Schutz vor Datenklau

24.02.2005
Von Mike Hartmann
Einbrüche durch fremde Hacker sind nicht das größte Problem, das Firmen zu befürchten haben. Weitaus häufiger und mit erheblich ernsteren Konsequenzen behaftet ist der Datendiebstahl durch die eigenen Mitarbeiter.

Von Mike Hartmann, tecChannel.de

Große Firmen haben immer wieder damit zu kämpfen, dass vertrauliche interne Dokumente an die Öffentlichkeit gelangen und dort Image- oder sogar handfeste wirtschaftliche Schäden verursachen. Aber auch kleine und mittlere Firmen sind gefährdet. Wenn kurz vor der Vorstellung eines neuen Produkts plötzlich die Konkurrenz etwas Ähnliches herausbringt, weil ein Mitarbeiter interne Dokumente nach außen gelangen ließ, kann das durchaus dazu führen, dass die Firma Konkurs anmelden muss.

Es muss nicht immer das geklaute Notebook mit den Geschäftsgeheimnissen sein, das eine solche Situation herbeiführt. Viel öfter schicken die eigenen Mitarbeiter die Informationen selbst an den Mitbewerb. Sei es nun, um dafür Geld zu bekommen, sich an der eigenen Firma zu rächen oder aus welchen Gründen auch immer.

Es gilt also zu verhindern, dass die Informationen in die falschen Hände gelangen. Und gerade hinsichtlich von Geschäftsgeheimnissen sollte gelten: "Vorsicht ist die Mutter der Porzellankiste!"

Grundschutz im digitalen Zeitalter

Zunächst einmal sollte sichergestellt sein, dass wirklich nur derjenige Informationen zu sehen bekommt, der sie auch benötigt. Dies ist eine goldene Regel, die insbesondere im digitalen Informationszeitalter viel zu oft missachtet wird. War es früher noch so, dass von manchen Dokumenten nur eine bestimmte Anzahl von Kopien hergestellt wurde, die per Boten einem bestimmten Personenkreis zugänglich gemacht wurde, liegen heutzutage alle Dokumente auch in digitaler Form vor.

Und bei Dateien ist die Überwachung, wer sie bekommt und wohin er sie verteilt, deutlich schwerer zu realisieren als bei Hardcopies. Dennoch machen sich eine ganze Reihe Sicherheitsverantwortlicher darum nicht genügend Gedanken.

Die erste Schutzebene sollte schon beim Zugriff beginnen. Entsprechende Rechte auf Ordner oder einzelne Dateien lassen sich unter Windows oder Linux schnell setzen und verhindern zumindest im ersten Schritt, dass Unbefugte ohne weiteres darauf zugreifen. Dazu passend muss es natürlich auch eine Sicherheitspolicy in der Firma geben. Denn was nutzt der beste Zugriffsschutz, wenn ein Verantwortlicher sich am Netzwerk anmeldet und dann seinen Rechner unbeaufsichtigt lässt. Dann kann ein böswilliger Mitarbeiter schnell mal ins Büro huschen und relevante Dateien kopieren. Wie aber verhindern, dass jemand die Dateien weiterleitet, der Zugriff auf darauf haben muss? Wege aus dem Netzwerk gibt es immerhin eine ganze Menge.

Mail und Freemail als Weg aus dem Netz

Der schnellste und einfachste Weg aus dem Netz heraus führt über einen Account bei einem Freemailer. Entweder per Outlook Express oder über das Webmail-Interface des Mailanbieters. Ersteres lässt sich verhindern, indem man einfach die entsprechenden Ports nach außen schließt, also SMTP, POP3, IMAP sowie die jeweiligen TLS/SSL-Varianten. Die Benutzung des Webmail-Interfaces kann man allerdings nur verhindern, indem man den Zugriff auf die entsprechenden Sites von Freemailern sperrt. Das würde zudem den Benutzern im LAN verbieten, ihre private Email während der Arbeitszeit zu lesen.

Natürlich können die Mitarbeiter jetzt immer noch den Firmen-Mailserver benutzen, um Dokumente verbotenerweise nach Außen zu senden, aber hier ließe sich auf jeden Fall später nachweisen, wer dafür verantwortlich ist. Zusätzlichen Schutz könnte ein digitales Wasserzeichen bieten, das als Signatur im Dokument eingebettet ist. Diese Signatur speist man dann zusätzlich in den hoffentlich vorhandenen Virenscanner für ausgehende Mails ein. Sobald nun ein Mitarbeiter über den Mailserver ein geschütztes Dokument versendet, schlägt der Virenscanner Alarm, weil er die entsprechende Signatur findet. Die Mail wird nicht gesendet und der Administrator informiert.

Verschlüsselung muss eingeschränkt sein

Dieses Verfahren kann ein wirklich entschlossener Angestellter umgehen, indem er das Dokument in ein verschlüsseltes Archiv einpackt. Da kommt der Virenscanner nicht dran und er kann somit auch nicht die Signatur umgehen. Auch hier steht eine Lösung parat: Verschlüsselung darf nur mit bestimmten Verfahren durchgeführt werden und die entsprechenden Schlüssel müssen dem Virenscanner bekannt sein, damit er die Mails entschlüsseln und untersuchen kann. Anderweitige Verschlüsselungen sind im Unternehmen nicht erlaubt.

Allerdings sind auch diesen Methoden bei weitem nicht narrensicher. Der Benutzer kann zwar keine Emails mehr versenden, um geheime Dokumente aus dem Unternehmen zu schmuggeln, aber es gibt ja noch eine Vielzahl anderer Wege. Zum Beispiel Disketten-, CD/RW- und DVD/RW-Laufwerke sowie Infrarot-, USB- oder Firewire-Ports, an die sich externe Speichermedien anschließen lassen.

Man kann zwar einen Arbeitsplatz-PC ohne Disketten-Laufwerk oder Brenner konfigurieren, aber spätestens beim USB-Port setzt diese Sicherungsmaßnahme aus, denn die sind fix auf dem Motherboard integriert. Zudem will man eventuell die USB-Ports nicht komplett deaktivieren, was über das BIOS problemlos möglich wäre, da die Mitarbeiter ja gegebenenfalls USB-Maus und -Tastatur nutzen sowie ihre Termine und Emails mit dem PDA synchronisieren sollen.

Beschreibbare oder externe Medien

Für dieses Problem hat die Firma SmartLine (www.protect-me. com) ein interessantes Tool auf den Markt gebracht. DeviceLock kontrolliert unter Windows NT, 2000, XP und 2003 den Zugriff auf folgende Schnittstellen: Bluetooth, CD-ROM, Diskette, Festplatte, Firewire, Infrarot, parallele Ports, serielle Ports, Wechselmedien, Bandlaufwerke, USB und WLAN. Dabei lässt sich festlegen, an welchen Tagen und zu welchen Uhrzeiten der Zugriff erlaubt sein soll und im Falle von USB und Firewire welche Arten von Geräten angeschlossen werden dürfen. Dabei unterscheidet DeviceLock beispielsweise Netzwerk-Geräte, Massenspeicher, Drucker oder Eingabegeräte wie Maus und Tastatur.

Administratoren können die Einstellungen auch zentral für alle Rechner im Netzwerk vornehmen und verteilen. Das äußerst nützliche Tool kostet 35 US-Dollar in einer Einzelplatz-Lizenz. Die Staffelung geht bis zur Site-Lizenz für 1500 US-Dollar und einer Enterprise-Lizenz für 4500 US-Dollar.

Dokumenten Management Systeme

Wenn Ihnen auch die Sperrung von Wechselmedien und Netzwerk-Verbindungen wie Email oder FTP nicht ausreichen, kommen Sie um ein Dokumenten Management System mit integriertem Information Rights Management (IRM) nicht herum. Hierbei werden die im System eingestellten Dokumente nur über einen speziellen Reader bereitgestellt. Dieser verhindert je nach Rechtevergabe das Speichern, Drucken oder Bearbeiten von Dokumenten. Zudem kann dabei nur mit gültiger Authentifizierung am Server ein Dokument eingesehen werden, so dass es nicht in falsche Hände gelangen kann.

Die Berechtigungen auf Dokumente können natürlich jederzeit wieder zurückgezogen, von vornherein zeitlich beschränkt oder auch nur einmalig gewährt werden, etwa um einer Informationspflicht nachzukommen. Der Client sorgt auch dafür, dass beispielsweise Screenshots nicht möglich sind - ein Abfotografieren des Bildschirms per Kamera kann er aber auch nicht verhindern.

Zwei Beispiele für derartige Systeme sind die Secure Collaboration Platform von CYA Technologies (www.cya.com) und der Adobe Policy Server von Adobe (www.adobe.com). Ersterer arbeitet mit einer Reihe von Office-Formaten und anderen Dokumenttypen zusammen. Je nach den eingestellten Zugriffsrechten erhält der Benutzer das Originalformat, etwa um es zu bearbeiten, oder nur eine speziell konvertierte Version, die im speziellen Reader betrachtet und kommentiert werden kann.

Die Lösung von Adobe arbeitet nur mit PDF-Dokumenten, sodass hier zunächst eine Konvertierung durch den Benutzer erfolgen muss. Ein derartiges PDF lässt sich zwar immer noch verschicken, aber nur öffnen, wenn der Empfänger die passenden Rechte hat, die auf dem Policy Server verwaltet werden. Die Lösung soll noch im Jahr 2005 auf den Markt gebracht werden.

Dieser Artikel stammt von tec Channel.de, dem Webzine für technikorientierte Computer- und Kommunikationsprofis. Unter www.tecChannel.de finden Sie weitere Beiträge zu diesem Thema.

Zur Startseite