Abwehr von Insider-Attacken: Wie Unternehmen ihre
Transcription
Abwehr von Insider-Attacken: Wie Unternehmen ihre
Security and Privacy September 2006 Abwehr von Insider-Attacken: Wie Unternehmen ihre sensiblen Informationen schützen können Abwehr von Insider-Attacken: Wie Unternehmen ihre sensiblen Informationen schützen können Seite 2 Einleitung Inhalt 2 Einleitung 3 Die zunehmende Gefährdung durch Insider-Attacken 5 Risiken für Unternehmen: Was steht auf dem Spiel? 6 Entwicklung von differenzierteren Sicherheitsmaßnahmen 11 Zusammenfassung Jedes Jahr werden immer mehr Geschäftstransaktionen elektronisch durchgeführt, und Unternehmen speichern eine immer größere Menge an sensiblen Daten. Für viele Unternehmen sind Daten von existenziellem Wert, da sie die Grundlage aller Geschäftsabläufe bilden. Immer mehr Benutzer haben heute Zugriff auf diese Daten – Mitarbeiter, Geschäftspartner, Lieferanten und Kunden – und die IT-Infrastruktur ist umfangreicher, komplexer, verteilter und einfacher zugänglich als je zuvor. Die zunehmende Vernetzung bietet Unternehmen, Behörden und Verbrauchern zahlreiche Vorteile, birgt jedoch auch ein enormes Risiko. Je mehr Zugriffspunkte ein Unternehmen bereitstellt, desto größer ist die Gefahr eines unbefugten Systemzugriffs oder eines Datendiebstahls. Und es steht viel auf dem Spiel – insbesondere da die Menge der gespeicherten persönlichen Daten zunimmt. Unternehmen und Behörden müssen strenge gesetzliche Auflagen einhalten und das eigene intellektuelle Kapital vor Mitbewerbern oder subversiven politischen Kräften schützen, während die Verbraucher in der Regel vor allem wegen eines möglichen Identitätsdiebstahls und anderer Datenschutzverstöße besorgt sind. Durch die wachsende Sorge der Öffentlichkeit in Bezug auf die Sicherheit und den Schutz personenbezogener Daten werden heute viele Unternehmen und Behörden kritisch betrachtet. Die einzelnen Länder sind verstärkt dabei, Gesetze zum Schutz vertraulicher Daten auszuarbeiten. In Deutschland hat der Datenschutz mit dem vom Bundesverfassungsgericht bestätigten Recht auf informationelle Selbstbestimmung schon lange eine besondere Bedeutung. Das Telemediengesetz wird Diensteanbieter verpflichten, Nutzer genau über die vorgenommene Datenspeicherung und -verwendung aufzuklären. Auch Gesetze in Großbritannien, insbesondere der Data Protection Act von 1998, wurden in den letzten Jahren erweitert, um den Schutz vor Betrug und Identitätsdiebstahl abzudecken. In den USA verabschiedete Kalifornien das Security Breach Notification Law, das Unternehmen (unabhängig von ihrem Standort) dazu verpflichtet, die kalifornischen Bürger über Fälle von Datenbetrug zu informieren.1 Seitdem haben 23 weitere US-Bundesstaaten eigene Gesetze verabschiedet, die eine Offenlegung solcher Vorfälle vorschreiben, und Kanada plant ähnliche Maßnahmen. Diese jüngsten Gesetze sowie häufige Berichte in den Medien über Sicherheitsverstöße sind Reaktionen auf mittlerweile weit verbreitete Sicherheitsbedrohungen. Abwehr von Insider-Attacken: Wie Unternehmen ihre sensiblen Informationen schützen können Seite 3 Highlights IBM hat in seinem Global Business Security Index Report von 2005 einen neuen Trend hin zu kleineren, gezielten Attacken – anstelle von weit reichenden unspezifischen Bedrohungen durch Würmer, Spam, Viren und weitere Malware – ausgemacht. 2 Insbesondere Insider-Attacken stellen eine enorme Gefahr für die Sicherheit und den Schutz von Daten dar. Dieses White Paper verdeutlicht das Problem von Insider-Attacken und unterbreitet Vorschläge, wie Unternehmen ihr Risiko verringern können. Die zunehmende Gefährdung durch Insider-Attacken Starke Maßnahmen zum Schutz eines Unternehmens vor externen Gefahren können solche Bedrohungen effektiv abwehren, sind jedoch nur ein Teil der Sicherheit, die Unternehmen heute brauchen. Unternehmen haben jahrzehntelang daran gearbeitet, mit stärkeren Maßnahmen zum Schutz vor unbefugten Zugriffen, wie z. B. Firewalls, Antivirensoftware, biometrischen Zugangskontrollen und elektronischen Ausweisen, ein Gegengewicht zu offeneren, besser vernetzten und verteilten Netzwerken zu schaffen. Diese Maßnahmen sorgten für eine effektivere Abwehr von Gefahren von außerhalb und erschwerten Hackern oder Viren das Eindringen in die Systeme eines Unternehmens. Doch diese Technologien gehen größtenteils passiv an Sicherheitsprobleme heran und sind darauf ausgelegt, nur unbefugte Zugriffsversuche zu vereiteln. Sie stellen nur die erste Verteidigungslinie dar. Auch wenn das Risiko interner Schwachstellen angesichts der Angriffe von außen häufig in den Hintergrund gerät, ist es dennoch ein drängendes Problem für praktisch jedes Unternehmen und jede Organisation. Laut „The Global State of Information Security 2005“, einer von PricewaterhouseCoopers und CIO veröffentlichten Studie, gehen 33 Prozent aller Angriffe auf die Informationssicherheit von internen Mitarbeitern und 28 Prozent von ehemaligen Mitarbeitern und Partnern aus.3 Auch wenn Unternehmen, Behörden und Branchenanalysten das Risiko von internen Sicherheitsverstößen gewiss nicht außer Acht lassen, gerät es doch angesichts spektakulärer Bedrohungen durch Denial-of-Service-Attacken, weit verbreiteter Viren oder Diebstähle von intellektuellem oder finanziellem Kapital häufig in den Hintergrund. Abwehr von Insider-Attacken: Wie Unternehmen ihre sensiblen Informationen schützen können Seite 4 Highlights „Unehrliche Insider“ können die Schwachstellen eines Unternehmens ausnutzen, um Identitätsbetrug zu begehen und vertrauliche Informationen auszunutzen – z. B. aus Rache, um sich persönlich zu bereichern oder im verbrecherischen Auftrag. Eine vom Privacy Rights Clearinghouse geführte Liste zeigt Hunderte von Verstößen gegen Datenschutzbestimmungen, die in den USA allein seit Februar 2005 gemeldet wurden. Gefahren von außerhalb Priorität gegenüber internen Bedrohungen einzuräumen, ist jedoch falsch und kann große Lücken im Schutzwall eines Unternehmens hinterlassen. HSBC Electronic Data Processing (India) Private Ltd., ein auf Back-Office-Verarbeitung und Kundensupport spezialisiertes Unternehmen, gab im Juni 2006 bekannt, dass sich ein Mitarbeiter, der zu einer größeren Diebesbande gehörte, Zugriff auf Kundenkartendaten verschafft und damit 20 Kunden in Großbritannien und Nordirland um 425.000 US-Dollar gebracht hatte.4 Dieser Vorfall ist nur einer von vielen, die in den letzten Jahren bekannt wurden. Eine vom Privacy Rights Clearinghouse in den USA geführte Liste nennt Hunderte von Verstößen gegen die Datensicherheit seit dem Aufsehen erregenden Datendiebstahl bei ChoicePoint im Februar 2005.5 Viele dieser Sicherheitsverstöße hatten ihren Ursprung innerhalb von Unternehmen – sie gingen von Personen aus, die auf der Liste des Privacy Rights Clearinghouse als „unehrliche Insider“ geführt werden. Hier einige Beispiele aus dieser Liste: • Bei einer Full-Service-Wertpapierfirma verschaffte sich ein früherer Mitarbeiter unbefugten Zugriff auf die Daten von mehr als 100 Kunden. • Die Systeme eines Hotels waren das Ziel eines Angriffs eines wahrscheinlich unehrlichen Insiders. Dabei wurden 55.000 Kundendatensätze – Namen, Adressen, Kreditkartendaten, Sozialversicherungsnummern, Führerscheinnummern und Bankverbindungen – einem Risiko ausgesetzt. • Vermutlich ein unehrlicher Insider erlangte Zugriff auf die Systeme eines Internet-Abrechnungsunternehmens, wobei Namen, Telefonnummern, Adressen, E-Mail-Adressen, IP-Adressen, Anmeldenamen, Kennwörter, Kreditkartentypen und Kaufbeträge online offen gelegt wurden. • Bei einem Versicherungsunternehmen verschaffte sich eine Mitarbeiterin Zugang zu vertraulichen Daten, einschließlich Namen, Sozialversicherungsnummern, Geburtsdaten und Adressen von Immobilien in der Zwangsversteigerung, die sie dann nutzte, um sich persönlich zu bereichern. Viele weitere Fälle traten in Verbindung mit gestohlenen Laptops, verloren gegangenen Bändern mit Sicherungsdaten oder der unbefugten Einrichtung und Nutzung von Accounts auf.5 Auch wenn diese Fälle streng genommen nicht in die Kategorie „Insider-Attacken“ fallen, können sie ein Unternehmen dennoch demselben Risiko aussetzen – da Außenstehende die Zugriffsmöglichkeiten berechtigter Benutzer ausnutzen, um Sicherheitsvorkehrungen zu umgehen und dabei unbemerkt zu bleiben. Abwehr von Insider-Attacken: Wie Unternehmen ihre sensiblen Informationen schützen können Seite 5 Risiken für Unternehmen: Was steht auf dem Spiel? Highlights Da Mitarbeiter über gültige Berechtigungen verfügen und die Schwachstellen eines Unternehmens kennen, sind InsiderAttacken häufig schwieriger zu erkennen als unbefugte Zugriffsversuche von außen. Insider-Attacken können erheblichen Schaden anrichten, der dem durch Angriffe von außen verursachten Schaden in nichts nachsteht oder diesen sogar noch übertrifft. Ein Insider ist in sein Unternehmen eingebunden und genießt Vertrauen. Er verfügt über eine gültige Berechtigung und kann sich in der Regel relativ unbehelligt innerhalb der IT-Infrastruktur des Unternehmens aufhalten und bewegen. Insider-Attacken zielen meist auf bestimmte Informationen ab und nutzen etablierte Zugriffspunkte oder nicht behobene Schwachstellen. Sie sind in vielerlei Hinsicht schwieriger zu erkennen als unbefugte Zugriffsversuche von außen. Laut einer vor kurzem durchgeführten Studie dauert es durchschnittlich 18 Monate, bis betrügerische Machenschaften aufgedeckt werden. In ihrem „2006 ACFE Report to the Nation on Occupational Fraud and Abuse“ weist die Association of Certified Fraud Examiners (ACFE) nach, dass die meisten allgemeinen Betrugsfälle – Veruntreuung, Korruption oder betrügerische Abrechnungen – nur durch Zufall oder Tipps von Mitarbeitern aufgedeckt werden. Dies deutet darauf hin, dass es in sehr vielen Unternehmen an einer effektiven Überwachung und Aufsicht fehlt. Der Bericht stellt auch fest, dass es im Durchschnitt 18 Monate dauert, bevor solche betrügerischen Machenschaften entdeckt werden.6 Unbemerkte Attacken können gravierenden Schaden anrichten: Sie setzen Unternehmen dem Risiko der Haftung für gefährdete Daten aus, schwächen seine Wettbewerbsposition und führen zu Unterbrechungen der Geschäftsabläufe. Interne Attacken, die unbemerkt bleiben, können einem Unternehmen gravierenden Schaden zufügen. Sie gefährden die persönlichen Daten von Kunden oder Mitarbeitern und vertrauliche Informationen zu Entwicklung, Produktion oder Vertrieb. Ein solcher Verstoß gegen die Datensicherheit – ob Identitätsdiebstahl, Missbrauch von Daten oder Verkauf vertraulicher Informationen – setzt ein Unternehmen nicht nur dem Risiko der direkten Schäden, sondern auch dem Risiko von Haftung und Strafen aus. Auch die Wettbewerbsposition eines Unternehmens wird drastisch in Mitleidenschaft gezogen, wenn ein Insider das geistige Eigentum des Unternehmens oder Geschäftsgeheimnisse auf unbefugte Weise verwendet. Solche Attacken können außerdem darauf abzielen, das Unternehmen zu erpressen oder seinen Ruf zu schädigen. Führen sie zu IT-Ausfällen oder beschädigten Systemen, haben solche Attacken zudem eine Unterbrechung von Geschäftsabläufen zur Folge und mindern den Wert der IT-Investitionen. Es steht viel auf dem Spiel. Daher wird es immer wichtiger, die Gefahr von Insider-Attacken anzugehen – und zwar bevor diese eintreten. Abwehr von Insider-Attacken: Wie Unternehmen ihre sensiblen Informationen schützen können Seite 6 Entwicklung von differenzierteren Sicherheitsmaßnahmen Highlights Verteilte globale Arbeitsumgebungen und sich rasch ändernde geschäftliche Bedingungen erfordern ein ausgewogenes Verhältnis zwischen Zugriffsmöglichkeiten für Endbenutzer und dem Schutz von Daten. Der Schutz vor Insider-Attacken setzt ausgefeiltere und differenziertere Sicherheitssysteme voraus. Es gibt vier Grundelemente, die für die nötige Differenziertheit zur Abwehr von Insider-Attacken sorgen. Die verteilten Umgebungen und sich rasch ändernden geschäftlichen Bedingungen (z. B. Fusionen und Übernahmen, starke Veränderungen im Personalstand und globale Ressourcenbeschaffung) führen heute dazu, dass die Benutzer auf zahlreiche geografische Standorte verteilt sind, Systeme viele unterschiedliche Zugriffspunkte haben und verärgerte Mitarbeiter möglicherweise dem Unternehmen Schaden zufügen wollen. Die Folge: Die Unternehmen sind heute einem größeren Risiko von Insider-Attacken ausgesetzt. Jedes Unternehmen braucht eine Strategie für das effektive Management dieses Risikos, um ein ausgewogenes Verhältnis zwischen den Zugriffsmöglichkeiten für Endbenutzer und dem Schutz vor Sicherheitsverstößen zu erreichen. Wenn man nach Insider-Attacken Ausschau hält, muss man sich – im Gegensatz zu Gefahren von außen – nicht fragen, ob der Zugriff eines Benutzers berechtigt ist, sondern ob das Verhalten des Benutzers akzeptabel ist. Während die erste Frage sich einfach mit ja oder nein beantworten lässt, ist die zweite Frage sehr viel komplexer. Denn das Verhalten eines Benutzers umfasst von Anfang bis Ende sämtliche Ereignisse in einer bestimmten Benutzer-Session und erlaubt Rückschlüsse auf langfristige Muster sowie feine Unterschiede. Wie wir im Folgenden verdeutlichen werden, gibt es vier Grundelemente, die als Teil einer umfassenden Herangehensweise an die Abwehr von Insider-Attacken für eine differenzierte Sicherheit sorgen. Diese vier Elemente sind Verhaltensanalysen, integrierte Sicherheitskomponenten, die automatische Einleitung von Maßnahmen und ein iterativer Modellierungsprozess. Verhaltensanalyse Um Insider-Attacken vermeiden zu können, muss man zunächst wissen, welches Verhalten in einem bestimmten Geschäftsprozess normal ist und welches Verhalten von der Norm abweicht. Einer der ersten Schritte ist daher die Festlegung von Richtlinien – die Definition der Parameter für akzeptables Verhalten innerhalb einer Vergleichsgruppe. Diese Parameter bilden die Basis für eine Vergleichsanalyse. Deshalb ist es wichtig, Verhaltensprofile von Benutzern auf der Grundlage von Langzeitdaten oder konkreter Erfahrung anzulegen – und nicht nur auf Basis häufig unrealistischer Erwartungen. Abwehr von Insider-Attacken: Wie Unternehmen ihre sensiblen Informationen schützen können Seite 7 Highlights Sicherheitssysteme sollten automatisch die Onlineaktivitäten berechtigter Benutzer überwachen, abnormales Verhalten erkennen und sogar potenziellen Missbrauch vermeiden helfen. (Werden die Parameter, die das Benutzerverhalten kennzeichnen sollen, zu weit gefasst, besteht die Gefahr, dass außergewöhnliches Verhalten möglicherweise unbemerkt bleibt. Bei zu eng definierten Parametern besteht dagegen das Risiko, dass ständig falscher Alarm ausgelöst wird.) Jede Änderung des Aufgabenbereiches eines Benutzers muss so natürlich auch zur Aktualisierung seines Profils führen. Sicherheitssysteme können diese Parameter als Grundlage für Vergleichsanalysen verwenden, um jeden Aspekt der Onlineaktivitäten berechtigter Benutzer automatisch zu überwachen – von Anfang bis Ende jeder Session. Die Systeme dürfen nicht nur in der Lage sein, abnormales Verhalten anhand einer Vergleichsanalyse zu erkennen, sondern müssen auch potenziellen Missbrauch vorhersehen und sogar verhindern, indem sie unmittelbar auf bestimmte Trigger-Ereignisse reagieren. Dazu lassen sich folgende Variablen überwachen: • Erstverbindung – Datum und Uhrzeit der Anmeldung, beteiligte IP-Adressen und Verbindungshäufigkeit • Datenzugriff – Datenanforderungen, geordnet nach Typ • Anwendungsnutzung – Häufigkeit und Dauer • Gesamte Nutzung – Gesamtdauer der Session und Gesamtanzahl der Datenanforderungen Die Verhaltensanalyse kann dazu beitragen, geringfügige Abweichungen und ungewöhnliche Muster in dynamischen Arbeitsumgebungen mit hohem Datenverkehr aufzuzeigen. Die Verhaltensanalyse kann sich in dynamischen Arbeitsumgebungen mit hohem Datenverkehr als unverzichtbar erweisen, z. B. in Call-Centern, in denen Kundendaten anfällig für Betrug oder Missbrauch sind. Die Mitarbeiter in diesen Call-Centern haben umfangreichen Zugang zu Kundendaten, greifen aber in der Regel während ihres Arbeitstags nur auf eine überschaubare Anzahl an Datensätzen zu. Wenn nun anhand einer Protokollanalyse festgestellt wurde, dass jeder Mitarbeiter in einem bestimmten Call-Center normalerweise auf zehn bis 15 Datensätze pro Tag zugreift, ist es angemessen, einen Mitarbeiter genauer unter die Lupe zu nehmen, der plötzlich auf 30 oder mehr Datensätze zugreift. Ebenso könnte ein Unternehmen Verdacht schöpfen, wenn sich ein Mitarbeiter Informationen ansieht, die er für Kundeninteraktionen normalerweise gar nicht benötigt. Nur durch permanente, kontrollierte Verhaltensanalysen lassen sich solche Abweichungen feststellen. Abwehr von Insider-Attacken: Wie Unternehmen ihre sensiblen Informationen schützen können Seite 8 Integrierte Sicherheitskomponenten Highlights Sicherheitselemente sollten nahtlos – in Echtzeit – zusammenarbeiten, um eine gründliche Analyse und schnelle Reaktion auf potenzielle Gefahren zu ermöglichen. Viele Unternehmen verfügen zumindest über einige der Sicherheitselemente, die zum Schutz vor Insider-Attacken erforderlich sind: Authentifizierungssysteme, Software zur Ressourcenkontrolle, Funktionen zur Überwachung von Einheiten und der Internetnutzung sowie weitere Tools. Entscheidend ist jedoch, dass diese einzelnen Komponenten so nahtlos wie möglich interagieren. Häufig nimmt die Analyse einer enormen Menge an Daten aus einer Vielzahl verschiedener Einheiten, Zugriffspunkte und Benutzerkonten zu viel Zeit in Anspruch. Tatsächlich ist dies einer der Gründe dafür, warum Unternehmen die Erkennung von Insider-Attacken so schwer fällt. Unternehmen müssen eine differenzierte Kommunikation, Korrelation und Analyse einer Vielzahl verschiedener Sicherheitskomponenten ermöglichen. Zu diesen Komponenten gehören Gateways für die Authentifizierung, physische Sicherheitssysteme, Tools für das Ressourcenmanagement, Funktionen zur Netzwerküberwachung und Websicherheitsplattformen. Diese Systeme sollten in Echtzeit miteinander kommunizieren, damit das Unternehmen schnell reagieren kann, um einen Missbrauch von Daten zu verhindern – und die Systeme sollten potenzielle Angriffe möglichst vorhersehen und verhindern. Die Systeme, die ein Unternehmen zur Überwachung des Benutzerverhaltens einsetzt, sollten außerdem den Administratoren die Überwachung und Erkennung von Verhaltensmustern erleichtern. Daher müssen die Administratoren Zugriff auf eine zentrale Konsole haben, die Nachrichten und Ereignisse von Systemen zusammenstellt und alle wichtigen Aspekte – von Netzwerkeinheiten bis zur Nutzung von Anwendungen – überwacht. Die manuelle Protokollprüfung und Suche nach komplexen Beziehungen zwischen Systemen nimmt mehr Zeit und Arbeit in Anspruch, als notwendig und lohnenswert erscheint. Abwehr von Insider-Attacken: Wie Unternehmen ihre sensiblen Informationen schützen können Seite 9 Highlights Eine effektive Erkennung von Verhaltensmustern hängt von der Fähigkeit ab, Nachrichten und Ereignisse aus unterschiedlichen Überwachungssystemen in der gesamten IT-Umgebung zu korrelieren. Überlegen Sie, um wie viel leistungsfähiger die Funktionen zur Erkennung von Verhaltensmustern eines Unternehmens sein können, wenn Ereignisse in der gesamten IT-Umgebung korreliert werden. Zwei Beispiele: Ein Benutzer, der normalerweise nur auf eine bestimmte Anwendung zugreift, startet plötzlich eine besonders große Menge von Zugriffen auf viele verschiedene Anwendungen. Oder es werden zu unüblichen Zeiten viele Informationen aus einer Datenbank gelesen und von dem gleichen System dann Verbindungen ins Internet aufgebaut. Solche Ereignisse kann ein integriertes System verknüpfen und das Verhalten als ungewöhnlich und potenziell gefährlich einstufen. Ohne diese automatische Korrelation in Echtzeit könnten solche Angriffe möglicherweise nicht schnell genug entdeckt werden. Schon eine Verzögerung von nur wenigen Stunden ließe einem potenziellen Angreifer genug Zeit für seine Machenschaften. Automatische Einleitung von Maßnahmen Unternehmen müssen möglichst schnell Abweichungen vom normalen Verhalten erkennen und entsprechend darauf reagieren. Die manuelle Erkennung von Abweichungen und Einleitung von geeigneten Maßnahmen reicht jedoch möglicherweise nicht aus, insbesondere wenn eine Attacke außerhalb der Geschäftszeiten stattfindet. Die Sicherheitssysteme selbst müssen in der Lage sein, sofort auf inakzeptables Verhalten von Benutzern zu reagieren. Die automatische Zugriffsverweigerung kann potenzielle Attacken schnell verhindern – und Netzwerkadministratoren einen Zeitvorsprung geben, geeignete Maßnahmen festzulegen. Um Schaden zu vermeiden oder zu begrenzen, müssen die Systeme selbst in der Lage sein, sofort auf inakzeptables Verhalten zu reagieren. Sobald beispielsweise das Verhalten vom Standard abweicht und dabei ein bestimmter Schwellwert überschritten wird, sollte das System den Zugriff auf die entsprechende Anwendung oder Datenressource einschränken. Diese zeitnahe Reaktion gibt dem Netzwerkadministrator Gelegenheit, um die Verhaltensmuster gründlich zu analysieren und eine geeignete Maßnahme auszuwählen. Der Netzwerkadministrator sollte kein spezialisiertes Sicherheits-Know-how benötigen, um diese Daten interpretieren oder die nächsten Schritte festlegen zu können. Die Sicherheitssysteme sollten deshalb automatisch eine Reihe relevanter Maßnahmen vorschlagen, die auf neuesten Forschungsergebnissen und Erkenntnissen über Sicherheitsrisiken basieren. Darüber hinaus sollten die Systeme in der Lage sein, einen falschen Alarm zu erkennen und zu ignorieren. Denn ein Warnsystem, das Meldungen lediglich weitergibt, ohne eine solche einfache Analyse selbstständig durchzuführen, bietet keinen Mehrwert für den Überwachungsprozess. Abwehr von Insider-Attacken: Wie Unternehmen ihre sensiblen Informationen schützen können Seite 10 Iterativer Modellierungsprozess Highlights Um mit den wachsenden Sicherheitsbedrohungen Schritt zu halten, müssen Unternehmen ihre Sicherheitsmaßnahmen kontinuierlich ändern und erweitern. Selbstoptimierende Systeme sollten angemessen und intelligent auf dynamische Geschäftsbedingungen reagieren können – ohne manuelle Intervention. Ganz gleich, wie gut sich ein Unternehmen auf die Sicherheitsbedrohungen von heute vorbereitet, das Risiko nimmt weiter zu. Mitarbeiter kommen und gehen. Die IT-Infrastruktur wird immer umfangreicher. Sie wird um neue Technologien ergänzt, die zu unvorhergesehenen Schwachstellen führen können. Um sensible Daten zu schützen, müssen Unternehmen potenziellen Gefahren immer einen Schritt voraus sein. Sicherheitssysteme sollten dabei eine wesentliche Rolle spielen. Wichtig ist, dass Erkennungssysteme nicht auf eng gefasste, spezifische Regeln beschränkt werden, da sich die Definition gültigen Verhaltens mit der Zeit ändern kann. Stattdessen sollten Unternehmen Systeme einsetzen, die sich selbst optimieren und dadurch angemessen und intelligent auf dynamische Geschäftsbedingungen reagieren – ohne dass die Regeln jedes Mal völlig neu definiert werden müssen. Beispielsweise kann ein Call-Center die durchschnittliche Länge eines Gesprächs häufig ändern, um bestimmte Ziele in Bezug auf die Kosten oder Kundenzufriedenheit zu erreichen. Oder die Call-Center-Agents müssen im Rahmen einer Marketingkampagne auf Daten zugreifen, die sie normalerweise nicht benötigen. Können sich Systeme nicht dynamisch an solche Änderungen anpassen, besteht die Gefahr, dass ständig falscher Alarm gegeben wird – und eine berechtigte Warnung möglicherweise übersehen wird. Gleichzeitig dürfen die für die Systeme festgelegten Schwellenwerte nicht zu hoch gesetzt werden, da sonst feine Abweichungen innerhalb großer Stichproben von Verhaltensdaten nicht zuverlässig erkannt werden. Ein ausgewogenes Verhältnis zwischen beiden Extremen lässt sich mit einem iterativen Modellierungsprozess erreichen, bei dem die Überwachungssysteme die normalen Abläufe, Kommunikationsarten und Verhaltensmuster des Unternehmens protokollieren und darin auch unterschiedliche Typen akzeptablen Verhaltens erkannt werden. Abwehr von Insider-Attacken: Wie Unternehmen ihre sensiblen Informationen schützen können Seite 11 Zusammenfassung Highlights Unternehmen müssen darauf vorbereitet sein, Angriffe abzuwehren, ganz gleich, wo diese ihren Ursprung haben – auch wenn die Grenzen zwischen Unternehmen, Partnern, Benutzern und Kunden verschwimmen. Die jüngsten Vorkommnisse haben gezeigt, dass es sich Unternehmen, gleich welcher Branche, nicht leisten können, das Risiko von InsiderAttacken zu ignorieren. Wenn Unternehmen wachsen, beschäftigen sie Mitarbeiter an immer mehr unterschiedlichen Standorten. Sie implementieren Systeme, die heterogener, komplexer und besser vernetzt sind. Sie speichern eine immer größere Menge an vertraulichen Daten und müssen ständig neue gesetzliche Bestimmungen einhalten. Die traditionellen Grenzen zwischen Unternehmen, Partnern, Benutzern und Kunden lösen sich immer mehr auf, was die Definition und Umsetzung von Sicherheitsrichtlinien erschwert. Unternehmen müssen darauf vorbereitet sein, Angriffe abzuwehren, ganz gleich, wo diese ihren Ursprung haben – indem sie Schwachstellen in genau dieser Lücke zwischen dem traditionellen und dem offenen, verteilten Unternehmen von heute und morgen ins Visier nehmen. Weitere Informationen IBM Deutschland GmbH 70548 Stuttgart ibm.com/de IBM Global Services gehört zu den führenden Experten im Bereich Sicherheit und Datenschutz und kann Ihnen fundierte Informationen über die Gefahr von Insider-Attacken liefern und mögliche Maßnahmen zum Schutz vor diesen Attacken empfehlen. Das IBM Information Security Framework, das methodisch und effizient an wichtige Sicherheitsprobleme herangeht, unterstützt Unternehmen dabei, den immer größeren Gefahren, Risiken und geschäftlichen Anforderungen im Bereich Datenschutz und allgemeine Sicherheit zu begegnen. Das IBM Center for Business Optimization liefert wertvolle Einblicke in Sicherheits- und Datenschutzprobleme und hilft Unternehmen dabei, effektive Strategien zu erarbeiten – durch komplexe mathematische Forschung, Business-PerformanceManagement, Business-Intelligence-Systeme, Software und Deep Computing. IBM Österreich Obere Donaustraße 95 1020 Wien ibm.com/at IBM Schweiz Vulkanstrasse 106 8010 Zürich ibm.com/ch Die IBM Homepage finden Sie unter: ibm.com IBM, das IBM Logo und ibm.com sind eingetragene Marken der IBM Corporation. Weitere Unternehmens-, Produkt- oder Servicenamen können Marken anderer Hersteller sein. Weitere Informationen erhalten Sie bei Ihrem IBM Vertriebsbeauftragten. Oder wenden Sie sich direkt an: Vertragsbedingungen und Preise erhalten Sie bei den IBM Geschäftsstellen und/oder den IBM Business Partnern. Die Produktinformationen geben den derzeitigen Stand wieder. Gegenstand und Umfang der Leistungen bestimmen sich ausschließlich nach den jeweiligen Verträgen. IBM Security & Privacy Deutschland Björn Haan, Leiter Geschäftsfeld Deutschland, IBM Security and Privacy Services – haan@de.ibm.com IBM Center for Business Optimization Toby Cook, Associate Partner, IBM Center for Business Optimization – toby.cook@us.ibm.com © Copyright IBM Corporation 2006 Alle Rechte vorbehalten. 1 California Security Breach Information Act (S.B. 1386), erlassen am 1. Juli 2003; http://info.sen.ca.gov/pub/0102/bill/sen/sb_1351-1400/sb_1386_bill_20020926_ chaptered.html 2 IBM Global Business Security Index Report, 2005 3 Scott Berinato (mit Research Editor Lorraine Cosgrove Ware), „The Global State of Information Security 2005“, 15. September 2005, veröffentlicht von PricewaterhouseCoopers und CIO; http://www.cio.com/archive/091505/global.html 4 „A Chronology of Data Breaches Reported Since the ChoicePoint Incident“, Privacy Rights Clearinghouse, 5. August 2006, verwendet mit Genehmigung des Privacy Rights Clearinghouse, www.privacyrights.org 5 John Ribeiro, „HSBC claims customer fraud in Indian services center“, Network World (IDG NewsService), 27. Juni 2006; http://www.networkworld.com/ news/2006/062706-hsbc-claims-customer-fraud-in.html 6 „2006 ACFE Report to the Nation on Occupational Fraud and Abuse“, Association of Certified Fraud Examiners; http://www.acfe.com/fraud/report.asp IBM Information Security Framework Michel Bobillier, Global Offering Executive, IBM Security and Privacy Services – bobillier@ch.ibm.com Oder besuchen Sie uns unter: ibm.com/services/de/security GSW00316-DEDE-00 IBM Form GM12-6807-00 (02/2007)