Fachartikel

Datendiebstahl und Informationssicherheit

Die WikiLeaks-Story - die Wahrheit rund um das Thema Datensicherheit
Doch warum hat ein einfacher U.S. Army Analyst überhaupt Zugang zu Informationen, welche eigentlich nie an die Öffentlichkeit dürften?

Von Gabi Gerber, Barclay Technologies

(04.01.11) - Weshalb ist es möglich, dass ein "Army Intelligence Analyst" mit über 250.000 Diplomatischen Datensätzen – gebrannt auf eine ganz normale CD-RW und gelabelt mit Lady Gagas Song "Telephone" – den Irakischen Stützpunkt in der Nähe von Bagdad verlassen konnte? Ein 22-jähriger Mann hat damit den wahrscheinlich größten Datendiebstahl in der amerikanischen Geschichte geschafft.

Er hatte Zugang zu einem speziell klassifizierten Netzwerk der Regierung und suchte dort anscheinend nach gewissen Schlüsselwörtern, ähnlich wie wenn unsereins in Google einen Suchbefehl absetzt. Das Ergebnis war eine bunte Sammlung von Daten aus aller Welt, welche mit seinem Aufgabenbereich eigentlich gar nichts zu tun hatten.

Doch warum hat ein einfacher U.S. Army Analyst überhaupt Zugang zu Informationen, welche eigentlich nie an die Öffentlichkeit dürften? Gerade beim Pentagon, bei welchem Geld eine untergeordnete Rolle spielt; sollte man nicht davon ausgehen können, dass Sicherheitslücken dieser Art unter Kontrolle sein sollten? Letztes Jahr wurden innerhalb von sechs Monaten über 100 Millionen Dollar und Tausende von "Cyber Warriors" eingesetzt, um die Cyber Defense-Initiativen zu finanzieren.

Zudem wurde ein neues Militärkommando geschaffen, welches sich dediziert nur um Cybersecurity-Aspekte kümmern und jährlich über 200 Cyber Security Officer ausbilden soll. Reichen etwa all diese Mittel doch nicht aus, um einen Militärbeamten davon abzuhalten, hochsensible Daten an die Öffentlichkeit zu bringen?

Gemäß einem Video auf CBS News hat sich der Verteidigungsminister der Vereinigten Staaten – Robert M. Gates – wie folgt für diese Umstände gerechtfertigt:

Nach dem 11. September wurde festgestellt, dass es den Institutionen an einem Informationsaustausch gefehlt hatte. Hätten alle Institutionen ihre Informationen zusammen getragen und geteilt, hätte der 11. September möglicherweise verhindert werden können. Als Reaktion wurde von der Regierung beschlossen, dass Informationen grundsätzlich einem möglichst großen Kreis von Nutzern zur Verfügung gestellt werden müssen. Ziel: Niemandem an der Front soll der Zugang zu Informationen verweigert werden, die ihm möglicherweise hilfreich sein könnten.

Streng gesehen müsste man sich nun fragen, ob diese gelockerte Art des Informationsaustausches schlussendlich nicht die Sicherheit einer ganzen Nation gefährden könnte. Auf jeden Fall sollte nun jedoch allen Unternehmungen, welche geheime Informationen oder einfach grundsätzlich vertrauensvolle Daten in ihren Netzwerken haben, Folgendes klar geworden sein: Im sogenannten "Cyber Age" in dem wir uns befinden, darf der Zugriff auf kritische Daten nicht so salopp gehandhabt werden.

Doch der Weg ist steinig: Anscheinend hat das Verteidigungs-Departement der USA bereits im Februar dieses Jahres einen ehemaligen Hacker engagiert, welcher eine dedizierte Untersuchung bezüglich digitaler Spionage durch Mitarbeiter durchführen sollte. Peiter Zatko, welcher in der Hacker-Szene als Mudge bekannt war, kennt die böse und die gute Seite: Als Teenager in den 80ern startete er mit "Hacken" und wechselte in den 90igern auf die gute Seite.

Seine aktuellen Untersuchungen sollen jedoch noch Jahre davon entfernt sein, damit effektive Lösungen eingesetzt werden können, welche die aktuelle Kluft des Zugriffs auf für die Arbeit notwendigen Informationen und der Datensicherheit schließen werden. Die heute vorhandenen Lösungen decken anscheinend noch lange nicht alle Bedürfnisse ab, weil die verfügbaren Technologien noch in einer Anfangsphase stecken.

In der Zwischenzeit zeigte der WikiLeaks-Vorfall auf, dass das Pentagon definitiv noch nicht mal in der Lage ist, einen Basisschutz für das Erkennen und Schützen von heimlichen Aktivitäten, unautorisierten Downloads etc. zu gewährleisten, wie dies Steven Aftergood vom American Federation of Scientists bestätigt. Zudem fügt er hinzu, dass es sich hierbei um eine sehr schlechte Umsetzung von Sicherheitsrichtlinien handelt, wenn jemand Zugriff auf USB-Ports oder CD-RW-Laufwerke hat und nach Herzenslust Informationen downloaden kann.

Anscheinend hat das Pentagon nun Sofortmaßnamen zum Schutz vor unautorisierten Downloads von entsprechend klassifiziertem Material implementiert und den Einsatz von Wechselmedien in ihrem "Secure Internet Protocol Router Network – SIPRNet" strengstens verboten. Auch der technische Direktor von ESET Österreich – Martin Penzes - hat im Gespräch mit pressetext ausgesagt, dass ein solches Verbot zwar Nachteile beim Userkomfort mit sich bringt, aber definitiv die sicherste Variante sei (siehe pte101210010 Mitteilung vom 10.12.10).

Gemäß seiner Aussage handelt es sich hier zwar um drakonische Ansätze, aber weniger harte Richtlinien seien immer mit einem Restrisiko behaftet. Er erwähnte weiter auch Lösungen, welche beispielsweise USB-Geräte nur auf Grund von Charakteristiken wie Seriennummern zulassen. Doch wenn in diesem Beispiel ein erlaubter USB-Stick eingesetzt wird, können Daten trotzdem das Firmengelände verlassen.

Doch ist ein reines Verbot wirklich der richtige Weg? Angeblich droht das Pentagon ja lediglich mit einem Militärgerichtsverfahren, wenn USB-Sticks oder andere Medien trotzdem genutzt werden.

Der U.S. Army Analyst, der den Datendiebstahl begangen hat, wurde mittlerweile auch inhaftiert, doch hatte ihn diese Perspektive nicht von seinen Aktivitäten abgehalten. In seinem Chat auf www.wired.com hat er sein Vorgehen begründet mit der Aussage, dass er den Leuten die Wahrheit aufzeigen wollte, denn ohne diese könne die Gesellschaft keine fundierten Entscheidungen treffen.

Er ist ein Idealist, der genug von dem Handeln des Staates im ständigen Eigeninteresse hat, der alles hinterfragt und mitten in etwas steckte, was komplett gegen seine eigene Moral spricht. In so einer Situation und mit dem Denken eines Idealisten ist die Hemmschwelle, etwas Verbotenes zu begehen, sozusagen nicht vorhanden. Doch nach wie vor ist auch der amerikanische Staat noch der Meinung, dass ein reines Verbot für die Speicherung von Daten auf einem Wechselmedium vollkommen ausreicht.

Andererseits soll im Pentagon ein Erkennungssystem installiert werden, ähnlich wie bei den Kreditkarten-Firmen, um Betrügereien zu entdecken und zu überwachen – wortwörtliches Zitat aus der Los Angeles Times im Artikel "Inside job: Stolen diplomatic cables show U.S. challenge of stopping authorized users" vom 29. November 2010. Doch was versteht man unter "to detect and monitor fraud"? Man erkennt und überwacht den Diebstahl von Daten oder man kann auch etwas dagegen unternehmen? Viele Anbieter von entsprechenden Lösungen werben zumindest in deren Produktbeschreibungen mit; Detect, Monitor and Protect Confidential Data.

Doch im selben Artikel der Los Angeles Times wird auch erwähnt, dass die aktuellen Systeme Schwierigkeiten haben, um die feinen Anomalien zu entdecken, welche von ausgeklügelten Spionage Netzwerken angewendet werden.

Diese Schwierigkeiten respektive die damit trotzdem bestehenden Lücken der aktuell verfügbaren Lösungen will nun das Verteidigungs-Departement mit der eingangs erwähnten, neugeschaffenen Stelle von Peiter Zatko ergänzen. Hierbei stellt sich nun die Fragen, wie dies von normalen Unternehmungen bewerkstelligt werden soll, da die Privatwirtschaft selten über die Gelder eines Pentagon verfügen.

Auch Dale Meyerrose, der ehemalige Chief Information Officer von der U.S. Intelligence Community spricht von mitschuldigen Insidern, welche die größte Angst für das Verteidigungsministerium darstellt. Man könne sich nie komplett davor schützen. WikiLeaks ist für ihn keine Frage der Technologie sondern eine personelle Vertrauensangelegenheit.

Eigentlich wäre die korrekte Frage doch eher, ob es wirklich notwendig ist, dass Mitarbeiter heute so viele Freiheiten benötigen, um ihre Arbeit zu erledigen. Früher lagen wichtige Dokumente in einem Tresor und den Schlüssel dazu hatten nur sehr wenige Personen. Doch heute liegen die Informationen oftmals ungeschützt in einem Netzwerk und es werden Unsummen in Systeme investiert, die – wie aus dem WikiLeaks Fall hervorgehen – doch nicht die Schutzmaßnahmen darstellen, die man sich erhofft hatte.

Und dies nur, weil man den Mitarbeiter nicht zu sehr in seiner Arbeitsweise einschränken möchte? Rechtfertigt dies wirklich die Auswirkungen von WikiLeaks oder sollte man vielleicht doch noch drakonischere Ansätze in Betracht ziehen? Schlussendlich werden Maßnahmen zum Schutz gegen den Missbrauch von berechtigten Zugriffen immer mit Einschränkungen verbunden sein. Die Frage ist nur wie viele Vorfälle noch notwendig sind, bis diese Erkenntnis in der Wirtschaft akzeptiert wird. (Barclay Technologies: ra)

Die Barclay Technologies (Schweiz) AG ist ein Softwareentwickler einer Verschlüsselungstechnologie.

Barclay Technologies: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Hintergrund

Fälschungen: Eine zunehmende Online-Bedrohung "If you can make it, they can fake it." Leider ist dieses Sprichwort nur allzu wahr. Der Handel mit gefälschten Waren betrifft heute fast alle Branchen und Produkte, von Luxusgütern und Technologieprodukten mit entsprechend hoher Marge bis hin zu eher margenschwachen Verbrauchsartikeln wie Batterien, Shampoo, Kraftstoff und Nahrungsmitteln. Und das Problem breitet sich aus. Nicht zuletzt, weil immer mehr gefälschte Waren hergestellt werden, und zwar vor allem in Ländern wie China, wo die Produktionskapazitäten förmlich explodieren (89 Prozent aller beschlagnahmten Fälschungen stammen von dort).

Gefahren beim Online-Banking Millionen Europäer nutzen heute Online-Banking – obwohl Umfragen zeigen, dass 85 Prozent der europäischen Verbraucher Sicherheitsbedenken bei der Nutzung von Finanzdienstleistungen im Internet haben. Dass die Bedenken begründet sind, lässt sich fast im Wochenrhythmus in den Zeitungen nachlesen: Ständig kann man Nachrichten über gestohlene Identitäten, verlorengegangene persönliche Daten und neue Betrugsversuche lesen. Dennoch bleiben die Methoden, die Cyber-Kriminelle für den Betrug im Online-Banking nutzen, für die meisten Menschen ein Buch mit sieben Siegeln.

Datendiebstahl und Informationssicherheit Weshalb ist es möglich, dass ein "Army Intelligence Analyst" mit über 250.000 Diplomatischen Datensätzen – gebrannt auf eine ganz normale CD-RW und gelabelt mit Lady Gagas Song "Telephone" – den Irakischen Stützpunkt in der Nähe von Bagdad verlassen konnte? Ein 22-jähriger Mann hat damit den wahrscheinlich größten Datendiebstahl in der amerikanischen Geschichte geschafft.

Die gravierenden Risiken der Non-Compliance 84 Prozent der deutschen Unternehmensführer betrachten Compliance, also die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien inzwischen als wichtigen Faktor für den Unternehmenserfolg. Die nicht endende Flut an "Skandalen", zuletzt in Folge der Wirtschafts- und Finanzkrise, macht die Compliance-Schadensfälle für Unternehmen zur Chefsache. Das sind Ergebnisse der Potenzialanalyse Compliance von Steria Mummert Consulting.

Datenschutzprinzipien zur besseren Compliance Die Zeitschrift Forbes nannte das Jahr 2009 das "Year of the Mega Data Breach". Mit 220 Millionen gestohlenen Datensätzen wird der 2008 aufgestellte Rekord von 35 Millionen um mehr als das sechsfache übertroffen. Einen großen Anteil an dieser Entwicklung tragen unsicher entwickelte Softwareapplikationen, die Datensysteme zum Selbstbedienungsladen für Kriminelle machen.

Compliance durch sicheren Umgang mit Log-Daten Zahlreiche Compliance-Vorschriften wie Health Insurance Portability and Accountability Act (HIPPA) oder Payment Card Industry Data Security Standard (PCI-DSS) fordern von Unternehmen die Sammlung und Speicherung ihrer Log-Daten. Doch den Betroffenen entstehen dadurch auch neue Möglichkeiten um beispielsweise Angriffe zu erkennen oder Fehlerursachen schneller zu finden.

Informationsaustausch in Steuersachen Im Fall des Ex-Vorstandes der Deutschen Post AG, Klaus Zumwinkel, stand bereits vor Beginn der Razzia und bei seiner Abfahrt in Polizeibegleitung das Kamerateam bereit. In der Folge hätte rechtlich geklärt werden können, ob man Steuersünder aufgrund "erst gestohlener und später gleichsam als Hehlerware weiterverkaufter Daten" überhaupt verurteilen darf. Ab dem 01.01.2010 hat sich diese Fragestellung endgültig erledigt, denn dann tritt ein Abkommen zwischen Deutschland und Liechtenstein in Kraft, welches nahezu jeden Informationsaustausch in Steuersachen sicherstellt.

E-Mail und die digitale Steuerprüfung Kaufmännische Briefe und Rechnungen werden seit über 500 Jahren auf dem Postweg verschickt. Anschließend wurden sie in Kellern oder Lagern aufbewahrt, damit sie für notwendige Zugriffe schnell verfügbar waren. Inzwischen läuft der Versand kaufmännischer Dokumente fast ausschließlich digital per E-Mail. Dies erfordert jedoch neue Strukturen für die Archivierung und Strukturierung der Daten sowie zum Nachweis, dass die Daten und Inhalte nicht verändert wurden. Denn das ist eine Grundvoraussetzung dafür, dass die Prüfbarkeit auch der digitalen Daten und Dokumente gegeben ist.

Erfassung interner und externer Mails Nach einem Urteil des Oberlandesgerichts Karlsruhe von 2005 erfüllt schon das Löschen und Ausfiltern von E-Mails den Tatbestand des Unterdrückens gemäß §206 StGB. Daher müssen Unternehmen zur Gewährleistung der Compliance sämtliche elektronischen Nachrichten im Originalformat archivieren, selbst Spam- und vireninfizierte E-Mails. Entsprechend bieten manche herkömmliche E-Mail-Archivierungssysteme nur eine unzureichende juristische Absicherung. Denn sie erfassen und speichern eingehende Mails erst, nachdem sie von Antiviren- oder Spam-Filtern aussortiert wurden. Zusätzlich können bei Systemabstürzen einzelne Mails verloren gehen, wenn sie nicht zuvor vom Archivsystem gesichert wurden.

Compliance und ECM ergänzen sich gegenseitig Die Komplexität der heutigen Compliance-Vorschriften macht es für Mitarbeiter fast unmöglich, selbst den Überblick darüber zu behalten, welche Nachrichten gespeichert werden müssen und welche nicht. Daher können Unternehmen heutzutage nicht mehr darauf verzichten, E-Mails automatisch zu sichern. Eine softwareseitige Unterstützung erleichtert nicht nur den Mitarbeitern die Arbeit, sondern gibt der Geschäftsführung Sicherheit, dass wichtige E-Mails auch wirklich aufbewahrt werden.