Pod-Slurping Datendiebstahl leicht gemacht

Transkript

1 Pod-Slurping Datendiebstahl leicht gemacht Über die Gefahren einer unkontrollierten Verwendung von ipods, USB-Sticks und Flash-Laufwerken in Unternehmen Viele Firmen nehmen fälschlicherweise an, dass Sicherheitsmaßnahmen auf Perimeterebene, wie Firewalls und Anti-Viren-Software, ausreichen, um Daten im Netzwerk vor Angriffen zu schützen. Dieses White Paper erläutert, wie durch die unkontrollierte Nutzung von ipods, USB-Sticks, Flash- Laufwerken und PDAs in Unternehmen neue Sicherheitslücken entstehen können, die Datendiebstahl begünstigen, unter anderem in Form des so genannten Pod-Slurping.

2 Pod-Slurping Datendiebstahl leicht gemacht 2 Einführung Die moderne Informationstechnologie nimmt immer mehr Einfluss auf die verschiedensten Bereiche des täglichen Lebens. Vor allem die Unterhaltungselektronik erreicht breite Bevölkerungsschichten. Geräte werden immer mobiler und benutzerfreundlicher und verkörpern mitunter einen bestimmten Lebensstil, gefördert durch umfassende Werbemaßnahmen der Industrie. Vor allem tragbare Unterhaltungsgeräte sind so beliebt wie nie zuvor, und der Wachstumstrend dieser Branche hält an. Exemplarisch hierfür ist der Apple ipod, der seinen Siegeszug im Jahr 2001 angetreten hat und mit bisher fast 60 Millionen verkauften Exemplaren eines der weltweit erfolgreichsten mobilen Unterhaltungsgeräte ist (CNNMoney.com, 2006). Die Nachfrage nach ipods und anderen MP3-Playern mit Flash-Speicher wird weiter wachsen, so die Prognosen. Bis zum Jahr 2009 sollen fast 124 Millionen Geräte auf dem Markt sein (Kevorkian, 2005). IDC-Marktanalyse Bis zum Jahr 2009 werden fast 124 Millionen ipods und ähnliche MP3-Player mit Flash- Speicher auf dem Markt sein. Tragbare Abspielgeräte sind allerorts zu finden, auch in Büros. Aus dem öffentlichen Leben sind sie nicht mehr wegzudenken doch warum sollten sich gerade Unternehmen Gedanken um diese vermeintlichen Spielzeuge machen? In diesem White Paper wird erläutert, warum mobile Speichermedien und Unterhaltungsgeräte eine Bedrohung für die Sicherheit von Firmendaten darstellen und welche Maßnahmen zur Eindämmung dieser Gefahr ergriffen werden können. Einführung...2 Pod-Slurping: Wie Insider an Ihre Daten gelangen...3 Pod-Slurping: Datendiebstahl leicht gemacht...3 Datendiebstahl durch Insider ein gängiges Problem...4 Hintergründe des Datendiebstahls durch Insider...5 Abschwächung der Sicherheitsgefahr Informationsdiebstahl...6 Zusammenfassung...7 Informationen zu GFI EndPointSecurity...7 Über GFI...7 Quellenangaben...9

3 Pod-Slurping Datendiebstahl leicht gemacht 3 Pod-Slurping: Wie Insider an Ihre Daten gelangen Die technologische Entwicklung von tragbaren Geräten und Datenspeichern schreitet rasant voran. Vor allem jüngere Gerätegenerationen von MP3-Playern und Flash-Speichern besitzen eine Speicherkapazität, wie sie bislang nur von stationären Festplatten her bekannt war. Dennoch sind sie so klein, dass sie unbemerkt überall hin mitgenommen werden können, auch in Unternehmen und überwinden somit mühelos die Perimeter-Sicherheitsmaßnahmen. Verstärkt wird die Gefahr durch einfache Verbindungsmöglichkeiten und den schnellen Datenaustausch über USB- oder FireWire-Ports. Nicht einmal zusätzliche Treiber oder Konfigurationsänderungen sind hierfür erforderlich. Im Büroalltag bedeutet dies, dass es internen Datendieben beinahe jederzeit möglich ist, Informationen ungestört zu stehlen. Zudem können nachlässige Mitarbeiter das Firmennetzwerk intern mit Viren infizieren, selbst wenn sie ihren mobilen Datenträger nur kurz anschließen. Der ipod ist nur ein Beispiel für die neue tragbare Speichertechnologie. Die Verwendungsmöglichkeiten des Geräts werden vielfach unterschätzt, denn es kann weitaus mehr, als nur Audiodateien abzuspielen. Größere Modelle verfügen über bis zu 60 GB Speicherplatz genug, um die komplette Festplatte eines typischen Bürorechners zu kopieren. Vertrauliche Daten aller Art können daher ungeachtet ihrer Größe mit nur wenigen Mausklicks von kriminellen Mitarbeitern gestohlen werden. Umfrage 2006 Identity Fraud Survey Im Jahr 2005 beliefen sich die Kosten und Schäden durch Identitätsdiebstahl auf US-$ 56,6 Mrd. Die Gartner-Analysten Contu und Girard haben bereits im Jahr 2004 auf Sicherheitsrisiken hingewiesen, die durch den unkontrollierten Einsatz tragbarer Speichermedien in Unternehmen hervorgerufen werden. Hierzu zählt vor allem der Informationsdiebstahl, zu dem Sicherheitsexperten auch Datenschlupflöcher, -verschlüsselung und -veröffentlichung zählen. Der wohl anschaulichste Begriff für das Entwenden von Daten ist jedoch Pod-Slurping, geprägt vom US-Sicherheitsspezialisten Abe Usher (2005). Pod-Slurping: Datendiebstahl leicht gemacht Unter Pod-Slurping versteht Usher den Einsatz von MP3-Playern wie ipods und anderen USB- Speichermedien, um vertrauliche Unternehmensdaten auf einfachstem Wege zu stehlen. Nicht vertrauenswürdige Mitarbeiter gibt es leider nur allzu viele, so Usher. Und mit Hilfe von USB- Speichermedien ist es für sie leichter denn je, Unmengen an Daten zu stehlen (Schick, 2006).

4 Pod-Slurping Datendiebstahl leicht gemacht 4 Blog zum Pod-Slurping in 2 Minuten können etwa 100 MB an Word-, Excel- und PDF-Dateien heruntergezogen werden im Grunde alle Arten von Unternehmensdaten. Um Unternehmen deutlich vor Augen zu führen, wie anfällig Sicherheitssysteme für Angriffe über mobile Speichermedien sind, hat Usher als Proof of Concept eine Anwendung für den ipod entwickelt, mit der sich Firmennetzwerke automatisch nach vertraulichen Dateien durchsuchen lassen. Diese können dann ohne Benutzereingriff auf das Gerät kopiert (oder heruntergesaugt ) werden: Nach dem Anschluss an einen Netzwerkrechner startet die Anwendung selbsttätig und kopiert binnen weniger Minuten große Mengen an Unternehmensdaten. Zum Pod-Slurping können jedoch weitaus mehr Geräte als nur ipods und MP3-Player missbraucht werden. Jeder tragbarer Massenspeicher, der Plug-and-Play-fähig ist, kann für den Datendiebstahl zweckentfremdet werden, so auch Digitalkameras, PDAs, Mobiltelefone u. v. m. Da das Abschöpfen der Daten einfach und automatisch abläuft, brauchen Datendiebe nicht einmal technisch versiert sein. Der mobile Speicher muss lediglich an einen Firmenrechner angeschlossen werden, und innerhalb weniger Minuten sind vertrauliche Informationen kopiert. Datendiebstahl durch Insider ein gängiges Problem Der Diebstahl von Daten stellt mittlerweile für jedes Unternehmen eine nicht zu unterschätzende Gefahr dar, deren Eindämmung einen stetig wachsenden finanziellen Aufwand erfordert. Zwei Faktoren bedingen eine zunehmende Belastung von IT-Budgets: Das Ausmaß der Datenkriminalität, vor der keine Branche verschont bleibt, und immer neue gesetzliche Bestimmungen, die einen umfassenderen Schutz und vielschichtige Kontrollmöglichkeiten von Kundendaten und anderen vertraulichen Informationen erfordern. Organisationen müssen sich intensiver mit diesem Thema befassen, denn Verstöße gegen das jeweilige Datenschutzrecht werden in allen Ländern mit empfindlichen Geldbußen belegt. Beispielsweise hat die USamerikanische Verbraucherschutzbehörde Federal Trade Commission (FTC) den Datenhändler ChoicePoint Inc. wegen unzureichenden Datenschutzes in mehreren Fällen zu einer Geldstrafe von fünfzehn Millionen US-Dollar verurteilt (FTC, 2006).

5 Pod-Slurping Datendiebstahl leicht gemacht 5 Viele Unternehmen unterliegen der Fehleinschätzung, dass ihre Sicherheit vorwiegend von außen bedroht ist. Für Firewalls und andere Abwehrmaßnahmen zum Schutz des Firmenperimeters vor externen Gefahren werden daher hohe Summen investiert. Jedoch bleibt dabei unberücksichtigt, dass Unternehmensdaten auch von innen vor unautorisierten Zugriffen abgeschirmt werden müssen. Statistiken belegen, dass bei internen Sicherheitsverletzungen ein größerer Anstieg zu verzeichnen ist als bei Angriffen, die von außerhalb der Unternehmens- Firewall gestartet werden. Die Perimetersicherheit mag noch so hoch sein, den Datendiebstahl durch Insider kann sie kaum verhindern. Firmenmitarbeiter mit kriminellen Absichten können in vielen Fällen ihre Vertrauensstellung missbrauchen, da ein internes unautorisiertes Kopieren oder Entwenden von Informationen nur schwer festzustellen oder zu verhindern ist insbesondere bei Netzwerken, in denen generell eine große Anzahl von Daten ausgetauscht wird. Gartner Group Unautorisierte Zugriffe auf Datensysteme erfolgen zu 70 Prozent durch interne Mitarbeiter. Hintergründe des Datendiebstahls durch Insider Vertrauliche Firmendaten liegen unter anderem in Form von Entwürfen und Konstruktionsplänen, Angebotsunterlagen, Preislisten, Quellcode und Datenbankschemata oder auch als Song-Texte und Audiomaterial vor. Durch den Diebstahl oder anderweitigen Missbrauch dieses geistigen Eigentums können sich Einzelpersonen oder Unternehmen finanzielle Vorteile verschaffen und zugleich Wettbewerbern Schaden zufügen. Laut einer CSI/FBI-Umfrage zur Computerkriminalität liegt der Diebstahl geistigen Eigentums mittlerweile an vierter Stelle der wichtigsten Einflussfaktoren für die wirtschaftliche Entwicklung von Unternehmen (Gordon et al, 2006). Selbst firmeninterne Informationen wie Krankenakten lassen sich zu Geld machen oder werden an die Öffentlichkeit gebracht, um das Ansehen von Unternehmen zu schädigen nicht zuletzt kann erreicht werden, dass Wettbewerber wegen der Verletzung von Datenschutzrichtlinien zur Verantwortung gezogen werden.

6 Pod-Slurping Datendiebstahl leicht gemacht 6 Böswilligkeit, finanzieller Gewinn und auch Neugierde sind somit wohl die Hauptmotive für Datendiebstahl. Begangen wird er von den unterschiedlichsten Personen. So können beispielsweise unzufriedene Mitarbeiter ihre Vertrauensstellung ausnutzen und interne Firmeninformationen an direkte Wettbewerber verkaufen. Auch ehemaligen Mitarbeitern ist es vielfach möglich, ihr Insider-Wissen oder noch bestehende Firmenkontakte zu nutzen, um an Kundendaten zu gelangen, deren Veröffentlichung den ehemaligen Arbeitgeber in Misskredit bringen kann. Industriespionage, Cyber-Angriffe oder andere Betrugsversuche wie Identitätsdiebstahl sind weitere illegale Aktivitäten, in die Mitarbeiter aus finanziellem Interesse verwickelt sein können. Beim Identitätsdiebstahl missbrauchen Dritte personenbezogene Daten eines Opfers (z. B. Kreditkartenangaben) vor allem, um sich unrechtmäßig bereichern. Laut US- Verbrechensstatistik sind beim Identitätsdiebstahl die größten Wachstumsraten zu verzeichnen. Im Jahr 2005, so Schätzungen, zählten allein in den USA fast neun Millionen Menschen zu Opfern dieser Kriminalitätsform (Johannes, 2006). Identity Theft Summit 2005 Ein Krimineller ist in Sacramento unter Angabe von Name und Sozialversicherungsnummer des Golfspielers Tiger Woods auf Einkaufstour gegangen für insgesamt US-Dollar. Abschwächung der Sicherheitsgefahr Informationsdiebstahl Der größte Vorteil von tragbaren Massenspeichern besteht in ihren Zugriffsmöglichkeiten. Dies kann für Unternehmen von großem Vorteil sein. In der Praxis zeigt sich jedoch immer wieder, dass müheloser Zugriff und Sicherheit vielfach nicht miteinander vereinbar sind und sich sogar ausschließen. Die universellen Anwendungsmöglichkeiten mobiler Geräte bieten zu viel Spielraum für Missbrauch: Ob der ipod eines Mitarbeiters nun lediglich zum Abspielen von Musik verwendet wird oder doch zum Einschleusen böswilliger Dateien oder Kopieren vertraulicher Unternehmensinformationen, ist schwer zu überprüfen. Um Datendiebstahl zu verhindern, sind daher Schutzmaßnahmen wie unternehmensweite Kontrollrichtlinien für mobile Speichermedien denkbar. Einige Experten schlagen zur Minderung des Sicherheitsrisikos vor, Schnittstellen einfach zu blockieren und strenge Überprüfungen durchzuführen oder, als letzte Maßnahme, das Mitbringen tragbarer Medien an den Arbeitsplatz zu untersagen. Dieses radikale Vorgehen ist jedoch nicht zu empfehlen, da sich portable Speicher in Unternehmen sinnvoll einsetzen lassen und zur Produktivität von Mitarbeitern beitragen können. Nicht zuletzt halten allgemeine Nutzungsrichtlinien, auf deren Einhaltung lediglich vertraut wird, böswillige Mitarbeiter wohl kaum von der Verwendung portabler Massenspeicher ab.

7 Pod-Slurping Datendiebstahl leicht gemacht 7 Blog zum Pod-Slurping Vorsorge kommt Unternehmen immer noch günstiger als Nachsorge! Nur durch den Einsatz technologischer Sperren lässt sich die Verwendung von tragbaren Medien im Netzwerk umfassend kontrollieren. GFI EndPointSecurity bietet eine solche Kontrollmöglichkeit und unterstützt Unternehmen, den Datentransfer über mobile Speichermedien umfassend zu steuern im gesamten Netzwerk und für jeden einzelnen Anwender. Zusammenfassung Datendiebstahl ist für alle Unternehmen eine fortwährende Gefahr. Dieses White Paper verdeutlicht, warum der unkontrollierte Einsatz von tragbaren Speichermedien in Unternehmen mit großen Sicherheitsrisiken wie Informationsdiebstahl und Virenbefall verbunden ist. Viele Firmen neigen dazu, sich nur auf die Absicherung des Netzwerkperimeters zu konzentrieren und vernachlässigen Bedrohungen, die von unternehmensinternen Quellen ausgehen. Ohne wirksame interne Kontrollmechanismen können vermeintlich vertrauenswürdige Mitarbeiter daher leicht an wertvolle Informationen gelangen. Zum Schutz von Firmendaten vor Diebstahl per Pod-Slurping muss es Sicherheitsverantwortlichen in Unternehmen möglich sein, die Verwendung portabler Massenspeicher umfassend und auf technologischem Weg zu kontrollieren. Als Lösung zur Endgeräte- Überwachung erlaubt GFI EndPointSecurity es Administratoren, den Einsatz mobiler Speichermedien im gesamten Netzwerk zu protokollieren und regulieren. Informationen zu GFI EndPointSecurity GFI EndPointSecurity ermöglicht die Einschränkung des Datenaustauschs über tragbare Speichermedien und verhindert so den Diebstahl vertraulicher Daten oder die Infizierung von Netzwerken mit Viren und Trojanern. Die Sicherheits-Software unterstützt die aktive Verwaltung des Anwenderzugriffs auf MP3-Player (darunter ipod und Creative Zen), USB- Sticks, CompactFlash- und andere Speicherkarten, PDAs, BlackBerry-Geräte, Mobiltelefone, CDs, Disketten u. v. m. Weitere Informationen und eine Testversion stehen zum Download bereit unter Über GFI GFI Software bietet als führender Software-Hersteller eine umfassende Auswahl an Netzwerksicherheits-, Inhaltssicherheits- und Kommunikationslösungen aus einer Hand, um Administratoren einen reibungslosen Netzwerkbetrieb zu ermöglichen. Mit seiner mehrfach ausgezeichneten Technologie, einer konsequenten Preisstrategie und der Ausrichtung an den

8 Pod-Slurping Datendiebstahl leicht gemacht 8 Anforderungen kleiner und mittlerer Unternehmen erfüllt GFI höchste Ansprüche an Effizienz und Produktivität. Das Unternehmen wurde 1992 gegründet und ist mit Niederlassungen auf Malta, in London, Raleigh, Hongkong, Adelaide, Hamburg sowie auf Zypern vertreten und betreut über Installationen weltweit. GFI bietet seine Lösungen über ein weltweites Netz von mehr als Channel-Partnern an und ist Microsoft Gold Certified Partner. Weitere Informationen stehen zum Abruf bereit unter

9 Pod-Slurping Datendiebstahl leicht gemacht 9 Quellenangaben CNNMoney.com (2006) ipod, Mac Sales Boost Apple Profit Almost 48%, abrufbar unter 233_FORTUNE5.htm (zuletzt eingesehen am 27. Juli 2006). Contu R. und Girard J. (2004) Put Security Policies in Place for Portable Storage Devices, Gartner. Federal Trade Commission (2006) ChoicePoint Settles Data Security Breach Charges; to Pay $10 Million in Civil Penalties, $5 Million for Consumer Redress, abrufbar unter (zuletzt eingesehen am 27. Juli 2006). Gordon L.A., Loeb M.P., Lucyshyn W. and Richardson R. (2006) 2006 CSI/FBI Computer Crime and Security Survey, Computer Security Institute. Hunter R. (2003) Enterprises and Employees: The Growth of Distrust, abrufbar unter (zuletzt eingesehen am 27. Juli 2006). Johannes R. (2006) 2006 Identity Fraud Survey Report, Javelin Strategy & Research. Kevorkian S. (2005) Worldwide and U.S. Compressed Audio Player Forecast and Analysis: MP3 All Over the Place, IDC. Schick S. (2006) Be afraid of the file-slurping ipod, globeandmail.com, abrufbar unter: (zuletzt eingesehen am 27. Juli 2006). Scully J. (2005) Summit on Identity Theft Solutions: Locking Up the Evil Twin, abrufbar unter (zuletzt eingesehen am 27. Juli 2006). Usher A. (2005) Pod slurping, Sharp Ideas LLC, abrufbar unter (zuletzt eingesehen am 27. Juli 2006) GFI Software Ltd. Alle Rechte vorbehalten. Die in diesem Dokument aufgeführten Informationen geben den von GFI Software zum Zeitpunkt der Veröffentlichung vertretenen Standpunkt zum Thema dieses White Papers wieder. Modifizierungen aufgrund von veränderten Marktbedingungen sind vorbehalten. Die in diesem Dokument präsentierten Informationen stellen keine Verpflichtung seitens GFI Software dar, und für ihre Genauigkeit wird nach dem Datum der Veröffentlichung keine Garantie übernommen. Die Angaben in diesem White Paper dienen nur der allgemeinen Information. GFI Software übernimmt keine ausdrückliche oder stillschweigende Haftung für die in diesem Dokument präsentierten Informationen. GFI, GFI EndPointSecurity, GFI FAXmaker, GFI MailEssentials, GFI MailSecurity, GFI MailArchiver, GFI LANguard, GFI Network Server Monitor, GFI WebMonitor und die zugehörigen Produktlogos sind eingetragene Marken oder Marken von GFI Software Ltd. in den Vereinigten Staaten und/oder anderen Ländern. Alle hier aufgeführten Produkte und Firmennamen sind Marken der jeweiligen Eigentümer.