Der Feind im Haus: Wenn Mitarbeiter Daten stehlen

Der Datendiebstahl durch eigene Mitarbeiter ist heutzutage eine reale Gefahr, die nicht unterschätzt werden darf. Besonders gefährdet sind mittelständische Unternehmen wie Zulieferbetriebe der Automobilindustrie. Ausländische Regierungen und Konkurrenten sind nicht zimperlich, wenn es darum geht, an technologisches Wissen zu gelangen. Das zeigen Angriffe wie Aurora und Ghostnet.

Für Firmen stellt sich daher immer mehr die Frage, wie sie sich gegen solche Angriffe schützen. Generell ist es wichtig, auch Intranet-Server, die von außen nicht erreichbar sind, gut abzusichern. Für die zahlreichen Sicherheitslücken in Betriebssystemen und Anwendungsprogrammen gibt es meist sehr schnell Exploits, die sich jedermann besorgen und einsetzen kann, beispielsweise mit dem Metasploit-Framework. Besonderes Fachwissen ist nicht erforderlich. Was zählt, ist allein die Bereitschaft von Mitarbeitern, Firmengeheimnisse preiszugeben.

Windows-Netzwerke bieten die Möglichkeit, zumindest die Hashwerte von Passwörtern einzufangen, wenn ein Mitarbeiter einen speziell präparierten SMB-Server aufsetzt. Vom quelloffenen Samba existieren zahlreiche sogenannte "Mods", die das erlauben. Wer etwa Kollegen auf einen solchen Server lockt, kann leicht in den Besitz deren Passwort-Hashwerte kommen, die sich dazu einsetzen lassen, unter fremden Accounts auf Server zuzugreifen.

Oft schaffen Mitarbeiter Hintertüren für Industriespione und andere Angreifer. Viele solcher Hintertüren sind nur schwer zu entdecken. Aus dem Intranet scheint es, als würde ein Mitarbeiter von seinem Arbeitsplatz legitim auf Daten zugreifen. Eine besondere Gefahr liegt dabei in der Tunnelung von beliebigen Protokollen durch HTTP und HTTPS. Für eine Tunnelung eigenen sich beispielsweise SSH mit seinen Port-Forwarding- und Port-Gatewaying-Funktionen sowie zahlreiche VPN-Programme.

Die aufgeführten Methoden sind Beispiele dafür, wie Mitarbeiter ohne besondere Kenntnisse zu Helfern von Industriespionen werden können. Da Angreifer sehr professionell und zielgerichtet arbeiten, sind weitere Angriffe denkbar, vor allem auch solche, die einen spezifischen Umstand in einem Firmennetz ausnutzen.

Der Zugang zu sensiblen Daten sollte daher immer bereits auf der Netzwerkzugangsebene erfolgen, beispielsweise durch ein VLAN-Konzept. Das ermöglicht es, den Zugang zu einem virtuellen Netz, in dem sich bestimmte Server befinden, nur den Mitarbeitern zu geben, die diese sensiblen Daten auch benötigen. Ein Schutz mittels logischer Authentifizierung wie Benutzername und Passwort ist heute nicht mehr ausreichend.