Den Strafverfolgungsbehörden zufolge hat die 25-jährige Subunternehmerin Reality Leah Winner ein NSA-Dokument der höchsten Geheimhaltungsstufe bezüglich der laufenden Untersuchung über russische Hacker-Aktivitäten bei der Wahl im letzten November ausgedruckt und an The Intercept weitergegeben. Dieser Fall wirft einige interessante Fragen im Hinblick auf den Schutz sensibler Daten vor Insider-Risiken auf.
Hätte Winner erstens überhaupt Zugriff auf die mit der Untersuchung russischer Hacker zusammenhängenden Dokumente erhalten sollen? Gab es bei Pluribus irgendwelche Verfahren, um Zugangskontrollen regelmäßig zu prüfen und den Zugriff auf vom Mitarbeiter nicht benötigte Dokumente und E-Mails zurückzunehmen?
Gemäß der veröffentlichten eidesstattlichen Versicherung war Winner erst seit Februar 2017 Angestellte von Pluribus International Corporation, hatte dem Vernehmen nach aber schon 2013 die Prüfungen für den Zugriff auf Dokumente der höchsten Geheimhaltungsstufe durchlaufen. Ihr Zugriff war also rechtmäßig, es gibt aber keinen Beleg dafür, dass sie das geleakte Dokument für ihre Arbeit benötigte. Tatsächlich gibt Winner in der eidesstattlichen Erklärung zu, dass sie „keinen Kenntnisbedarf“ hatte.
Das führt zu einer viel allgemeineren Frage über Zugangskontrollen: Sollte jeder Mitarbeiter oder Auftragnehmer mit Freigabe für Dokumente der höchsten Geheimhaltungsstufe immer auf alles zugreifen können? Und sollte der CEO eines Unternehmen auf jede sensible Datei und E-Mail im eigenen Unternehmen Zugriff haben? Die meisten Sicherheitsexperten würden sagen: Nein. Ein derartige Struktur verstößt auf jeden Fall gegen das Prinzip der notwendigsten Berechtigung.
Exzessive Zugriffsberechtigungen lassen sich mit einer zunehmenden Gefahr durch Insider-Risiken in Verbindung bringen, und das Problem wird immer schlimmer. In einer aktuellen Untersuchung des Ponemon Instituts gaben 62 % der Endanwender an, Zugriff auf Unternehmensdaten zu haben, die für sie wahrscheinlich nicht sichtbar sein sollten, und 76 % der IT-Fachkräfte meldeten, dass sie in den letzten zwei Jahren Datenverluste oder Datendiebstahl erlebt hatten.
Die Epidemie des uneingeschränkten Zugangs kann sogar noch größere Schäden anrichten, wenn Konten kompromittiert sind. Selbst wenn Winner das Dokument nicht absichtlich an die Medien geleakt hätte, sondern ein externer Angreifer in Ihr Konto eingedrungen wäre, wäre die Information verletzlich gewesen.
Es stellt sich die Frage, ob Pluribus eine klare Vorstellung seiner sensiblen Informationen hat. Viele Organisationen haben nicht mehr im Griff, wo ihre sensibelsten Informationen liegen, wer auf sie zugreifen kann, und wer seinen Zugriff möglicherweise missbraucht. Im Varonis Daten-Risikobericht 2017 haben wir festgestellt, dass in 47 % aller Organisationen mindestens 1.000 sensible Dateien für jeden Mitarbeiter offenliegen.
Und darüber hinaus scheinen sie bei der Erkennung von Insider-Risiken zu versagen. Erst als der Nachrichtenkanal einen nicht genannten Geheimdienst kontaktierte, begannen die Bundespolizisten mit ihrem Audit, um festzustellen, wer auf das geleakte Dokument zugegriffen hatte. War der Zugriff auf die Dateien mit Bezug zur Untersuchung der russischen Hacker-Aktivitäten bei der Wahl mit den üblichen Datenzugriffen von Winner vereinbar? Selbst wenn ihr Zugriff legitim war, mag es Abnormitäten in ihren Datenzugriffsmustern gegeben haben, die einen Insider-Missbrauchsalarm ausgelöst hätten.
Und zu guter Letzt ist eventuell einer der interessantesten Aspekt der Geschichte, dass The Intercept Winner versehentlich geoutet hat, indem er eine Kopie des geleakten Dokuments veröffentlichte, in dessen Metadaten Tracking-Informationen enthalten waren. Winner hatte auf die Daten zugegriffen und sie dann ausgedruckt. Die Untersuchungsbeamten wussten wegen unsichtbarer Mikropunkte auf der Seite, dass sie gedruckt war, und konnten sie damit zu einem bestimmten Drucker und Datum zurückverfolgen. Damit wurde die Einengung auf sechs Benutzer möglich, von denen einer E-Mails mit The Intercept ausgetauscht hatte.
Bildnachweis:
Winner wurde also mit einer Kombination aus unterschiedlichen Arten forensischer Metadaten als Leaker überführt. Nur den Drucker und das Datum zu kennen, wäre für sich genommen und ohne Korrelation zum E-Mail-Verhalten nicht genug gewesen. Durch alles zusammen konnte Winner schlüssig identifiziert werden.
Möchten Sie mehr über Insider-Risiken und Techniken für deren Abwehr erfahren? Troy Hunt hat einen einstündigen Videokurs mit dem Titel The Enemy Within (Der Feind unter uns) produziert. Er ist absolut kostenlos. Klicken Sie hier, um sich anzumelden.
Wenn Sie die Insider-Risiken in Ihrer Organisation in den Griff bekommen möchten, kann Varonis dabei helfen.