zuruck zur Themenseite

Artikel und Hintergründe zum Thema

Repository-Ansatz

Sven Erik Knop | Lukas Dehling,

Der Feind kommt von innen

Bei großen Engineering-Projekten ist es für die Unternehmen schwierig, den Überblick über sämtliche Mitarbeiter und Daten zu behalten. Dadurch kann eine Sicherheitslücke entstehen: Denn 70 % der Datendiebe sind Innentäter. Ein neuer Repository-Ansatz minimiert das Risiko.

©  Fotolia/Jürgen Fälchle

Schon lange diskutiert die Branche, ob und wann sich die sequenziellen Abläufe im Engineering durch parallele Prozesse ablösen lassen. Die Folge wäre ein höherer Grad an Zusammenarbeit und damit eine höhere Produktivität. Eine der entscheidenden Voraussetzung für parallele Prozesse und Teamwork über alle Ingenieursdisziplinen hinweg ist in technischer Hinsicht die Einführung eines zentralen Repositorys: ein System, in dem alle an Entwicklung, Design und Herstellung von Produkten beteiligten Ingenieure sämtliche mit den Produkten zusammenhängenden Informationen und Daten ablegen und pflegen. Nur so hat der komplette En­gineering-Bereich einen direkten Zugriff darauf und damit verbunden einen stets aktuellen Informationsstand.

Zentrale Datenhaltung

Auch wenn diese Umstellung von den verteilten und oftmals völlig voneinander getrennten Datenspeichern oder Datensilos in organisatorischer Hinsicht einen großen Vorteil darstellt, bedeutet die damit verbundene Konzentration des geistigen Eigentums eine potenzielle und unter Umständen für das Unternehmen existenzielle Gefahrenquelle. Denn welcher Konkurrent, vor allem aus dem Ausland, hätte nicht gerne Zugriff auf die Daten des deutschen Maschinen- und Anlagenbaus und anderer deutscher Weltmarktführer in der Produktion?

Da solche zentralen Referenzbestände aller wertvollen Assets (Stichwort ‚single source of truth‘) besonders gegen Angriffe von außen abgeschirmt werden, rückt die Bedrohung durch Innentäter in den Mittelpunkt. Und die ist – vielleicht sogar entgegen landläufiger Vorstellungen – heute schon erheblich größer als die Gefahr von außen. So schätzt das Bundesamt für Verfassungsschutz im Bereich Wirtschaftsspionage das Verhältnis zwischen Angriffen von innen zu solchen von außen auf 70 zu 30. Doch der­artige kriminellen Akte zu erkennen, ist eine echte Herausforderung.

Anzeige

Abweichungen erkennen

Mit Mitteln der Statistik können menschliche Entscheidungsprozesse beobachtet, gemessen und sogar vorhergesagt werden. Voraussetzung ist allerdings, dass diese Prozesse gemäß den Entscheidungsfindungsmustern jeder einzelnen Person und nach Maßgabe von Risiko-Toleranzgrenzen nachverfolgt werden. Moderne Bedrohungserkennung nutzt daher fortgeschrittene mathematische Verfahren, um diese Voraussetzung zu erfüllen. Sie identifiziert das Verhaltensmuster, das von der Norm abweicht, und ermittelt die Wahrscheinlichkeit, ob diese Abweichung ein Risiko darstellt.

Plötzliche Abweichungen im Verhalten eines Anwenders können einen Hinweis auf Spionage-Aktivitäten liefern.

© Perforce

Zum Beispiel ist es von Belang, wenn jemand auf ein einzelnes wichtiges Entwicklungsprojekt öfter als bisher zugreift. Jedoch ist diese Beobachtung weniger wichtig, als wenn jemand zehn wichtige Assets aufruft, auf die er zuvor noch nie zugegriffen hat.

Solche Beispiele werden umso höher gewichtet, je mehr sie in Zusammenhang mit anderen Anomalien mit denselben so genannten Entitäten, also Bezugsgrößen wie Anwender, Entwicklungsprojekte oder Assets stehen. Zu diesen Anomalien zählen etwa der Zeitpunkt der Aktivitäten, deren Menge oder die Datenbewegungen. Ein Beispiel wäre ein Anwender, der nicht nur zum ersten Mal auf bisher nie aufgerufene Assets zugreift, sondern dies zum ersten Mal von zu Hause aus und nachts macht und dazu seinen privaten Rechner verwendet. Das Verhalten der Entität Anwender wäre in diesem Fall anomal.

Eine Bedrohungserkennung auf Basis einer Verhaltensanalyse erkennt Anomalien durch

■ das Vergleichen von Verhaltens-, Datennutzungs- und Datenbewegungsmustern gegen ihre Historie,
■ das Identifizieren ähnlicher Muster in der ganzen Umgebung und das Vergleichen der Verhaltensmuster von Anwendern und Anwendergruppen,
■ das Aufspüren abweichender Muster zwischen den Mitgliedern derselben Projektgruppe oder derselben Rolle,
■ sowie das Vergleichen von Individuen mit der gesamten Nutzergruppe.

Diese Anomalien sind nicht nur starke Anzeichen für Bedrohungen, sondern setzen auch keine Vorkenntnis oder Konfiguration voraus. Ein gewichteter Ansatz zum Entdecken von Anomalien reduziert in Kombination mit maschinellem Lernen in kurzer Zeit die falschen Warnmeldungen.

Die Funktionsweise

Verhaltensanalysen bewerten die Risiken hinsichtlich des Verhaltens und die Risiken in Bezug auf Entitäten – also die Objekte, über die Informationen gespeichert oder verarbeitet werden sollen. Beide mathematischen Verfahren beeinflussen einander, so dass die Ri­sikomodelle zum Verhalten auch die ­beteiligten Entitäten beinhalten. Um­gekehrt werden die Risikowerte der ­Entitäten von riskanten Verhaltensweisen beeinflusst, an denen sie beteiligt sind. Wenn zum Beispiel ein Anwender eine bestimmte Datenmenge eines Projekts entwendet, wird diese Menge mit den Volumina verglichen, die dieser, aber auch ähnliche Anwender im his­torischen Vergleich, üblicherweise abrufen. So entstehen mehrere Vergleichspunkte, so dass die Risikobewertung des Verhaltens verfeinert wird.

Erst die Kombination von Risiken führt zu belastbaren Verdachtsmomenten: Ein Anwender greift nicht nur unerwartet auf eine wertvolle Datei in einem sensiblen Projekt zu (Access), sondern lädt sie auch herunter (Mooching).

© Perforce

Angenommen, ein Anwender wird beim Zugriff auf ein wichtiges Entwicklungsprojekt beobachtet, das er – gemessen an seinem historischen Zugriffs­verhalten – normalerweise nicht aufruft. Außerdem greifen seine Kollegen ebenfalls nicht auf das Projekt zu. Zwar stellt diese Aktion schon einen Verdachtsmoment dar, doch könnte sie einen falschen Alarm auslösen, wenn sie nur isoliert betrachtet würde. Schließlich wäre es ja auch möglich, dass der Ingenieur vor kurzem eine neue Rolle oder Aufgabe übernommen hat. Doch was wäre, wenn dieser eine Datei zu einer Tages- oder Nachtzeit aufgerufen hat, zu der er ­niemals zuvor gearbeitet hat, wenn er ­darüber hinaus auf Dateien aus einem anderen, seit Monaten inaktiven Projekt zugegriffen hat und wenn das bewegte Datenvolumen aus den verschiedenen Projekten ungewöhnlich hoch ist? Je mehr eine Entität in kurzer Zeit Ereignisse mit einem hohen Risikowert erzeugt, desto geringer ist die Wahrscheinlichkeit, dass es sich um Zufall oder einen falschen Alarm handelt. Verhaltensana­lysen beleuchten nicht das einzelne Er­eignis, sondern Muster und Beziehungen, die durch das Verhalten der Anwender entstehen. Da das Verhalten beobachtet und lückenlos erfasst wird, lassen sich ­Risiken oder Bedrohungen den Anwendern, Projekten und Zeiträumen unmittelbar zuordnen. Die Informationen sind stets und sofort verfügbar, so dass ­Aufwand und Kosten im Vergleich zu klassischen forensischen Projekten deutlich sinken. Denn die Informationssammlung, -auswertung und -darstellung erfolgt automatisch. Die Unternehmen müssen also kein eigenes Team interner oder externer Sicherheitsspezialisten beschäftigen, die, Kriminalisten oder Pathologen gleich, nach Spuren und Protokolldateien auf Rechnern und Servern suchen, diese größtenteils manuell auswerten oder sich Angriffs- und Diebstahlszena-rien ausdenken und nachstellen, um zu erfahren, ob, wann, wie und durch wen sich ein Datenverlust ereignet hat.

Vom Hinweis zum Beweis

Alarme, die von Werkzeugen zur Ver­haltensanalyse ausgelöst werden, sind nur Hinweise, aber keine Beweise. Denn es könnte ja sein, dass Spionage-Software auf dem Rechner eines Ingenieurs ohne dessen Wissen ihr Unwesen treibt. Außerdem dürfen solche Lösungen nach deutschem Recht nicht als Kontrollin­strument für die Produktivität und Arbeitsweise des einzelnen Mitarbeiters missbraucht werden. Die Verhaltensana-lysen müssen folglich so anonymisiert sein, dass selbst bei starken Verdachtsmomenten eine Identifizierung nicht ­unmittelbar möglich ist. Entsprechende Vereinbarungen mit dem Betriebsrat, wie in solchen Fällen mit der Aufhebung der Anonymität umzugehen ist, sind auf jeden Fall einzuhalten und dürfen nicht von den Lösungen unterlaufen werden.

Metadaten für mehr Sicherheit

Sicherheitslösungen, die Innentäter durch Verhaltensanalysen aufspüren können, benötigen allerdings Daten, um zu funktionieren – Metadaten, welche die Handlungen der Mitarbeiter zeitlich und inhaltlich nachvollziehbar machen. Wer hat wann und worauf zugegriffen und was damit gemacht? Das sind die wesentlichen Fragen, die sich aus den gesammelten Daten beantworten lassen müssen.

Ingenieure, die im Rahmen von In­dustrie 4.0 verstärkt zusammenarbeiten, bearbeiten im Team ein und dieselben Assets, ob es sich dabei um Quellcode, CAD-Zeichnungen, Simulationen oder Dokumentationen zu Qualitätstests handelt. Um dieses Teamwork zu unterstützen, setzen Unternehmen immer häufiger Versionsmanagementsysteme ein, die alle für die Verhaltensanalyse re­levanten Daten erheben müssen, um ihre Aufgaben überhaupt erfüllen zu können.

In Kombination mit diesem Datenreservoir sorgt die Verhaltensanalyse dafür, dass das geistige Eigentum den Spionageversuchen von Innentätern nicht mehr schutzlos ausgeliefert ist. Allein schon das Wissen, dass solche Lösungen im Unternehmen existieren und zum Schutz der sensiblen Assets eingesetzt werden, dürfte viele potenzielle Datendiebe davon abhalten, in Versuchung zu geraten. Es besteht kein Zweifel daran, dass der Schutz sensibler Daten entscheidend für Engineering-Projekte von Unternehmen ist. Dies lässt sich nur mit einer Kombination verschiedener Sicherheitsbausteine erreichen. Verhaltensanalysen stellen vor diesem Hintergrund eine der wesentlichen Komponenten in der Sicherheitsarchitektur von morgen dar, insbeson­dere um die Gefahr von Innentätern abzuwenden.

Zwei Typen von Innentätern

Die typischen Innentäter aus dem Engineering lassen sich in zwei Gruppen einteilen:

■ Die Unaufmerksamen und Unwissenden: Es ist keine Seltenheit, dass Mitarbeiter wertvolle Unternehmens­informationen dem Zugriff Unbefugter aussetzen, im Gegenteil. Der Anteil von Nutzern, die sensible Daten auf dem Heimrechner speichern oder auf weniger geschützten Verzeichnissen im Unter­nehmen ablegen, liegt laut Studien im mittleren zweistelligen Bereich. Hinzu kommt die Gefahr, dass die Mitarbeiter gar nicht wissen, dass von ihrem Rechner aus Informationsdiebstahl betrieben wird, weil Spionagesoftware so konstruiert ist, dass sie sich nicht bemerkbar macht.

■ Die Gierigen, Unzufriedenen und Rachsüchtigen: Bei einer Beförderung oder Gehaltserhöhung übergangen zu werden, nicht genügend Wertschätzung zu erfahren oder sogar herabgesetzt zu werden, finanzielle Probleme oder Streit mit Kollegen – all das können Motive sein, die Menschen dazu veranlassen, das geistige Eigentum ihres Arbeitgebers zu stehlen. Sie können es an Konkurrenten verkaufen oder nach einem Arbeitsplatzwechsel gezielt für das eigene berufliche Fortkommen verwenden. Zu dieser Gruppe gehören aber auch Mitarbeiter von Partnern oder Auftragnehmern, die vorübergehend oder dauerhaft Zugang zu sensiblen Informationsbe­ständen haben.

  • Xing Icon
  • LinkedIn Icon
Anzeige
zurück zur Themenseite
Anzeige

Das könnte Sie auch interessieren

Anzeige

Engineering

Gemeinsam entwickeln mit Git

Bei der Software für Versionsverwaltung 'Git' sprechen funktionale Einschränkungen gegen einen Einsatz im professionellen Umfeld. Damit ist jetzt Schluss: Software-Add-ons machen das beliebte Open-Source-Tool unternehmenstauglich.

mehr...

M2M

Die zehn Gebote für das Internet der Dinge

Industrie 4.0, Industrial Internet, Internet of Things, Internet of Everything – auch wenn sämtliche ­Leitmedien unisono der Meinung sind, dass diesen Konzepten die Zukunft gehört, stellt sich doch die Frage, warum es gleich vier davon braucht. Wo...

mehr...
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Photonik-Software

Keysight übernimmt VPIphotonics

Mit der Übernahme von VPIphotonics baut Keysight Technologies sein Softwareportfolio für die Photonik-Entwicklung aus. Die Lösungen decken künftig den gesamten Designprozess von der Bauteilphysik bis zur Simulation kompletter optischer Systeme ab.

mehr...

Proglove

Der Shopfloor wird zur Datenquelle

Trotz der enormen Datenmenge, die moderne Intralogistikumgebungen produzieren, fehlt in vielen Anwendungen die entscheidende Transparenz darüber, wie Prozesse tatsächlich auf dem Shopfloor ablaufen. Oft leben die Kollegen im Lager den Prozess...

mehr...
Jetzt Newsletter abonnieren