Innentäter – Blinder Fleck der Unternehmenssicherheit
Angriffe von Tätern aus den eigenen Reihen, sogenannten Innentätern oder Insidern, sind oft schwer zu erkennen. Gängige Sicherheitsanwendungen wie Firewalls, Intrusion-Detection-Systeme (IDS) oder Data Loss Prevention-Systeme (DLP) reichen hier nicht aus. Insider verfügen über umfangreiches Detailwissen und weitreichende Berechtigungen. Sie agieren unauffälliger als externe Angreifer. Sie umgehen Erkennungs- und Überwachungssysteme und verschleiern gegebenenfalls ihre Spuren durch die Manipulation von Log-Dateien. Deshalb können sie von den üblicherweise vorhandenen Perimeter-Sicherheitsanwendungen, die an den Netzgrenzen installiert sind, kaum erkannt bzw. abgehalten werden.
Um Insider-Angriffe zu erkennen, müssen existierende Sicherheitsinformations- und Ereignis-Management-Systeme (SIEM-Systeme) in erheblichem Maß weiterentwickelt werden. Dazu erforschen die Projektpartner im Verbundprojekt Datenschutz-respektierende Erkennung von Innentätern (DREI) eine organisationsinterne, verteilt implementierte Sicherheitszentrale zur Erkennung von Insider-Angriffen. Dabei werden auch die Rechtskonformität und Wirksamkeit der Maßnahmen unter realistischen Bedingungen untersucht. Für diese Sicherheitszentrale werden Verfahren entwickelt, die der datenschutzfreundlichen Erfassung und Speicherung von Sicherheitsereignissen dienen. Sie sollen über die Möglichkeit verfügen, bedarfsweise Identitäten offenzulegen und Anomalien zu erkennen, die zur Aufdeckung der Innentäter-Aktivitäten führen. Dies geschieht anhand anonymisierter bzw. pseudonymisierter Daten sowie der Analyse rechtlicher Datenschutzanforderungen. Daraus werden dann Prüfkriterien abgeleitet, die im Projekt auf ihre Sicherheit hin evaluiert werden.
Die zentrale Innovation des Projekts DREI ist die Umsetzung einer ganzheitlichen Sicherheits-zentrale, die Insiderangriffe unter Berücksichtigung von physikalischen und IT-Ereignissen erkennt. Die Sicherheitszentrale kann durch eine spätere Integration in bestehende SIEM-Systeme die Auswirkungen von Innentäter-Angriffen erheblich reduzieren. Der Gesamtschaden für die deutsche Volkswirtschaft durch Wirtschaftsspionage verursacht alleine durch Innentäter wird auf wenigstens 25 Milliarden EURO pro Jahr geschätzt.