Der VPN-Zugang, der vergessen wurde

Das ist Ronald. Nein, Ronald hat nicht, wie unser Foto vermuten lässt, am helllichten Tage und mitten im Büro Datendiebstahl begangen. Er hat es geheim gemacht, indem er eine Sicherheitslücke in seinem Unternehmen ausnutzte. Warum er es gemacht hat? Vermutlich, weil er es konnte. Wir schauen uns an, wie leicht ein Mitarbeiter zum Insider Threat werden kann, und wie Sie sich vor den Ronalds in Ihrem Unternehmen schützen können.

Es war einmal …

Ronald ist Mitarbeiter in der Entwicklungsabteilung eines mittelständischen Unternehmens. Seine Oma Erna ist begeisterte Pilzsammlerin und bricht sich ein Bein, als sie im Wald an einer Baumwurzel hängenbleibt. Ronald möchte sich gerne um seine Großmutter kümmern und fragt seinen Arbeitgeber, ob er für ein paar Wochen aus dem Home Office heraus arbeiten kann.

Normalerweise bietet das Unternehmen diese Option nicht an, aber da alle Ronald sehr gerne mögen und er schon viele Jahre im Unternehmen ist, macht man für ihn eine Ausnahme. Die IT-Abteilung richtet Ronald also einen VPN-Zugang ein, damit er von seinem privaten PC von zu Hause aus arbeiten kann.

Nach vier Wochen ist Erna wieder genesen und Ronald kann an seinen regulären Arbeitsplatz in der Firma zurückkehren. Dummerweise hat sein Vorgesetzter vergessen, die IT-Abteilung darüber zu informieren, dass Ronald wieder da ist und seinen VPN-Zugang nicht mehr benötigt.

Der Vorgesetzte handelt nicht in böser Absicht. Sein Fokus liegt vielmehr darauf, seinen Mitarbeiter so schnell wie möglich auf den aktuellen Stand des Projekts zu bringen, an dem er und seine Kollegen gerade arbeiten.

Außerdem ist er privat gerade mit dem Spengler beschäftigt, der die Dämmung am Rohbau falsch angebracht hat. Ronalds VPN-Zugang, der eigentlich wieder entzogen werden müsste, hat in den Gedanken seines Vorgesetzten gerade also keinen Platz.

Büro Mitarbeiter stiehlt Dokumente.
Datendiebstahl geschieht selten so offensichtlich, wie auf unserem Beispielbild. Adobe Stock, (c) Elnur

Wie das Leben so spielt

In den folgenden Wochen kommt es immer wieder zu Meinungsverschiedenheiten zwischen Ronald und seinem Vorgesetzten. Dieser ist dünnhäutig, weil nach dem Spengler jetzt auch noch der Installateur Mist gebaut hat, und sich das Einzugsdatum schon wieder verschiebt. Ronald hingegen ist schon länger der Meinung, dass man ihn im Unternehmen nicht genug wertschätzt.

Eine erfolglose Gehaltsverhandlung und das attraktive Angebot einer Konkurrenz-Firma bringen den Stein ins Rollen: Ronald, der eigentlich nie böse Absichten hatte, beginnt damit, einen Teil seiner Arbeitsergebnisse unerlaubt aus dem Unternehmen zu entwenden. Er möchte diese für einen guten Start bei seinem neuen Arbeitgeber nutzen.

Und wie geht Ronald vor? Der Transfer per USB-Stick ist nicht möglich, da die Device Control der Endgeräte dies verhindert. Der Versand per E-Mail erscheint ihm ebenfalls zu riskant. Allerdings hat Ronald, anders als sein Vorgesetzter und die IT-Abteilung, den VPN-Zugang, der ihm vor einigen Monaten eingerichtet wurde, nicht vergessen.

Wie spätere Untersuchungen der Logdateien zeigen, kopiert Ronald in den kommenden Wochen vertrauliche Daten über diese VPN-Verbindung auf seinen Heim-PC. Darunter, unter anderem, CAD-Zeichnungen und Kalkulationen von unveröffentlichten Produkten seines Arbeitgebers.

Der finanzielle Schaden für die Firma hätte sich im mehrstelligen Millionenbereich bewegt, wäre die Sache nicht aufgrund einer Indiskretion Ronalds gegenüber einem neuen Kollegen aufgeflogen. Die Folge: Ronald wird noch in der Probezeit wieder entlassen und erwartet jetzt ein Gerichtsverfahren. Denn Datendiebstahl durch Mitarbeiter ist kein Kavaliersdelikt.

Und die Moral von der Geschicht?

Daten stehlen lohnt sich nicht! Aber Unternehmen, die sich darauf verlassen, dass IT-Abteilung und Vorgesetzte sämtliche Workflows konsequent und fehlerfrei durchführen, werden immer ein Problem mit potenziellen Ronalds haben.

Im konkreten Fall wäre selbstverständlich die Aktivierung einer entsprechenden Policy oder der DLP-Funktion in der VPN-Software zwingend erforderlich gewesen und hätte diese spezifische Sicherheitslücke geschlossen. Es gibt aber weitaus mehr mögliche Einfallstore für unberechtigten Zugriff. Hier nur einige Beispiele:

  • Nutzung von Anwendungen oder Berechtigungen, die aufgrund früherer Tätigkeiten in anderen Abteilungen weiterhin bestehen.

  • Verwendung von Benutzerkonten von Kollegen, die bereits aus dem Unternehmen ausgeschieden sind.

  • Nutzung von Projektberechtigungen oder anderen temporären Rechten, die nicht entfernt wurden.

Zuverlässigen Schutz vor solchen Situationen bietet lediglich das Least-Privilege-Prinzip, das besagt: „Jeder soll nur genau die Berechtigungen haben, die für seine Tätigkeit betrieblich notwendig sind“.

Die Berechtigungsmanagement-Software tenfold teilt sämtliche Standardberechtigungen vollautomatisch nach dem Least-Privilege-Prinzip zu und entzieht diese wieder, wenn sie nicht mehr notwendig sind.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Nele Nikolaisen

Nele Nikolaisen ist Spezialistin für Conversion-Content und Suchmaschinenoptimierung. Außerdem ist sie Bücherfreundin mit Thomas-Mann-Faible, Cineastin mit Horror-Spleen und leidenschaftliche Kuriositätensammlerin.