User Activity Monitoring geht nicht? Geht doch und muss sein.

Die bewährten Sicherheitskonzepte versagen. Die Überwachung von Benutzeraktivitäten könnte helfen. Aber was ist mit Datenschutz und Betriebsrat?

In den letzten Jahren sind immer mehr Lösungen auf den Markt gekommen, die User Activity Monitoring, Privileged Threat Analytics, Anomaly Detection und ähnlich gelagerte Herausforderungen adressieren oder zumindest versprechen zu adressieren. 

Während Lösungen für die Anomalieerkennung und ihre Weiterentwicklung zu Realtime-Security-Intelligence-Systemen auf der Netzwerkebene zunehmend populär sind, stoßen benutzerbezogene Analysemechanismen gerade in Deutschland und anderen Ländern mit relativ hohem Datenschutzniveau schnell auf Widerstand.

Martin Kuppinger,
KuppingerCole Research

Dabei ist ein Begriff wie „User Activity Monitoring“ sicher auch nicht förderlich für die Akzeptanz, weil er eine flächendeckende Überwachung impliziert, obwohl das nicht das Ziel sein darf und sollte. Grundsätzlich gilt aber: Solche Technologien sind wichtiger denn je. Und man kann sie, richtig gemacht, auch einführen und nutzen.

Die Grundidee dieser Lösungen ist es, die Aktivitäten von Benutzern zu analysieren und dabei ungewöhnliche Verhaltensmuster zu erkennen. Das ist heute wichtiger denn je, bei einem weiterhin hohen Risiko interner Angriffe und einer wachsenden Zahl und Komplexität externer Attacken. 

Bei internen Angriffen missbrauchen Benutzer typischerweise ihre vorhandenen (und benötigten) Berechtigungen. Sie verhalten sich also anders als bisher. Bei vielen der externen Angriffsszenarien, insbesondere bei gezielten, komplexen Angriffen (APT) geht es Angreifern zunächst darum, die Kontrolle über interne Benutzerkonten zu erlangen und diese dann für ihre Zwecke zu nutzen. Auch hier verändern sich die Nutzungsmuster dieser Konten.

Herkömmliche Sicherheitsansätze versagen hier konzeptionell: Die regelmäßige Überprüfung von Zugriffsberechtigungen in Form einer Rezertifizierung reicht nicht aus, um die missbräuchliche Nutzung von Berechtigungen durch interne Angreifer oder das „hijacking“ von Accounts durch externe Angreifer zu erkennen. 

Wenn ein Backup-Operator auf einmal zwei statt eines Backups macht, wenn ein Sachbearbeiter plötzlich in kurzer Zeit auf alle für ihn erreichbaren Kundendatensätze zugreift oder wenn ein Mitarbeiter aus der Entwicklung Konstruktionspläne, an denen er arbeitet, illegitim nach außen transferiert, reichen die vorhandenen Berechtigungen aus und sind per se auch gerechtfertigt. Hier geht es eben nicht darum zu erkennen, ob jemand mehr Berechtigungen hat als erforderlich, sondern ob er sie anders nutzt als bisher.

Diese Erkennung von abweichenden Nutzungsmustern erfordert spezielle Technologien, die historische mit aktuellen Mustern vergleichen, Anomalien identifizieren und dann eine weitere Analyse ermöglichen. Nicht jede Abweichung ist auch gleich ein Angriff. So kann es beispielsweise zum Ende des Wirtschaftsjahrs oder in Wartungsintervallen zu einer unüblichen Nutzung kommen. Gute Algorithmen lernen dazu und sind entsprechend konfigurierbar, um die Zahl der falschen Alarme schrittweise zu reduzieren.

Datenschutz und Betriebsrat

Auch wenn die Technologien offensichtlich Nutzen bringen können und unverzichtbar sind, bleibt dennoch das Problem des Datenschutzes bestehen. Lassen sich solche Technologien überhaupt einsetzen und bei Betriebsrat und Datenschützern durchsetzen? Grundsätzlich ja, wenn man es richtig macht.

Die Grundidee ist es, die Aktivitäten von Benutzern zu analysieren und dabei ungewöhnliche Verhaltensmuster zu erkennen.

Ein wichtiges Element ist die Information. Der Einsatz muss wohl überlegt und gezielt erfolgen, die Prozesse müssen durchdacht sein und Betriebsrat sowie Datenschützer müssen von Beginn an einbezogen werden.

Das zweite wichtige Element ist die richtige Technologie und ihre Umsetzung. Dabei spielt die Pseudonymisierung eine zentrale Rolle. Idealerweise werden Benutzer mit Pseudonymen gekennzeichnet und nur im Falle von festgestellten Anomalien über Klarnamen identifiziert. Diese Identifizierung kann dann beispielsweise auch in einem Vier-Augen-Prinzip erfolgen. 

Das Ziel muss sein, Anomalien erkennen und analysieren zu können, ohne dabei eine flächendeckende Arbeitnehmerüberwachung durchzuführen. Allerdings unterstützen viele der Produkte im Markt derzeit keine Pseudonymisierung. Die Alternative können feingranulare Berechtigungen und gut abgestimmte technische und organisatorische Prozesse sein, um einen Missbrauch der Lösungen zu verhindern.

Klar ist aber: Man kann heute zunehmend besser abweichende und damit potentiell kritische Verhaltensmuster identifizieren und damit die Risiken von Angriffen reduzieren – und das auch in einer Weise, die mit hohen Anforderungen an den Datenschutz und den Schutz der eigenen Mitarbeiter vereinbar ist.

Über den Autor:
Als Gründer und Principal Analyst, betreut Martin Kuppinger den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er bereits mehr als 50 IT-Bücher geschrieben und gilt als bekannter Kolumnist und Autor für technische Artikel und Rezensionen in einigen der renommiertesten IT-Zeitschriften in Deutschland, Österreich und der Schweiz. Martin Kuppinger ist ebenfalls ein etablierter Referent und Moderator bei Seminaren sowie Kongressen und besitzt einen Bachelor in Economics. 

Sein Interesse an Identity Management stammt aus den 80er Jahren, als er viel Erfahrung in der Entwicklung von Software-Architekturen sammeln konnte. Im Laufe der Jahre kamen weitere Forschungsfelder wie Virtualisierung, Cloud Computing, allgemeine IT-Sicherheit und vieles mehr hinzu. Durch sein Wirtschaftsstudium gelingt es ihm, seine IT-Kenntnisse mit einer starken Business-Perspektive zu verbinden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close