Inside Jobs - Innentäter

Der blinde Fleck der IT-Sicherheit

Angriffe auf das geistige Eigentum der Unternehmen durch Innentäter werden immer noch unterschätzt. Effektiven Schutz gegen Inside Jobs versprechen Verhaltensanalysen.

Ob in der Automobilindustrie, im Maschinen- und Anlagenbau oder auch im Konsumgüterbereich - die Digitalisierung macht vor keiner Branche halt. Dies gilt auch für den Kern der Wertschöpfung eines jeden Unternehmens: sein geistiges Eigentum. In dem Maße, wie die Digitalisierung den Nutzen des geistigen Eigentums zu steigern hilft, setzt sie es gleichzeitig auch erhöhten Risiken wie Verlust oder Diebstahl aus. Dass es sich dabei nicht um eine rein theoretische Gefahr handelt, haben die Angriffe und Skandale der letzten Zeit gezeigt - mehr noch: Hundertprozentige Sicherheit ist in der digitalen Welt eine Illusion. Und genau deshalb ist IT-Sicherheit kein rein technisches Problem. Vielmehr ist sie als Teil des Risikomanagements der Unternehmen anzusehen und zu behandeln. Und hier müssen neben der Technik auch Menschen und Prozesse mit einbezogen werden. IT-Security-Anbieter und Analystenhäuser haben in ihren Angeboten und Aussagen auf diese Entwicklung reagiert und ergänzen die Bedrohungsabwehr um immer mehr Lösungen und Konzepte zur Bedrohungsanalyse oder -aufklärung - alles unter der Annahme, dass Angriffe erfolgreich sind.

Den Schaden, den Innentäter in Unternehmen anrichten, wird gerne unterschätzt. Dabei überwiegt die Anzahl der Inside Jobs die der Angriffe von außen bei weitem.
Den Schaden, den Innentäter in Unternehmen anrichten, wird gerne unterschätzt. Dabei überwiegt die Anzahl der Inside Jobs die der Angriffe von außen bei weitem.
Foto: Pepgooner - shutterstock.com

So erkennen Unternehmen einen Inside Job

Dabei konzentriert sich die Diskussion vor allem auf Angriffe von außen. Allerdings stehen Innen- und Außenangriffe nach Schätzungen des Bundesamts für Verfassungsschutz im Verhältnis 70 zu 30. Die Diskussion spiegelt also mitnichten die tatsächliche Bedrohungslage wider. Doch wie soll man die Risiken die von Innentätern ausgehen bewerten? Woran erkennt man einen Inside Job - vor allem vor dem Hintergrund des deutschen Arbeitsrechts, das eine Überwachung von Arbeitnehmern nur sehr eingeschränkt zulässt? Eine Antwort lautet: Man erkennt das Risiko eines Inside Jobs an verdächtigem Verhalten, genauer gesagt an Abweichungen des Verhaltens gegenüber dem "normalen" Verhalten eines Arbeitnehmers im historischen Vergleich.

Angenommen, ein Anwender wird beim Zugriff auf ein wichtiges Entwicklungsprojekt beobachtet, das er - gemessen an seinem historischen Zugriffsverhalten - normalerweise nicht aufruft. Außerdem greifen seine Kollegen ebenfalls nicht auf das Projekt zu. Diese Aktion könnte ein Verdachtsmoment sein. Würde sie jedoch isoliert betrachtet könnte sie einen falschen Alarm auslösen. Schließlich wäre es ja auch möglich, dass der Ingenieur vor kurzem eine neue Rolle oder Aufgabe übernommen hat. Doch was wäre wenn dieser eine Datei zu einer Tages- oder Nachtzeit aufgerufen hat, zu der er niemals zuvor gearbeitet hat? Wenn er darüber hinaus auf Dateien aus einem anderen - seit Monaten inaktiven - Projekt zugegriffen hat und wenn das bewegte Datenvolumen aus den verschiedenen Projekten ungewöhnlich hoch war? Je mehr Ereignisse mit hohem Risikowert ein einzelner Anwender in kurzer Zeit erzeugt, desto geringer ist die Wahrscheinlichkeit, dass es sich um einen Zufall oder falschen Alarm handelt.