IT Sicherheit: Mit integrierten Systemen Datendiebstahl verhindern

16.11.2016 07:30

IT Sicherheit: Mit integrierten Systemen Datendiebstahl verhindern

Zur Abwehr von Hacker-Angriffen setzen immer mehr Unternehmen auf die Unterstützung durch ein Security-Information-and-Event-Management-System (SIEM-System) und das damit verbundene Advanced Cyber Defense Center (ACDC). Der Grundgedanke besteht darin, Angriffe aufgrund veränderter und unüblicher Verhaltensweisen frühzeitig zu erkennen. Dabei verknüpfen intelligente Systeme zur Angriffserkennung dezentral in einem Unternehmen erhobene Daten – und bündeln sie an einer zentralen Stelle.

Angriff auf Herrn Mustermann: Wer stoppt den Datendieb?

Am Anfang ein Beispiel: Nehmen wir einmal an, Herr Mustermann arbeitet als Administrator in einem großen Unternehmen und betreut dort die Datenbank der Unternehmenskunden. Am letzten Arbeitstag vor dem Sommerurlaub loggt er sich aus dem Netzwerk seiner Firma aus und verschwindet. Ein paar Tage später passiert das, was nicht passieren sollte: Während Herr Mustermann im Urlaub ist, wählt sich ein Hacker mit Mustermanns Zugangsdaten über eine gesicherte Verbindung in das Unternehmensnetzwerk ein, auch die Software zur Benutzerverwaltung registriert den Vorgang. Einmal dort angekommen, greift er auf die Datenbank zu, kopiert sämtliche Dateien und verursacht einen Datendiebstahl in Millionenhöhe. Ein Diebstahl, der erst Monate später eher durch Zufall auffällt. „Ich war’s nicht“, sagt Herr Mustermann. „Aber Du hast Dich doch eingeloggt“, sagt die Unternehmens-IT. „Ich war im Urlaub“, sagt dann Herr Mustermann. „Dann haben wir ein Problem“, sagt die Unternehmens-IT. In der Tat.

Alles nur ausgedacht? Von wegen; Mustermänner und Hacker gibt es leider eine ganze Menge. Die Bedrohung durch Hackerangriffe ist in den letzten Jahren stetig gestiegen, immer mehr Unternehmen rüsten sich gegen externe Attacken auf ihre Firmen.

Interne und externe Datendiebe eine wachsende Gefahr

Klar ist auch: Ein großer Teil an Datenraub entsteht nicht durch äußere Angriffe, sondern durch die eigenen Mitarbeiter. Aus der aktuellen KPMG-Studie zur Wirtschaftskriminalität in deutschen Unternehmen wissen wir, dass wirtschaftskriminelle Handlungen zu annähernd gleichen Teilen von internen wie externen Tätern begangen wurden. Und auch beim integren Mitarbeiter gilt: Um ihn vor den immer raffinierter angelegten Hackerattacken zu schützen, steigt der Bedarf an Schulungen immens. Mit anderen Worten: Viel zu tun für die unternehmenseigene IT-Sicherheit.

Zurück zu Herrn Mustermann aus unserem Beispiel: Hätte man den Diebstahl verhindern können? Die Antwort ist klar: selbstverständlich hätte man. Ebenso klar ist aber auch, dass viele Unternehmen derzeit nicht ideal gegen Angriffe dieser Art geschützt sind. Die Herausforderung besteht darin, Angriffe überhaupt zu erkennen, Alarm auszulösen und die nötigen Schlüsse daraus zu ziehen – und das in einem integrierten System. Für sich alleine gesehen haben die unterschiedlichen Systeme auch im Fall von Herrn Mustermann keinen Fehler gemacht: Einmal im Besitz seiner Zugangsdaten, verlief der Weg des Hackers in das Unternehmensnetzwerk reibungslos, weil Passwort und Benutzername korrekt waren. So hatte auch die Software zur Benutzerverwaltung keinen Grund zur Beanstandung. Und auch der Zugriff auf den Server mit den Kundendaten erfolgte ohne Probleme – schließlich gehört eben dieser Zugriff zur täglichen Arbeit eines Administrators.

51 % aller wirtschaftskriminellen Handlungen werden von eigenen Mitarbeitern begangen.

 

Der einzige Fehler, der aber umso schwerwiegender ist: Es fehlt die Verknüpfung der Systeme. Wäre die Software zur Personalverwaltung als Kontextinformation vorhanden gewesen – der Datendiebstahl wäre nicht passiert. In dem Fall würde ein kluges System zur IT-Sicherheit bemerken, dass da jemand arbeitet, obwohl er doch im Urlaub ist. Streng genommen muss man sagen: Im Fall von Herrn Mustermann haben alle Systeme perfekt funktioniert – und eben deshalb versagt, weil sie den Angriff nicht erkannt haben.

SIEM-Systeme verknüpfen dezentral vorhandene Daten

Um diese Verknüpfung zu erzeugen, setzen immer mehr Unternehmen auf die Unterstützung durch ein Security-Information-and-Event-Management-System (SIEM-System) und damit verbundene Advanced Cyber Defense Center (ACDC). Klingt nach Hard-Rock, ist aber eine Strategie zur Abwehr von Daten-Attacken. Der Grundgedanke besteht darin, Angriffe aufgrund veränderter und unüblicher Verhaltensweisen frühzeitig zu erkennen. Dabei verknüpfen intelligente Systeme zur Angriffserkennung dezentral in einem Unternehmen erhobene Daten – und bündeln sie an einer zentralen Stelle. In Form von sogenannten Security Operation Centers entstehen so Einheiten, die gewissermaßen als operative Feuerleitzentrale eines Unternehmens die eigenen Systeme effektiv überwachen.

Die zentralen Fragen sind dabei immer gleich – und unterscheiden sich in ihren Antworten dennoch von Unternehmen zu Unternehmen: Wo im Unternehmen spielen sich die kritischen Geschäftsprozesse ab? Welche Szenarien lassen sich identifizieren? Und wie reagiert man am besten auf die jeweiligen Ereignisse?

Ein so gestaltetes System liefert Meldungen, die wiederum analysiert werden müssen. Stellen sie eine echte Gefahr dar oder ist der dahinterliegende Sachverhalt unerheblich? Die Anzahl dieser Meldungen kann bei Großunternehmen beachtliche Größenordnungen erreichen. Das wiederum verlangt entsprechendes Know-How, um hier die richtigen Schlüsse zu ziehen. Ein letztes Mal zurück zu Herrn Mustermann: In einem effizient verknüpften System hätte er keinen Zugriff auf die Datenbank nehmen können. Nein, anders: In einem effizient verknüpften System hätte er sehr zügig einen Anruf bekommen: Warum er unbedingt jetzt Zugriff auf die Kundendatenbank braucht. Oder ob er sich im Urlaub nicht lieber erholen möchte.

Angebote Consulting bei KPMG