Repository-Ansatz
Der Feind kommt von innen
Bei großen Engineering-Projekten ist es für die Unternehmen schwierig, den Überblick über sämtliche Mitarbeiter und Daten zu behalten. Dadurch kann eine Sicherheitslücke entstehen: Denn 70 % der Datendiebe sind Innentäter. Ein neuer Repository-Ansatz minimiert das Risiko.
Schon lange diskutiert die Branche, ob und wann sich die sequenziellen Abläufe im Engineering durch parallele Prozesse ablösen lassen. Die Folge wäre ein höherer Grad an Zusammenarbeit und damit eine höhere Produktivität. Eine der entscheidenden Voraussetzung für parallele Prozesse und Teamwork über alle Ingenieursdisziplinen hinweg ist in technischer Hinsicht die Einführung eines zentralen Repositorys: ein System, in dem alle an Entwicklung, Design und Herstellung von Produkten beteiligten Ingenieure sämtliche mit den Produkten zusammenhängenden Informationen und Daten ablegen und pflegen. Nur so hat der komplette Engineering-Bereich einen direkten Zugriff darauf und damit verbunden einen stets aktuellen Informationsstand.
Zentrale Datenhaltung
Auch wenn diese Umstellung von den verteilten und oftmals völlig voneinander getrennten Datenspeichern oder Datensilos in organisatorischer Hinsicht einen großen Vorteil darstellt, bedeutet die damit verbundene Konzentration des geistigen Eigentums eine potenzielle und unter Umständen für das Unternehmen existenzielle Gefahrenquelle. Denn welcher Konkurrent, vor allem aus dem Ausland, hätte nicht gerne Zugriff auf die Daten des deutschen Maschinen- und Anlagenbaus und anderer deutscher Weltmarktführer in der Produktion?
Da solche zentralen Referenzbestände aller wertvollen Assets (Stichwort ‚single source of truth‘) besonders gegen Angriffe von außen abgeschirmt werden, rückt die Bedrohung durch Innentäter in den Mittelpunkt. Und die ist – vielleicht sogar entgegen landläufiger Vorstellungen – heute schon erheblich größer als die Gefahr von außen. So schätzt das Bundesamt für Verfassungsschutz im Bereich Wirtschaftsspionage das Verhältnis zwischen Angriffen von innen zu solchen von außen auf 70 zu 30. Doch derartige kriminellen Akte zu erkennen, ist eine echte Herausforderung.

Sicherheit für die Kleinsten
Kleinststeuerungen – insbesondere wenn diese im Kontext von IoT-Anwendungen zum Einsatz kommen – haben Stand heute ein Defizit in puncto Security. Das kürzlich angelaufene Forschungsprojekt 'Sec-Bit' soll dieses beheben.
Abweichungen erkennen
Mit Mitteln der Statistik können menschliche Entscheidungsprozesse beobachtet, gemessen und sogar vorhergesagt werden. Voraussetzung ist allerdings, dass diese Prozesse gemäß den Entscheidungsfindungsmustern jeder einzelnen Person und nach Maßgabe von Risiko-Toleranzgrenzen nachverfolgt werden. Moderne Bedrohungserkennung nutzt daher fortgeschrittene mathematische Verfahren, um diese Voraussetzung zu erfüllen. Sie identifiziert das Verhaltensmuster, das von der Norm abweicht, und ermittelt die Wahrscheinlichkeit, ob diese Abweichung ein Risiko darstellt.
Plötzliche Abweichungen im Verhalten eines Anwenders können einen Hinweis auf Spionage-Aktivitäten liefern.
© PerforceZum Beispiel ist es von Belang, wenn jemand auf ein einzelnes wichtiges Entwicklungsprojekt öfter als bisher zugreift. Jedoch ist diese Beobachtung weniger wichtig, als wenn jemand zehn wichtige Assets aufruft, auf die er zuvor noch nie zugegriffen hat.
Solche Beispiele werden umso höher gewichtet, je mehr sie in Zusammenhang mit anderen Anomalien mit denselben so genannten Entitäten, also Bezugsgrößen wie Anwender, Entwicklungsprojekte oder Assets stehen. Zu diesen Anomalien zählen etwa der Zeitpunkt der Aktivitäten, deren Menge oder die Datenbewegungen. Ein Beispiel wäre ein Anwender, der nicht nur zum ersten Mal auf bisher nie aufgerufene Assets zugreift, sondern dies zum ersten Mal von zu Hause aus und nachts macht und dazu seinen privaten Rechner verwendet. Das Verhalten der Entität Anwender wäre in diesem Fall anomal.
Eine Bedrohungserkennung auf Basis einer Verhaltensanalyse erkennt Anomalien durch
■ das Vergleichen von Verhaltens-, Datennutzungs- und Datenbewegungsmustern gegen ihre Historie,
■ das Identifizieren ähnlicher Muster in der ganzen Umgebung und das Vergleichen der Verhaltensmuster von Anwendern und Anwendergruppen,
■ das Aufspüren abweichender Muster zwischen den Mitgliedern derselben Projektgruppe oder derselben Rolle,
■ sowie das Vergleichen von Individuen mit der gesamten Nutzergruppe.
Diese Anomalien sind nicht nur starke Anzeichen für Bedrohungen, sondern setzen auch keine Vorkenntnis oder Konfiguration voraus. Ein gewichteter Ansatz zum Entdecken von Anomalien reduziert in Kombination mit maschinellem Lernen in kurzer Zeit die falschen Warnmeldungen.
Die Funktionsweise
Verhaltensanalysen bewerten die Risiken hinsichtlich des Verhaltens und die Risiken in Bezug auf Entitäten – also die Objekte, über die Informationen gespeichert oder verarbeitet werden sollen. Beide mathematischen Verfahren beeinflussen einander, so dass die Risikomodelle zum Verhalten auch die beteiligten Entitäten beinhalten. Umgekehrt werden die Risikowerte der Entitäten von riskanten Verhaltensweisen beeinflusst, an denen sie beteiligt sind. Wenn zum Beispiel ein Anwender eine bestimmte Datenmenge eines Projekts entwendet, wird diese Menge mit den Volumina verglichen, die dieser, aber auch ähnliche Anwender im historischen Vergleich, üblicherweise abrufen. So entstehen mehrere Vergleichspunkte, so dass die Risikobewertung des Verhaltens verfeinert wird.
Erst die Kombination von Risiken führt zu belastbaren Verdachtsmomenten: Ein Anwender greift nicht nur unerwartet auf eine wertvolle Datei in einem sensiblen Projekt zu (Access), sondern lädt sie auch herunter (Mooching).
© PerforceAngenommen, ein Anwender wird beim Zugriff auf ein wichtiges Entwicklungsprojekt beobachtet, das er – gemessen an seinem historischen Zugriffsverhalten – normalerweise nicht aufruft. Außerdem greifen seine Kollegen ebenfalls nicht auf das Projekt zu. Zwar stellt diese Aktion schon einen Verdachtsmoment dar, doch könnte sie einen falschen Alarm auslösen, wenn sie nur isoliert betrachtet würde. Schließlich wäre es ja auch möglich, dass der Ingenieur vor kurzem eine neue Rolle oder Aufgabe übernommen hat. Doch was wäre, wenn dieser eine Datei zu einer Tages- oder Nachtzeit aufgerufen hat, zu der er niemals zuvor gearbeitet hat, wenn er darüber hinaus auf Dateien aus einem anderen, seit Monaten inaktiven Projekt zugegriffen hat und wenn das bewegte Datenvolumen aus den verschiedenen Projekten ungewöhnlich hoch ist? Je mehr eine Entität in kurzer Zeit Ereignisse mit einem hohen Risikowert erzeugt, desto geringer ist die Wahrscheinlichkeit, dass es sich um Zufall oder einen falschen Alarm handelt. Verhaltensanalysen beleuchten nicht das einzelne Ereignis, sondern Muster und Beziehungen, die durch das Verhalten der Anwender entstehen. Da das Verhalten beobachtet und lückenlos erfasst wird, lassen sich Risiken oder Bedrohungen den Anwendern, Projekten und Zeiträumen unmittelbar zuordnen. Die Informationen sind stets und sofort verfügbar, so dass Aufwand und Kosten im Vergleich zu klassischen forensischen Projekten deutlich sinken. Denn die Informationssammlung, -auswertung und -darstellung erfolgt automatisch. Die Unternehmen müssen also kein eigenes Team interner oder externer Sicherheitsspezialisten beschäftigen, die, Kriminalisten oder Pathologen gleich, nach Spuren und Protokolldateien auf Rechnern und Servern suchen, diese größtenteils manuell auswerten oder sich Angriffs- und Diebstahlszena-rien ausdenken und nachstellen, um zu erfahren, ob, wann, wie und durch wen sich ein Datenverlust ereignet hat.
Vom Hinweis zum Beweis
Alarme, die von Werkzeugen zur Verhaltensanalyse ausgelöst werden, sind nur Hinweise, aber keine Beweise. Denn es könnte ja sein, dass Spionage-Software auf dem Rechner eines Ingenieurs ohne dessen Wissen ihr Unwesen treibt. Außerdem dürfen solche Lösungen nach deutschem Recht nicht als Kontrollinstrument für die Produktivität und Arbeitsweise des einzelnen Mitarbeiters missbraucht werden. Die Verhaltensana-lysen müssen folglich so anonymisiert sein, dass selbst bei starken Verdachtsmomenten eine Identifizierung nicht unmittelbar möglich ist. Entsprechende Vereinbarungen mit dem Betriebsrat, wie in solchen Fällen mit der Aufhebung der Anonymität umzugehen ist, sind auf jeden Fall einzuhalten und dürfen nicht von den Lösungen unterlaufen werden.
Metadaten für mehr Sicherheit
Sicherheitslösungen, die Innentäter durch Verhaltensanalysen aufspüren können, benötigen allerdings Daten, um zu funktionieren – Metadaten, welche die Handlungen der Mitarbeiter zeitlich und inhaltlich nachvollziehbar machen. Wer hat wann und worauf zugegriffen und was damit gemacht? Das sind die wesentlichen Fragen, die sich aus den gesammelten Daten beantworten lassen müssen.
Ingenieure, die im Rahmen von Industrie 4.0 verstärkt zusammenarbeiten, bearbeiten im Team ein und dieselben Assets, ob es sich dabei um Quellcode, CAD-Zeichnungen, Simulationen oder Dokumentationen zu Qualitätstests handelt. Um dieses Teamwork zu unterstützen, setzen Unternehmen immer häufiger Versionsmanagementsysteme ein, die alle für die Verhaltensanalyse relevanten Daten erheben müssen, um ihre Aufgaben überhaupt erfüllen zu können.
In Kombination mit diesem Datenreservoir sorgt die Verhaltensanalyse dafür, dass das geistige Eigentum den Spionageversuchen von Innentätern nicht mehr schutzlos ausgeliefert ist. Allein schon das Wissen, dass solche Lösungen im Unternehmen existieren und zum Schutz der sensiblen Assets eingesetzt werden, dürfte viele potenzielle Datendiebe davon abhalten, in Versuchung zu geraten. Es besteht kein Zweifel daran, dass der Schutz sensibler Daten entscheidend für Engineering-Projekte von Unternehmen ist. Dies lässt sich nur mit einer Kombination verschiedener Sicherheitsbausteine erreichen. Verhaltensanalysen stellen vor diesem Hintergrund eine der wesentlichen Komponenten in der Sicherheitsarchitektur von morgen dar, insbesondere um die Gefahr von Innentätern abzuwenden.
Zwei Typen von Innentätern
Die typischen Innentäter aus dem Engineering lassen sich in zwei Gruppen einteilen:
■ Die Unaufmerksamen und Unwissenden: Es ist keine Seltenheit, dass Mitarbeiter wertvolle Unternehmensinformationen dem Zugriff Unbefugter aussetzen, im Gegenteil. Der Anteil von Nutzern, die sensible Daten auf dem Heimrechner speichern oder auf weniger geschützten Verzeichnissen im Unternehmen ablegen, liegt laut Studien im mittleren zweistelligen Bereich. Hinzu kommt die Gefahr, dass die Mitarbeiter gar nicht wissen, dass von ihrem Rechner aus Informationsdiebstahl betrieben wird, weil Spionagesoftware so konstruiert ist, dass sie sich nicht bemerkbar macht.
■ Die Gierigen, Unzufriedenen und Rachsüchtigen: Bei einer Beförderung oder Gehaltserhöhung übergangen zu werden, nicht genügend Wertschätzung zu erfahren oder sogar herabgesetzt zu werden, finanzielle Probleme oder Streit mit Kollegen – all das können Motive sein, die Menschen dazu veranlassen, das geistige Eigentum ihres Arbeitgebers zu stehlen. Sie können es an Konkurrenten verkaufen oder nach einem Arbeitsplatzwechsel gezielt für das eigene berufliche Fortkommen verwenden. Zu dieser Gruppe gehören aber auch Mitarbeiter von Partnern oder Auftragnehmern, die vorübergehend oder dauerhaft Zugang zu sensiblen Informationsbeständen haben.












