Sicherheitsrisiko Mitarbeiter

Unbeabsichtigte und beabsichtigte Sabotage von innen

Dass man keine Bonbons von Fremden nehmen sollte, lernen schon kleine Kinder. Als Erwachsene vergessen sie es dann aber gerne wieder. Richtige Probleme handeln sich Unternehmen allerdings eher mit verärgerten Mitarbeitern ein.

Unternehmen haben oft große Angst davor, dass ihre Mitarbeiter Firmengeheimnisse nach außen tragen könnten. Das führt mitunter zu solcher Paranoia wie dem Verbot von CD-Brennern zur Datensicherung oder persönlichen Laufwerken – alles hat im offenem Netzwerk zu liegen, mit Schreib-, Lese- und Löschzugriff für jeden Mitarbeiter. Was dann auch sicherstellt, dass niemand übers Wochenende Arbeit nach Hause nimmt und Überstunden fährt. Die sind dafür fällig, wenn das erste Mal wichtige Daten verschwunden sind, weil irgendein Kollege das Entwicklungsverzeichnis im Netzwerk gelöscht hat, um auf dem vollen Serverlaufwerk Platz für seine leider etwas umfangreicher geratene Powerpoint-Präsentation zu gewinnen.

Doch Geheimnisse können natürlich trotzdem das Unternehmen verlassen – per E-Mail. Unbeabsichtigt, weil man in einer E-Mail mehr erzählt, als man hätte erzählen sollen. Doch verplappern kann man sich auch am Telefon, also müsste auch das Telefonieren und Briefe schreiben verboten oder überwacht werden – und wer will in einem solchen Unternehmen dann noch arbeiten? Ebenso unbeabsichtigt, weil man sich einen Trojaner eingefangen hat, der mal eben die Festplatte durchsucht und zufällige Dokumente an ebenso zufällige Empfänger verschickt. Oder auch beabsichtigt, weil jemand auf das Unternehmen sauer ist oder schlichtweg verzweifelt. So wie in dem folgenden Text, der auch etlichen Computerjournalisten dieser Tage in die Mailbox fiel:

In diesem Fall hat der Absender nichts mehr zu befürchten, weil das für schlechte Notebooks mit noch schlechterem Service bekannt gewordene Unternehmen Xeron bereits gut eine Woche vorher offiziell Insolvenzantrag gestellt hatte. Hätte er doch jedoch diese Information noch vor dem Insolvenzantrag verschickt, um seine Geschäftspartner zu warnen, so hätte man ihm daraus einen Strick drehen können, da dann gerne gesagt wird, dass just diese Information dazu geführt habe, dass das Unternehmen nicht mehr zu retten war.

Vorsicht, Chef liest mit!

Die Angst vor solchen E-Mails lässt manche Unternehmen richtig hysterisch werden und – technisch effektiver als einst die Stasi bei der Postüberwachung – sämtlichen E-Mail-Verkehr automatisch überwachen. Ob nach Schimpfworten (Sie #?*$%!&§, kommen Sie sofort zum Chef!), kritischen Begriffen ("Insolvenzantrag") oder bestimmten, unerwünschten Empfängern (redaktion@bild.de). In Amerika ist das Filzen nicht nur von eingehenden, sondern auch von ausgehenden E-Mails sehr verbreitet, wie ein Hersteller solcher Schnüffelsoftware aktuell berichtet: In 38% der US-Unternehmen lese dazu abgestelltes Personal abgehende E-Mails mit, mehr als die Hälfte der US-Unternehmen haben schon einmal Mitarbeiter wegen unziemlicher E-Mails gerüffelt und fast ein Drittel deshalb sogar schon Mitarbeiter gefeuert. Post- und Fernmeldegeheimnis adé!

Wer allerdings absichtlich Firmengeheimnisse verbreitet, verstößt üblicherweise gegen seinen Arbeitsvertrag und kann sich auch strafbar machen, ebenso wie derjenige, der einen Trojaner per Mail verschickt, um sein Opfer gezielt auszuspionieren. Auch hier berichtet Proofpoint, dass es bei fast jedem fünften Unternehmen Ärger mit Äußerungen von Mitarbeitern in Blogs ("Mein Blog liest ja sowieso kein Schwein") und Foren gab und 7,1% deshalb Mitarbeiter kündigten (Wer bloggt, fliegt aus dem Dienst).

Wenig Handhabe gibt es dagegen gegen den Trick, den eine Sicherheitsfirma anwendete, als sie das Sicherheitsbewusstsein der Mitarbeiter ihres Auftraggebers überprüfen sollte. Da sich die anstehende Sicherheitskontrolle bereits herumgesprochen hatte, verzichtete das Unternehmen Secure Networks Inc. gleich auf die Social-Engineering-Standardmethoden zum Ausspähen von Passwörtern, wie sich zum Schwätzen mit in die Raucherecke zu stellen oder mit der Empfangsdame zu flirten. Stattdessen verteilte man Trojaner, trojanische Pferde, im klassischen Sinn: Geschenke, die besser nicht angenommen worden wären. In diesem Fall USB-Sticks, die mit Trojaner-Software verseucht waren. Diese wurden dezent auf dem Parkplatz, in der Raucherecke und auf anderen viel frequentierten Teilen des Firmengeländes "verloren". 15 von 20 ausgelegten USB-Ködern wurden schnell gefunden und neugierig innerhalb von weniger als einer Minute an einen Firmenrechner gesteckt, um zu sehen, was wohl darauf sei, wo sie dann prompt wie geplant Passwörter und Daten ausspähten und per E-Mail verschickten.

"Vorsicht vor den Griechen und ihren Geschenken"…

Hier war es nur ein Test, doch dank der Autoplay-Funktion dürfte es eine recht einfache und effektive Variante sein, zum Auszuspionieren einer Firma eine Hand voll USB-Sticks, Disketten oder CD-ROMs auf dem Gelände zu verstreuen. Im Gegensatz zum Versenden von Viren und Würmern per E-Mail ist das Verteilen echter Datenträger zunächst schwerer als Attacke erkennbar und juristisch zu verfolgen, obwohl das geschenkte Holzpferd als Namensgeber aller Trojanerangriffe ja nun wirklich ein bekannter Klassiker ist.

Kein Kraut gewachsen ist allerdings gegen vergrätzte Mitarbeiter. Wer Untergebene unfair behandelt, muss mitunter mit deren Rache rechnen, auch wenn dies absolut keine gute Idee ist und üblicherweise zur Eskalation führt. Ein besonderes extremes Beispiel lieferte die zweitgrößte Bank der Welt, die Schweizer UBS, die mit Computer und Internet ohnehin wenig Glück hat und auch von außen gerne attackiert wird. In diesem Fall kam der Angriff jedoch von innen, von einem Mitarbeiter, dem 63jährigen ehemaligen Administrator Roger Duronio, der sich über einen um 18.000 US-Dollar gekürzten Leistungsbonus (erwartet hatte er 50.000 US-Dollar) zusätzlich zu seinem regulären Gehalt von 125.000 US-Dollar so geärgert hatte, dass er im Hauptserver der UBS Paine-Webber eine logische Bombe hinterlegte, die zur Öffnung des Aktienmarktes um 9.30 Uhr am 4. März 2002 "hoch ging" und den Server plättete.

Doch nicht nur diesen, sondern auch noch gleich 2000 weitere Server in den verschiedenen Filialen des Unternehmens, sodass gut 17.000 Broker an diesem Tag arbeitsunfähig waren – und manche noch einige Tage und Wochen länger. Das Skript des Administrators verhinderte auch das Einspielen von Backups, bis es endlich gefunden war. 200 Computertechniker wurden eiligst von IBM zur Verstärkung hinzugeholt, um die Server wieder schnellstmöglich flott zu kriegen und die Aktion kostete insgesamt 3,1 Millionen US-Dollar. Wie viele Geschäfte der Computerausfall vereitelt hat und welcher weitere Schaden dadurch für die UBS entstanden ist, ist bis heute nicht bekannt.

2000 Bankserver auf einen Streich geplättet

Der verärgerte Administrator hatte jedoch nicht nur mit seinem Code alle 2000 Server gelöscht, er versuchte auch noch, ähnlich wie einige Akteure des 11. September 2001, aus dem entstandenen Schaden Profit zu schlagen: er hatte Optionsscheine auf ein kurzfristiges Fallen des Aktienkurses der UBS gebucht. Im Gegensatz zu den Aktien der Fluggesellschaften nach dem 11. September 2001 brach jedoch der Aktienkurs der UBS nach dem 4. März 2002 nicht ein, da das Unternehmen seine Computerprobleme nicht nach außen kommunizierte und die betroffenen Broker ohnehin lahmgelegt waren.

Roger Duronio drohen nun bis zu 30 Jahre Gefängnis, bis zu einer Million US-Dollar Strafe – und natürlich Schadensersatz, also mindestens die bereits erwähnten 3,1 Millionen US-Dollar. Es wäre vielleicht doch schlauer gewesen, seine Wut etwas weniger exzessiv kundzutun. Duronio behauptete zwar, es hätte jemand anders die Datenbombe gelegt, da das Computersystem der UBS etliche offene Hintertüren habe, doch fand sich der Schadcode bei einer Hausdurchsuchung auch auf zwei Computern in seiner Privatwohnung sowie als Ausdruck im Schlafzimmer, was weiteres Leugnen zwecklos machte.

http://www.heise.de/tp/artikel/22/22853/1.html