Das amerikanische CERT hat gemeinsam mit dem United States Secret Service eine Studie zur Innentäterproblematik veröffentlicht. Diese ist zwar auf den amerikanischen Markt fokussiert, bietet aber durchaus einige Vergleichsmöglichkeiten mit der Situation in Deutschland, wenn man die Stichprobengröße vernachlässigt. Die Studie kommt zu folgenden Schlüsselergebnissen:
- die Hälfte der Innentäter war zur Tatzeit noch im Unternehmen angestellt.
- 63% der Innentäter hatten technische Positionen in den betroffenen Organisationen inne.
- 38% der Innentäter wurden bereits wegen früherer Vergehen verhaftet.
- die meisten Taten (73%) wurden durch arbeitsbezogene Ereignisse ausgelöst.
- 76% der Innentäter haben ihre Tat lange im Vorfeld geplant.
- die Hälfte der Innentäter hatte während der Tat autorisierten System- bzw. Netzzugang.
- 58% verwendeten erweiterte Werkzeuge oder Methoden für ihre Taten (Programme bzw. Skripte, Autonome Agenten, Toolkits, Probing, Scanning, Flooding, Spoofing, Angriff auf Benutzerkennungen oder Erstellung von Backdoor-Benutzerkennungen).
- 51% der Innentäter begingen ihre Tat vom Arbeitsplatz, 43% über einen Remote Zugang.
- 51% der Taten fanden während und 49% außerhalb der normalen Arbeitszeit statt.
- 80% der Vorfälle mit Innentätern wurden nur durch manuelle Erkennung bei der Analyse von Anomalien oder Störungen von informationstechnischen Systemen erkannt.
- 74% der Innentäter versuchten ihre Identität oder Taten zu verbergen.
- Die meisten der Innentäter sind männlich und waren während der Tat Singles.
- Rache wurde von mehr als der Hälfte der Innentäter als Motiv genannt.
Hallo,
es ist schon erschreckend, das 80% der Vorfaelle nur durch manuelle Erkennung aufgedeckt werden konnten.
Interesant waere nun noch die Information, ob die geschaedigten Firmen ein IDS auch Intern einsetzten.
Ebenso finde ich alamierend, das 38% wegen solcher vergehen Vorbestraft gewesen sind. Ueberpruefen die ihre Mitarbeiter nicht im vorfeld? Ich finde, fuer bestimmte Positionen in Unternehmen sollte mann eine erweiterte Sicherheitsueberpruefung durchfuehren.
Gruss
Stephan Gerling
Screening von Bewerbern wird ein immer wichtigerer Aspekt der Informationssicherheit. Mir gibt auch zu denken, dass die Hälfte der Täter ehemalige Mitarbeiter waren, aber immer noch über Systemzugänge verfügten.
Als ich in Russland noch tätig war (Jahr 1995-97), war es fast unmöglich (mindestens in unserem Bank in St.Petersburg) für einen arbeitslosen IT-Fachmann irgendwelche andere Stelle innerhalb der Bank zu finden. Wir haben schon mit Argwohn Bewerbungen von den Leuten betrachteten, welche bei uns als Putzfrauen, Wachmänner oder ähnliches arbeiten wollten, obwohl sie eine abgeschlossene Informatikum-Studium hinter sich hatten oder als Systemadministratoren tätig waren. Wenn wir einen Sysadmin kündigen wollten, wusste er bis zu letztem Tag nichts davon. Unsere Security-Leute kamen dann einfach in sein Büro, packten alle seine Sachen zusammen (vorher natürlich alles schon überprüft) und begleiteten ihn dann zum Ausgang.
Wir schreiben das Jahr 2008, Deutschland. Wie leicht es für einen arbeitslosen IT-Fachmann (besonders als Ausländer aus Russland oder Indien) eine Stelle als Wachmann oder Putzmann bei einer deutsche Firma zu finden?:-) Und was für Schaden kann der anrichten, falls er von Konkurrenz angeschleust ist oder sich ungerecht behandelt fühlt? Darüber machen aber die meisten Manager und Security-Leute hier leider gar keine Gedanke.