Suchen

Protokolle zur Kontrolle Enterprise Fraud Management – Überwachung interner Aktivitäten

Autor / Redakteur: Stephan Sippel, Attachmate / Stephan Augsten

Insider-Delikte gehören zu den am schnellsten wachsenden Fällen in den Kriminalstatistiken. Die Herausforderung besteht in einem lückenlosen Auditing aller relevanten Aktivitäten, ohne die Persönlichkeitsrechte der Mitarbeiter zu verletzen. Einen Ansatz liefert die differenzierte Echtzeit-Überwachung auf Applikationsebene.

Firma zum Thema

Verstohlen: Meist ist es schwierig, interne Sicherheitsverstöße umfassend aufzudecken.
Verstohlen: Meist ist es schwierig, interne Sicherheitsverstöße umfassend aufzudecken.
( Archiv: Vogel Business Media )

Wenn Unternehmen den Diebstahl vertraulicher Informationen, unrechtmäßige Geldkontenbewegungen, Missbrauch von Identitäten und ähnliches zu beklagen haben, stecken sehr oft eigene Mitarbeiter dahinter. In einschlägigen Kreisen nennt man diese Angriffe auch Insider-Delikte oder Enterprise Frauds.

Der Angriff von innen ist die vielleicht am gröbsten vernachlässigte Bedrohung für Unternehmen. Mitarbeiter in Vertrauenspositionen manipulieren Zahlungen, geben geheime Informationen gegen Bares weiter, missbrauchen Identitäten oder Benutzerkonten, verstoßen gegen Compliance-Regeln oder sabotieren das Unternehmen anderweitig.

Das Heimtückische daran: derartige Vorgänge bleiben in der Regel sehr lange unentdeckt. Aktuelle Untersuchungen, wie sie etwa der amerikanische Secret Service kürzlich veröffentlicht hat, nennen Größenordnungen von mehr als einem Jahr. Fliegt die Sache schließlich auf, beginnt eine ebenso schwierige wie langwierige Spurensuche. Meist gelingt es bestenfalls partiell, dem Übeltäter sein Vergehen rechtsrelevant nachzuweisen, beziehungsweise ihn überhaupt eindeutig zu identifizieren.

Viele Unternehmen handeln erst, wenn ein Fall kritisch oder an die Öffentlichkeit getragen wird. Eine gängige Methode ist die analytische Auswertung von Protokolldateien, Log-Files und ähnlichen Informationen. Bei lange zurückliegenden Ereignissen stoßen aber selbst modernste Computer-forensische Analysen an ihre Grenzen – Legacy-Systeme aus der Terminal-Host-Welt bieten sogar so gut wie gar keine Ansätze, die Spuren der Benutzer gesichert zurückzuverfolgen.

Ein weiteres Problem besteht darin, die Inhalte der Log-Files in eine aussagekräftige und rechtsverbindliche Form zu bringen. Listen aus Protokollkürzeln, kryptischen Parameterwerten und maschineninternen Benutzer- und Servicebezeichnungen in eine klar interpretierbare, nachvollziehbare Präsentation zu bringen, funktioniert wenn überhaupt nur mit sehr hohem Zeitaufwand.

Seite 2: Aktiver Ansatz per Enterprise Fraud Management (EFM)

Aktiver Ansatz per Enterprise Fraud Management (EFM)

Einen weitaus effizienteren Weg, dieses Problem zu lösen, versprechen EFM-Systeme. Hier werden in Echtzeit alle Interaktionen in Web-Sessions und Firmen-Applikationen protokolliert. Wie bei einer Videoaufzeichnung lassen sich bei Bedarf bestimmte Sitzungen abspielen, so als blickte der Auditor über die Schultern des betreffenden Users.

Mit einem solchen Audit-Trail lässt sich klar und transparent nachweisen, wer wann was mit welcher Anwendung gemacht hat. Weitere Unterstützung für Auswertungen bieten Suchfunktionen, über die sich auch archivierte Protokoll-Informationen im Stile von Suchmaschinen nach bestimmten Schlüsselbegriffen durchforsten lassen.

Die technische Realisierung läuft über Sensoren, die mit dem Monitor-Port der Netzwerk-Switches verbunden werden. Jeder Switch verfügt über ein solches zentrales Überwachungs-Port, das den gesamten Switch-Verkehr beobachtet. Die Sniffer-ähnliche Software kann auf einem PC installiert sein.

Neben der Datensammlung übernimmt sie bereits eine Art Vorfilterung, bevor sie ihre Informationen an einen zentralen Server zur Konsolidierung, Koordination und weiteren Auswertung hinsichtlich Regeln und Ereignissen schickt. Lösungen wie beispielsweise das neue „Luminet“ von Attachmate binden zusätzlich noch einen Archiv- und einen Reporting-Server mit ein, wo Vorgänge je nach Situation gespeichert werden. An den Switches ist neben der reinen Anbindung keinerlei Installation erforderlich.

Für jeden Fall gerüstet

Bei den Sensoren ist es wichtig, dass sie alle im Unternehmen eingesetzten Applikationen und Kommunikationsprotokolle unterstützen. Hierzu zählen nicht nur TCP/IP-, MQ-Series-, MSMQ- und SMB-Verkehr von Client-/Server-Anwendungen sowie HTTP/HTTPS der Web-Sessions, sondern auch Emulationen wie 3270 und 5250 (IBM), T27 (Unisys), 6680 (Fujitsu) und VT (Unix-Welt).

Marktuntersuchungen verschiedener Institute belegen, dass auch heute noch mehr als 80 Prozent der firmenkritischen Daten weltweit auf Mainframes liegen. Dort werden sie mithilfe traditioneller Host-Applikationen und -Protokolle bearbeitet. Diese Anwendungen sind zum Teil aber zum Teil über 20 Jahre alt. Deshalb verfügen sie meist über keinerlei Auditing-Funktionen und bieten somit auch keine Hilfe für einen lückenlosen Nachweis aller Benutzerzugriffe auf sensible Informationen.

Im Hinblick auf heutige Compliance-Anforderungen sollte dieses kritische Manko von der EFM-Lösung in besonderem Maße adressiert werden. Mit ins Überwachungsportfolio gehören auch SQL- und FTP-Zugriffe. Im Idealfall lassen sich darüber hinaus weitere Anwendungskommunikations-Protokolle frei konfigurieren.

Die Methode, Datenströme auf Applikationsebene zu überwachen, bindet alle Mitarbeiter des Unternehmens in gleicher Weise mit ein. Weder Geschäftsführer noch IT-Administratoren („Privileged User“) haben irgendwelche Sonderrechte, sobald sie eine entsprechende Applikation nutzen. Administratoren bleiben bei ihrer Arbeit mit Tools, die ihre Rechte etwa aus Active Directory beziehen, komplett unberührt. Auf Applikationen mit firmenkritischen Daten haben sie in der Regel ohnehin kein Konto – und wenn, greift dort automatisch die EFM-Überwachung.

Seite 3: Persönlichkeitsrechte und Datenschutz sicherstellen

Persönlichkeitsrechte und Datenschutz sicherstellen

Wenn es um „lückenlose Aufzeichnung“ geht, entsteht schnell der fade Beigeschmack von totaler Überwachung á la Big Brother. Damit hätten entsprechende Lösungen weder beim Gesetzgeber noch beim Betriebsrat eine Chance. Daher setzen EFM-Lösungen nicht auf die Überwachung von Benutzern, sondern auf das Audit von Applikationen.

Standardmäßig erfolgt die Datensammlung in den Sensoren hier sogar völlig anonymisiert. Erst bei einem Verstoß im Umgang mit den Applikationen erfolgt eine Alarmmeldung an das IT- oder Fraud-Management – auf Wunsch auch gleichzeitig an den Betriebsrat.

Was konkret einen Verstoß darstellt, ist von Unternehmen zu Unternehmen sehr unterschiedlich. Beispielsweise erlauben manche privates Surfen oder/und Telefonieren – manche nicht. Entsprechende Policies müssen in der EFM-Lösung hinterlegbar sein. Hilfreich ist auch ein Satz an Standard-Regeln, deren Bruch immer sofort die Alarmglocken klingeln lassen.

Verdächtige Ereignisse könnten beispielsweise sein, wenn ein Mitarbeiter eine verborgene Regel ändert, sich mit verschiedenen Nutzeridentitäten vom gleichen Terminal aus anmeldet oder wenn z.B. ein Sachbearbeiter ohne Bezug zu einem Kunden einfach dessen Adresse ändert. Solche und eine Liste weiterer Aktionen sollte sofort von der EFM-Lösung erkannt werden, um mögliche Regelverstöße einkreisen zu können.

An den Sensoren sollte sich möglichst differenziert festlegen lassen, welche Kommunikationsprozesse aufgezeichnet werden. Web-Sessions mit externen Web-Servern sind in der Regel für das interne Fraud-Management irrelevant, Sessions mit einem Unternehmens-Server hingegen sollten sehr wohl protokolliert werden. Auch sehr spezielle Vorgaben – zum Beispiel protokolliere alle Telnet-Sessions an Switch x, Port n – lassen sich bestenfalls vorgeben. Die Privatsphäre an den PCs bleibt unangetastet – zumindest solange User ihre Dateien nicht auf einem überwachten Kanal verschicken.

Das vielleicht effektivste Instrument zur Sicherstellung der Privatsphäre ist ein fein abgestuftes Berechtigungskonzept. Es legt detailliert fest, wer auf welche Informationen des EFM zugreifen darf. Im Sinne der Wahrung der Privatsphäre haben sich insbesondere auch Auswertungen bewährt, die über ein geteiltes Passwort geschützt sind. Im Falle eines Alarms könnten beispielsweise Geschäftsführung und Betriebsrat simultan benachrichtigt werden. Der Zugriff auf die personalisierte Auswertung ist nur möglich, wenn beide Parteien ihren Anteil am Passwort eingeben.

Resümee

EFM-Systeme sind unverzichtbare Helfer, wenn es darum geht, geschäftliche Risiken, finanzielle Verluste, nicht bestandene Audits und Imageschäden zu verhindern. Ihre große Stärke sind ihre umfassenden Analysefunktionen.

Mit ihrer Hilfe sind Compliance-Auditoren und Betrugsspezialisten in der Lage, innerhalb eines funktionsstarken Fallbearbeitungssystems Benutzeraktivitäten in Echtzeit zu analysieren, Anwendungs-Screens aufzuzeichnen und wiederzugeben sowie verdächtige Verhaltensmuster zu erkennen.

Die interaktiven Werkzeuge erkennen zudem Muster und Trends über mehrere Abteilungen und Anwendungen hinweg. Mit dieser Erkenntnislage lassen sich die Aktivitäten lückenlos zueinander in Beziehung setzen, um im Falle eines Falles entschieden und bei gesicherter Faktenlage eingreifen zu können.

Stephan Sippel ist Sales Manager Security & Integration Solutions für Zentral- und Osteuropa bei Attachmate.

(ID:2051578)