Geheimnisverrat im Unternehmen - Gernot Schmied€¦ · Content Owner vs. Document Owner & Klassifikation: −Informations-Lenkung statt Dokumenten-Lenkung via „Deckblättern“

© 2003-2014 Ziviltechnikerbüro IKTech DDipl.-Ing. Mag. Gernot Schmied

Geheimnisverrat im Unternehmen

Ziviltechniker & forensischer SachverständigerDDipl.-Ing. Mag.rer.soc.oec. Gernot Schmied

[email protected] , http://www.iktech.net

IIA-ERFA 20. November 2014

in Zusammenarbeit mit

http://www.iktech.net/


Who should care? – Stakeholder 2

Revisoren & Auditoren (Prüfung der Wirksamkeit der Vorkehrungen und Maßnahmen, Sonderuntersuchungen)

Enterprise Risk Manager (data loss/leakage Szenarien)

Compliance Officer/Manager (präventive & detektive Controls)

Stabsstellenpersonal, Rechtsabteilung, Personalabteilung

Managementsystem-Verantwortliche (Policies, Governance)

Datenschutzbeauftragte (→ data breaches, NDA-Verletzungen)

Beweissicherungsbeauftragte IT (fachliches KnowHow)

Vertrauenspersonen (Vertrauen/Vertraulichkeit statt Anonymität im whistle blowing)

Aber: unternehmesweite Anstrengung, geht alle an!


Einleitende Gedanken 3

„Geheimnis“ (besonders schützenswertes Gut): vertrauliche/sensible Informationen, Wettbewerbsvorsprung (Innovation, Patente, Konstruktionen, Verfahren), Wissen um …, Intellectual Property, Finanzdaten …

Rechtliche Aspekt: Telekommunikationsgeheimnis, Bankgeheimnis, Verschwiegenheitsverpflichtungen, (Daten)Schutzverpflichtungen, (zu treuen Handen) anvertraute Informationen/Daten Dritter; NDAs

„Verrat“ (die unbefugte Preisgabe von Geheimnissen an Dritte und ein besonders schwerer Vertrauensbruch, der die angenommene Loyalität verletzt):

− deliktischer Aspekt: dolose Handlungen, Vorsatz, persönlicher Vorteil, kriminelle Energie, Datendiebstahl, interne/externe Komplizen, Verschleierung

− Vorfallsaspekte: Incident Management – Prävention, Detektion, Reaktion, Beweissicherung, Ausforschung, Tathergangsrekonstruktion, „lessons learned“

− psychologische Aspekte: Loyalitätsbruch, Kollegialität, Vertrauensbruch, Bagatellisierung/Kavaliersdelikte, whistle blowing/Vertrauenspersonen

− Sorgfalts- & Umsichtsaspekte: Fahrlässigkeit, Unachtsamkeit, Schlamperei, social Engineering Anfälligkeit, Wegschauen/Tolerieren, Professionalität


Unternehmenskultur & Arbeitsklima 4

Wichtig(st)e Verteidigungslinie – „first & last line of defense“ oder auch Nährboden für Probleme – der Mensch als soziales Wesen mit Ängsten, Bedürfnissen & Schwächen (Bequemlichkeit, Unachtsamkeit …)

Spannungsfeld Loyalität, Kollegialität, Sachzwänge, eigene Abhängigkeit; Gleichgültigkeit vs. Eigeninitiative, „sich kümmern“ vs. „Bespitzelung“

Moralische Maßstäbe & Gewissensentscheidungen: Arbeitnehmer reagieren empfindlich auf Enttäuschungen, Frustrationen und mangelnde Vorbilder (Vertrauen & Wertschätzung als Motivation/Incentives)

„whistle blowing“ – Fluch oder Segen? Vertrauenspersonen? Anonymität wirklich erforderlich? Umgang des Unternehmens mit Denunziation/Mobbing sowie Unschuldsvermutung & Rehabilitation, Null-Toleranz bei unkollegialem Verhalten

„Awareness“ – Bewusstseinsschaffung, persönliche Verantwortung & Pflichten, Professionalität, Berufsethos

Lebbare und gelebte Policies und Handlungsanweisungen – gibt es sinnvolle Vorgaben? Sind diese sozial verträglich? Kommuniziert? Gelebt? Werte statt Checklisten? Entscheidungsfreiräume (Kompetenz)


Geheimnisverrat – Motive & Hemmschwelle 5

Kriminelle Energie: Bereicherungsabsicht und persönlicher Vorteil stehen im Vordergrund (zunehmend auch Erpressungsdelikte), aktives Herantreten an Geheimnisabnehmer kommt vor (Steuerdatenträger, etc.)

Der psychologische Nährboden: Unzufriedenheit, Frustration, Enttäuschung, geringe Wertschätzung, persönliche Kränkungen, Mobbing Loyalitätsverlust und Verschieben von Hemmschwellen (oft das Ergebnis „negativer Incentives“)

Einflussnahme von Außen (Mitbewerb, Komplizen, Mittelsmänner): Abwerben, Bestechung (Geldzuwendungen, Sachzuwendungen, in Aussicht gestellter Karrieresprung, sonstige Incentives); „Anfüttern“

Begünstigende Faktoren (Anfälligkeit für Kontaktaufnahme/Avancen): persönliche/familiäre Notlage, Spielschulden, Erpressung …

Größtes Problem: systematische und gezielte Industriespionage

Fazit: Wahrnehmungen von Kollegen besonders wichtig -Verhaltensveränderungen (Anzeichen?), dubiose Kontakte … Auch hier bedarf es eines „Frühwarnsystems mit Augenmaß“.


Szenario IT-Personal involviert 1/2 6

“Sed quis custodiet ipsos custodes?” – Satiren des Juvenal

Mitunter zu starkes Vertrauen in externe Erfüllungsgehilfen oder Outsourcing, diese haben oft privilegierte Zugangsberechtigungen oder man begnügt sich gar mit NDAs. Freundschaftliche Nahbeziehungen trüben das Urteilsvermögen.

Diese Zugänge sind jedenfalls hinreichend einzuschränken, detailliert zu überwachen und zu protokollieren. (Bequemlichkeit als Ursache, diese Zugänge nicht einzuschränken).

Prämisse:

Alle Aktivitäten hinterlassen irgendwo Spuren, das Beseitigen von Spuren ebenfalls (Manipulations-Artefakte)

man überlege sich auch Monitoring Controls, die auf das Beseitigen von Spuren, Logs, Audit-Trails hindeuten oder auf Indentitätsverschleierung(„anomaly detection“)

Bewusstsein in den IT-Abteilungen nicht sehr ausgeprägt, dass gute Protokollierung als Beleg für die eigenen Gebarungen und somit der eignen Absicherung dient und im eigenen Interesse liegen sollte.


Szenario IT-Personal involviert 2/2 7

Vorkehrungen (Auszug):

Tätigkeiten unter „privilegierten Benutzern“ sollten die Ausnahme darstellen und müssen ausnahmslos einem Benutzer zuordenbar sein und detailliert sowie manipulationsfest protokolliert werden. Abschreckung durch hohes Risiko des Entdeckt Werdens

Gewaltentrennung IT & Kontrolle der IT:4-Augen Prinzip hat sich nur punktuell bewährt und ist in der Regel unpraktikabel bzw. führt zu Umgehungen; Peer Reviews bei wichtigen Konfigurationsänderungen sind jedoch sinnvoll (Change Management).

zentrales Logging, das (in Kopie) der Einflussnahme der IT entzogen ist

unmittelbare Off-site Backups der Protokolldaten (schwierig zu manipulieren)

Überwachung von Log-Quellen & Senken (das Ausbleiben von Logs bzw. das Stoppen von Logging-Services muss unverzüglich auffallen!)

Veränderungen an Konfigurationen nur zu definierten Zeitpunkten und mit Change Control

Beweissicherungsprozedere bei Verdacht der IT-Involvierung


Prävention – Controls, Safeguards & Co 8

Technische Vorkehrungen:

− Konventionelle Abschottung nach Außen - Perimeter-Security (Firewall, IDS/IPS, ALG, Malware Scanner) mit „Luftlöchern“ für Remote Access

− integrierts Log, Incident- & Event Management (SIEM) + Anomaly Detection, (Protokollierung, Logging, Audit Trails, Record Keeping) mittels zentraler Log-Server

− Intern: Sicherheitszonenkonzepte und Dokumenten- bzw. Inhaltsklassifikation, Benutzer- und Rechteverwaltung, „need to know/need to access“ DLP/DRM

Prozedurale Vorkehrungen: getestete und geübte Prozesse & Szenarien (funktionieren diese unter Zeitdruck und Stress?); Know-how für Vorfallerkennung, -bewältigung und Beweissicherung vorhanden? Prozesse und Handlungsanweisungen

Organisatorische Vorkehrungen: „Information/Content Ownership“; Vertraulichkeitswahrung als Gemeinschafts-bemühen. „need to know“ Prinzip noch immer sinnvoller Ansatz bzw. Ausgangspunkt; Policy-Vorgaben

Rechtliche Vorkehrungen: Dienstverträge, NDAs, Policy Enforcement, Contract Management


Detektion 9

= „Monitoring Controls“ (möglichst Echtzeit-Überwachungssystem)

Symptome, Ursache, Wirkung, (verzögerte) Wahrnehmung

Genereller „Anomaly Detection“ Ansatz:

− „Know your regular traffic pattern & protocols very well“!

− Schwellwert/Trigger-Parametrisierung, Tuning

Vorteile:

− weit weg von individuellen Inhalten (Surfverhalten, emails, chats, social networks)

− gut optimierbar – auffällige Verkehrsspitzen zu auffälligen Zeiten, auffällige networkflows, untypische Protokolle …

Herausforderung: Abweichungen und Symptome früh wahrnehmen und zeitnah reagieren.

Revisions-Empfehlungen: Wird ein genereller „anomaly detection“ Ansatz verfolgt? Wie ausgereift ist dieser? Logging & Audit-trails ausgereift?


Reaktion 10

Incident Management Prozess:

− Schadenseskalation verhindern, Sofortmaßnahmen ergreifen

− Incident Response, Eskalation, Notfall/Krisen-Management, Business Continuty

− Beweissicherungsprozess parallel durchlaufen

Revisions-Empfehlungen:

− Password-Management prüfen ob vorhanden und stets aktuell für den Fall, dass die IT selbst „ausgesperrt“ werden muss. Schlüsselpersonen (Geschäftsführung, CIO, CTO) sollten (mit Interimshilfe) in der Lage sein, dies selbstständig zu tun um die Systeme abzuschotten.

− Stresstest durchführen – Funktionsfähigkeit der essenziellen Abläufe unter Stess, Zeitdruck und ohne Nachschlagen in Dokumentation!Gerne übersehen: Was ich mir nicht merke, kann ich nicht effizient abwickeln.

− Szenario „Geheimnisverrat“ von Innen mit/ohne Komplizen von Außen mit/ohne Mittäter in der IT behandeln und üben (Planspiel)


Daten-, Geheimnis- & Informationsschutz 1/2 11

Problematik: Durchbrechung von Arbeitsrecht & Datenschutzrecht → Betriebsvereinbarungen & Policies, Dienstanweisungen

Spannungsfeld: Menschenwürde, Privatsphäre, Persönlichkeitsrechte, Unschuldsvermutung, Unternehmenskultur, Betriebsklima

data breaches & notification duty

Verwendung von Betriebsmitteln für den „bedungenen Zweck“, Privatnutzungsproblematik

Handlungen die dem Ansehen des Unternehmens schaden (socialnetworks, „Loyalität“, Verbreitung von Insider-Wissen)

Compliance & „due diligence“ Anforderungen:

– präventive (problematisch da verdachtsunabhängig),

– detektive (notwendiges Monitoring vs. Überwachung) und

– reaktive Aspekte (i.d.R. konkreter/substanzieller Verdacht)


Daten-, Geheimnis- & Informationsschutz 2/2 12

Einige Durchbrechungs- bzw. Relativierungsargumente ohne Anspruch auf Vollständigkeit:

– nicht-dispositive Compliance Sachzwänge und unternehmerische Sorgfalt

– besonders heikle Branchen (Bankwesen)

– besonders gesicherte Bereiche (data center, Hochsicherheitsbereich)

– Gefahr im Verzug (Verdunklungsgefahr, Beweisvernichtung, ...)

– konkreter und substanzieller Verdacht, whistle blowing

– Anonymisierung, Pseudonymisierung bei präventiven Controls

– gelindeste Mittel eingesetzt (Verhältnismäßigkeit des Eingriffes)

– Interessensabwägung Unternehmen & Betroffene

– materiellrechtlicher Zwang (z.B. Meldepflicht)


data breach notification duty 13

Informationspflicht nach § 24 Abs. 2a DSG:

− Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren.

− Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.

Datenleck, Datenpanne, data loss/leakage

Wesentlich für Schadensbegrenzung durch Betroffene

Vertraulichkeit kompromittiert, Imageschaden


Data Loss/Leakage Detection & Prevention 1/3 14

“In data leakage incidents, sensitive data is disclosed to unauthorized personnel either by malicious intent or inadvertent mistake. ” [Wikipedia]

data loss incident = tendenziell bemerkter Abfluss vertraulicher Information

DLP-Solutions: „Products that, based on central policies, identify, monitor, and protect data at rest, in motion, and in use, through deep content analysis.” [Quelle Securosis L.L.C.]

Ansätze: Network (in motion), Endpoint (in use), Storage/Archives (at rest) Umsetzung in Hardware (Appliances) + Software (Agenten/host based)

Ziel: Sensible Daten im Unternehmen zu identifizieren und deren Verbreitung sowie Nutzung zu kontrollieren (monitor, detect, block) (2nd line of defensenach Firewalls, IDS/IPS, Virenscannern etc.) Schutz vor menschlichem Versagen oder vorsätzlichem Datendiebstahl.

Identitätsmanagement, Verschlüsselung, Monitoring und Zugriffskontrolle werden um DLP-Aspekte erweitert, „abnormal data access pattern detection“

Identifikation (deep content inspection): Vertraulichkeitserkennung & -kennzeichnung (Tags/Labels) von Dateien/Inhalten, Analysis Engines



Muss in modernen Infrastrukturen zwangsläufig mit bestehenden MS Windows Domain-Strukturen interagieren, dennoch anwendungs-agnostisch sein!

DLP-Lösungen: Kombinierter DLP + DRM Ansatz empfohlen (z.B. Adobe PDF)

Einführungsprojekt: Informationsflüsse/Protokolle/Austauschformate analysieren, Sicherheitszonenkonzept, Klassifizierungsvorstellungen, Umgang mit Dritten (Internet, Extranet, Intranet), Dateiaustausch & Tracking

Informationsweitergabe & Tracking: für wen, wann zu welchem Zweck ausgehändigt, wo Weitergabe erfolgt? (NDA ist zu wenig NDA-Enforcement!)

Dateisystemunzulänglichkeiten & Artenvielfalt:

− Read, Wirte, Execute Ansätze + Erweiterungen (ZFS ACLs, NTFS etc.)

− Netzwerk: SMB/CIFS (Windows), NFS (Unix/Linux), AFP (Apple OS X)

− Lokal: Windows NTFS, Linux ext4, XFS Solaris, USB/SD FAT

„in use“ Vorteil: Verhindern von mobilen Datenträgerkopien (SD, USB, BlueTooth/WIFI/4G, DVD …) – jedoch geringe Benutzerakzeptanz



Umgehungsmöglichkeiten & Restrisiko:

− Abfotografieren von Bildschirmen

− Screenshots

− copy & paste aus Browser

− Was passiert nach Weitergabe an Dritte? Vertraulichkeitsvermerke, Wasserzeichen, DRM, Steganografie erlaubt tracking

Content Owner vs. Document Owner & Klassifikation:

− Informations-Lenkung statt Dokumenten-Lenkung via „Deckblättern“ oder gar in Dateinamen

− Alternative 1: Office-Format Metadaten einbeziehen, Wasserzeichen

− Alternative 2: DMS CMS (WIKI-Ansatz z.B. Sharepoint, Jive, Confluence) – vom Dokumenten-Paradigma zum Content-Paradigma

− Alternative 3: DLP- & DRM-Architektur („deep content inspection“)


IT-Protokollierung – „Gesamtkunstwerk“ 17

Nachvollziehbarkeit, Transparenz, Abschreckung, Früherkennung

„Wer, Wann, (von) Wo, Was, Wie, Womit?“

Logging nur glaubwürdig, wenn vollständig und lückenlos! → Vertrauen in Verfahren und Betriebsführungsgebarungen

Wahrnehmen von Fehlfunktionen und Betriebszuständen

– Erkennen von Abweichungen (Leitstände)

– Verständnis regulärer Vorgänge (Verkehrsmuster und Benutzerverhalten)

– „Untergrundrauschen“ und Auffälligkeiten (Anomalien)

Wahrnehmen von Sicherheitsvorfällen (incident response)

policy compliance & due diligence Nachweis („implementiert & gelebt“)

digitale Beweissicherungsanforderungen („digital evidence“)


Anregungen für Revisoren/Auditoren 18

Wir benötigen zum Thema IT-Protokollierung und DLP Regelungen, Vorgaben, Policies, Prozesse, Controls und Betriebsführungsanweisungen

Es ist Bedacht auf das Arbeits- und Datenschutzrecht zu nehmen, faktisch geht es jedoch auch um Fragen der Unternehmenskultur und des Betriebsklimas

Anomaly Detection sollte Event & Incident Logging als eigene „Disziplin“ ergänzen bzw. stets begleiten

DLP/DRM-Ansätze und Policies überprüfen (inkl. kontrollierte Weitergabe an Dritte (secure and controlled Information Exchange, Tracking)

Beweissicherungsaspekte berücksichtigen (forensic best practices)Beweissicherung, Analyse, Ausforschung, Tathergangsrekonstruktion

Outsourcing & Logging/Protokollierung:

− ein Thema für sich und jedenfalls umfassend in Leistungsverträgen und SLAs zu verankern ( Ausschreibungen)

− eine Überprüfungsrecht durch den Kunden oder sachverständige Dritte sollte jedenfalls vereinbart werden. Wer muss wem, was, wann belegen und wie?


Herzlichen Dank für Ihr Interesse!

“… to explore strange log entries, to seek out new evidence and new data, to boldly go where no

Revisor has gone before!”

Documents

Geheimnisverrat im Unternehmen - Gernot Schmied€¦ · Content Owner vs. Document Owner & Klassifikation: −Informations-Lenkung statt Dokumenten-Lenkung via „Deckblättern“