seite 28). In anderen Fällen halten selbst renommierte Autoren wie die
baden-württembergischen Verfassungsschutz-Mitarbeiter Karl Friedrich Fecht, Walter Opfermann und
Wolfgang Scheiterle einen Nachweis der Zahlen nicht einmal für notwendig ("Computerspionage", 1998,
S. 10). Als Beispiel für die Innentäter nennen die Autoren und Referenten zumeist feindlich
gesonnene oder verantwortungslos handelnde Mitarbeiter.
Aussagen schlecht abgesichert
Erstaunlicherweise ist die angeblich breite statistische Basis für diese Behauptungen auch bei
intensiver Recherche nicht zu verifizieren. Die häufig herangezogene KPMG-Studie von 2003/2004 zur
Wirtschaftskriminalität etwa hat keinen direkten Bezug zur IT und will ihn – so die
KPMG-Pressetelle – auch gar nicht herstellen. Die ebenso gern erwähnte, periodisch aktualisierte
Studie des Computer Security Institutes zusammen mit dem FBI weist seit Jahren einen
Innentäteranteil von knapp unter 50 Prozent aus, 2002 lagen die Angriffe von innen ohne die
Remote-Access-Fälle hier sogar nur bei 33 Prozent. Pricewaterhouse Coopers und Informationweek
sprechen 2001 von einer Abnahme des Verdachts auf Angriffe von innen und bezeichnen das
Innentäter-Primat als "hartnäckiges Gerücht", denn nach ihren Erhebungen haben in Europa nur etwa
50 und in Deutschland etwa 32 Prozent der Unternehmen Angst vor Innentätern mit und ohne
Zugriffsrecht. In der Nachfolgestudie 2004 von Mummert und Informationweek wird die Frage nach
Innentätern nicht mehr explizit gestellt, allerdings gewinnen die Viren, Würmer und Trojaner mit
über 80 Prozent den Preis des Hauptverursachers von Sicherheitsverstößen. Gartner diskutiert auf
dem IT Security Summit 2003 differenziert die positive und negative Bedeutung der Belegschaft für
die IT-Sicherheit und will die IT-Verantwortlichen zur aktiven Einbindung der Angestellten in
Sicherheitskonzepte bewegen. Das BSI schließlich schreibt zwar immer wieder, die
Innentäterproblematik sei "das größte Problem" der Informationssicherheit, meint dies aber primär
qualitativ und nicht quantitativ: Beim Angriff von innen liegt das Schadenspotenzial höher. Bei der
Recherche für diesen Beitrag blieb schließlich als einzige direkte Quelle der 80-Prozent-These eine
Intergov-Studie von 2002 übrig, deren Original aber Anfang Februar 2005 im Web nicht mehr
auffindbar war. Auch wenn es weitere Quellen gibt, kann von einer Einigkeit der Analysten über den
Innentäteranteil also keine Rede sein.
Ängste statt Fakten
Zu bedenken ist außerdem, dass kaum ein Unternehmen gern Auskunft über Verletzungen der
Informationssicherheit in seinem Netz gibt. Viele Analysten fragen deshalb von vornherein nach den
Befürchtungen der Manager und nicht nach tatsächlichen Vorfällen, um überhaupt eine Antwort zu
bekommen. In den ermittelten Zahlen schlägt sich deshalb nieder, dass sich die Interviewpartner
verärgerte Mitarbeiter und deren Motivation meist plastischer vorstellen können als dubiose Hacker
oder gar Industriespione. Die Untersuchungen selbst – wie etwa die schon erwähnte Erhebung von
Pricewaterhouse Coopers und Information Week – verschweigen die eigene Fragetechnik nicht. Auf dem
Weg in die Pressemitteilungen der Nutznießer entsprechender Ergebnisse verwandeln sich die
Vermutungen aber häufig in unumstößliche Tatsachen.
Mehr Effekt mit neuen Feinden
Wohlwollend könnte man nun sagen, die kritisierten Äußerungen zum Innentäter-Primat wollten ja
nur zeigen, dass Angriffe primär im internen Netz sichtbar würden und dass man hinter Firewall und
Gateway eben zusätzliche Maßnahmen treffen müsse. Dann allerdings stellt sich die Frage, warum die
fraglichen Thesen überhaupt regelmäßig mit Hinweisen auf "Innentäter" im Unterschied zu "
Außentätern" verknüpft werden, denn die Innentäter sind in diesem Fall ja verkappte Externe und die
Unterscheidung wird damit hinfällig – man müsste stattdessen von unzureichenden Maßnehmen gegen
Außentäter sprechen, die den Perimeterschutz überwinden können. Hier liegt die Vermutung nahe, dass
Marketing-Gründe im Spiel sind. Einen völlig neuen Feind zu schaffen und gegen ihn maßgeschneiderte
Abwehrmaßnahmen zu präsentieren, ist einfacher und verkaufsfördernder, als auf mögliche Lücken in
bestehenden Systemen für die Perimetersicherheit hinzuweisen, denen mit komplexen, aber mitunter
kostenlosen Konfigurationsmaßnahmen begegnet werden kann.
Zeitlich schließlich fällt auf, dass das Innentäter-Primat in der IT-Sicherheit etwa 1998 Einzug
hielt, als eine erste Sättigung des Markts für klassische Firewalls und Virenschutzlösungen
festzustellen war. All dies weckt Zweifel an der Unabhängigkeit der Untersuchungen. Noch schwerer
aber wiegt ein weiteres Problem: Messtechnische Probleme machen es nahezu unmöglich, den
Innentäteranteil von Angriffen auf Unternehmensressourcen mit der behaupteten Sicherheit zu
ermitteln.
Messtechnische Schwierigkeiten
"Um sicher und beweiskräftig festzustellen, ob ein konkreter Angriff von einem bestimmten PC in
einem Unternehmen ausgegangen ist, brauche ich mitunter Tage", erklärt der IT-Forensiker Peter
Kämper, "und es gelingt nicht immer, auch auf die Beteiligung des zugeordneten Mitarbeiters zu
schließen". Angesichts dieses Aufwands für einen Einzelfall in einem einzigen Unternehmen
bezweifelt Kämper, dass die einschlägigen Statistiken zum Innentäter-Primat eine seriöse
wissenschaftliche Basis haben. Er weist daraufhin, dass sich gerade erfolgreiche externe Angriffe
dadurch auszeichnen, dass sie intern als Aktionen legitimer Anwender erscheinen. "So gesehen,
dürfte bei einer Schwellwert- oder Anomalieerkennung oder bei einer Messung an einem bestimmten
Server mit Blick auf interne IP-Adressen, wie sie üblicherweise stattfindet, eine Innentäterrate
von 100 Prozent anliegen".
Profis schleichen sich ein
Kämper erklärt, wie sich ein externer Industriespion oder Hacker den Insiderstatus erobern kann:
"Ich schicke ins Unternehmen eine Mail mit einem Link, etwa zu einer eigenen Seite mit Admin-Tools.
Der Link beginnt mit ?https? statt ?http?, denn ich will einen Tunnel etablieren. Es denkt kaum
jemand daran, dass ich als Admin des Servers dann auch auf den Rechner des Anwenders zugreifen
kann, sobald sich dessen Client bei mir meldet. Seine internen Verbindungen stehen dann auch mir
schnell zu Diensten, und mit etwas Glück habe ich zum Beispiel Zugang zur Firewall und kann mir
Nebentürchen öffnen". Da der Aufwand, zur Korrelation interner Ereignisse mit externen auch in die
SSL-Tunnel zu schauen, unverhältnismäßig groß ist, halten die Logfiles im Unternehmen – sofern sie
die scheinbar legitime Zugriffe wie Telnet-Operationen von einem Administrator-PC aus überhaupt
mitschneiden – nur die Aktionen des übernommenen PCs fest und erklären so dessen rechtmäßigen
Benutzer zum "Täter".
Eine weitere, auf solchen Tricks aufbauende Methode ist der Einsatz maßgeschneiderter und damit
schwer zu entdeckender Trojanischer Pferde. Beide Verfahren erfordern beim Angreifer einigen
Aufwand und gute Kenntnisse – aber "Hacken im Auftrag" nimmt zu und findet durchaus statt, wenn
sich dafür ein Auftraggeber findet. Kämper: "Ich wurde einmal in ein Unternehmen gerufen, um einen
laufenden Telnet-Angriff eines bereits entdeckten Mitarbeiters auf einen Server nachzuweisen. Der
Anwender saß dann tatsächlich an seinem PC und tippte – aber das war ein Brief, und von den über
seinen PC im Hintergrund laufenden Telnet-Hacks hatte er keine Ahnung". Hätte man den Mitarbeiter
beschuldigt, wäre dies für das Unternehmen teuer geworden. In einem anderen Fall hatte nach Ansicht
des Auftraggebers ein Mitarbeiter eine Schmäh-Mail an seinen Chef geschickt. Kämper konnte zeigen,
dass die Nachricht tatsächlich zu einem bestimmten Zeitpunkt von dessen PC ausgegangen war – aber
der Verdächtigte war am fraglichen Tag krank gewesen und vermochte nachzuweisen, zur Tatzeit
zuhause ein Postpaket angenommen zu haben.
"Fraglich ist außerdem", so Kämper weiter, "was man zählt – ist es ein Angriff, wenn ein
schlecht informierter Mitarbeiter auf ein Laufwerkssymbol klickt, um festzustellen, ob er an den
Inhalt herankommt oder dieser schon für ihn frei geschaltet wurde? Warum sieht er überhaupt
Laufwerke, die ihm versperrt sind? Und wie werden Irrtümer gewertet? Fehlgeschlagene Anmeldungen
ergeben schnell hohe interne Angriffsraten".
Das Innentäter-Primat ist ein Angstmarketinginstrument. Er soll zum Kauf nach innen gerichteter Überwachungsprodukte verleiten. Dabei nehmen die Vertreter der These in Kauf, in den Organisationen Unfrieden zu schüren, der weder der Arbeitsleistung noch der Sicherheit zugute kommt. Sicherheit nämlich entsteht primär nicht durch Technik, sondern durch eine aufmerksame und motivierte Belegschaft, die auch Social-Engineering-Attacken abwehrt und selbst beim Versagen der IT weiß, was sie tun muss. Wertvolle Informationen sind deshalb in einem Unternehmen mit gutem Betriebsklima bei weitem sicherer aufgehoben als in einer Organisationen, die ihren eigenen Angehörigen mit Misstrauen begegnet und die Feinde im eigenen Haus damit selbst produziert.
Gegen echte Innentäter wiederum hilft, wie Peter Kämper immer wieder erklärt, am besten konsequentes Access-Management und sinnvolle Netzsegmentierung. Beides verlangt nicht unbedingt Investitionen. Weiterhin hilfreich ist der Aufbau eines Protokollservers, um im Fall der Fälle Beweissicherung betreiben zu können, und die Konfiguration eines Gastnetzes, das per FTP-Dateiübertragungen in die Firmenumgebung erlaubt.
Lesen Sie mehr zum Thema
