Edward Snowden: „Vertrauen und Kontrolle“ waren nicht ausbalanciert

Oliver Stone hat die Geschichte Edward Snowdens ins Kino gebracht. Man kann von Snowdens Handlungen halten, was man will – hier sollen nur am Beispiel des Snowden-Vorfalls Lehren gezogen werden, wie sich Organisationen vor großen Schäden durch einen Insider schützen können. Insbesondere möchte ich Ihnen mögliche Verbesserungen Ihrer Sicherheitsvorkehrungen aus der Perspektive eines Anbieters von Lösungen für Identity & Access Management vorstellen.

Ich möchte in diesem Blog mit dem menschlichen Faktor beginnen, anstatt sofort die technologischen Aspekte aufzurollen.

1Technische Sicherheitskontrollen halten ein motiviertes Individuum nicht davon ab, sich der „dunklen Seite“ zuzuwenden. Individuen verfügen vielleicht über eine mentale Prädisposition für die Art zu handeln. Oder sie werden extrem von Umweltfaktoren beeinflusst, wie Nötigung, Erpressung oder Armut. Daher wenden Behörden bei der Überprüfung von Mitarbeitern oft ein Modell an, das Hintergrundchecks (hat die Person als Teenager gestohlen, hat sie viele Schulden u.ä.) und psychologische Test kombiniert. Damit sollen potenziell abweichenden Verhaltenstendenzen der zu beurteilenden Person aufgezeigt werden.

Aber Verhalten ist beeinflussbar. Abschreckung eignet sich sehr gut dafür. Abschreckende Maßnahmen können den Entschluss einer Person ins Wanken bringen und eine kompromittierende Situation vermeiden. Sie können eine Person zum Zweifeln bringen und sie die Situation neu bewerten lassen, wodurch sie das ideale Zeitfenster verpassen. Sie können dafür sorgen, dass jemand vom idealen Angriffsvektor abschwenkt und einen anderen, weniger idealen einnimmt. Dadurch bekommt man mehr Zeit und Gelegenheit, sich einen Überblick zu verschaffen, eine Untersuchung durchzuführen und den Angreifer aufzuspüren.

Wir sollten daher den Wert von abschreckenden Maßnahmen nicht unterschätzen. Natürlich nimmt auch Technologie eine Rolle beim Snowden-Vorfall ein, wie wir weiter unten sehen werden.

Zu viele Privilegien – zu viele Versuchungen

Ganz egal, wie sehr Sie Ihrer 10-jährigen Tochter vertrauen, Sie würden ihr nicht die Schlüssel zu Ihr2em Auto geben. Im Fall von Snowden bekam der Whistleblower Top Secret Clearance, später sogar Top Secret + “Systemadministrator.” Vertrauen und Über-Vertrauen. Ersteres ermöglichte den Zugriff auf etliche, als geheim eingestufte Informationen. Aber Snowden war Systemadministrator und konnte auf JEDEN Server zugreifen, JEDE Applikation ausführen und JEDE Datei ansehen.

Seine Rolle und seine Privilegien waren so hoch angesiedelt, dass seine Aktivitäten zum größten Teil nicht auditiert worden. Und da er aus der Ferne arbeitete (5.000 Meilen entfernt auf Honolulu), konnten seine Aktivitäten auch nicht physisch überwacht werden.

In jeder Vertrauenskette wird man von jemanden überwacht, der wiederum von jemandem überwacht wird, und so weiter und so fort. Aber was passiert am Ende der Kette? Auf Snowdens Vertrauensebene sollte man sich selbst kontrollieren. Es gab, wenn überhaupt, nur wenig gegenseitige Kontrolle. Da liegt das Problem. Vertrauen darf nicht absolut sein. Vertrauen muss mit Kontrolle kombiniert werden. Beim Snowden-Vorfall fehlte die Kontrolle.

Es ist schon ironisch, dass die Migration von sensiblen Daten in eine sicherere Umgebung eine seiner Aufgaben war. Was für ein Rezept der Versuchung: unkontrollierter Zugriff, Mangel an Mechanismen der Überwachung und seine Desillusionierung.

Wie moderne Technologie bei der Abschreckung helfen kann

Vor einigen Jahren hat sich ein Kollege von mir zwei Überwachungskamera-Attrappen mit realistisch blinkenden roten LEDs und eine Alarm-Attrappe für sein Haus gekauft. Sein Ziel war es, Gelegenheitsdiebe und Randalierer abzuschrecken. Schnell, günstig und keine Wartung erforderlich. Zielstrebigere Einbrecher werden natürlich die „Verteidigung“ umgehen und versuchen, alternative Wege hinein zu finden, auch mit dem Risiko, die schnelle „rein und raus“ Gelegenheit zu verlieren.

3Im Fall von Snowden oder bei anderen Insider-Tätern hätte die Implementierung von Session Recordings auf Proxy- oder Host-Level und eine Benachrichtigung über die Aufzeichnung einen ähnlich abschreckenden Effekt. Genauso, wie die Information darüber, dass Login Sessions des Anwenders jederzeit live in Echtzeit selektiv von der Sicherheitsaufsicht oder Prüfkapazitäten gemonitored werden können – ohne vorhergehende Warnung des Beobachteten. Die Aufseher müssen allerdings nicht permanent die Handlungen der Anwender überwachen. Allein das Wissen, beobachtet zu werden, reicht aus (obwohl das natürlich kein optimales Verfahren ist).

Kombiniert man nun solche Abschreckungsmaßnahmen mit besseren Zugriffkontrollen, erhält man einen starken Schutz. Die naheliegendste Kontrolle ist rollenbasierte Zugriffskontrolle. Realistisch gesehen muss NIEMAND auf jeden Server zugreifen, jede Applikation ausführen oder Dateien im Netzwerk öffnen können. Daher wird mit Rollen festgelegt, was jeder Anwender tun darf. Wenn der Job des Anwenders nicht erfordert, dass er sich mit Server X verbindet oder sudo files editiert, dann werden seine Versuche, das zu tun, geblockt. Und im Idealfall auch aufgezeichnet und gemeldet.

Dieses Modell passt gut zu dem verwandten Konzept des “Least Privilege”.  Dieses Konzept ist heute ein elementarer Bestandteil von vielen Regulierungen und Richtlinien wie NSA’s Methodology for Adversary Obstruction, PCI-DSS, NIST 800-53, SANS Institute CIS Critical Security Controls. Bei diesem Modell würde sich jemand wie Snowden nicht als „Administrator“ oder „Root“ einloggen, sondern mit einer einzigartigen ID, die komplett auditiert wird und mit ihm/ihr verknüpft ist.

Damit kann er Routinetätigkeiten durchführen wie Emails abrufen oder eine Word-Processor-App laufen lassen. Aber wenn er sensible Dateien öffnen oder eine sensible Applikation starten will, kann er das nur, wenn ihm eine Rolle zugewiesen ist, die eine temporäre Erhöhung seiner Zugriffsrechte erlaubt. Zudem kann „Least Privilege“ auch so eingerichtet werden, dass eine derartige Erhöhung der Zugriffsrechte bei einem Verantwortlichen angefragt werden muss. Und sie wird selbstverständlich protokolliert. Nachdem die Aufgabe erledigt ist, werden die Zugriffsrechte wieder eingeschränkt.

Ist ein derartiges System erst einmal eingerichtet, können Organisationen Anfrage- und Gewährungsmechanismen rund um ausgewählte privilegierte Aktivitäten für alle Mitarbeiter durchsetzen. Mit der Übersicht aktiver Sessions im Portal Dashboard kann der Verantwortliche für Genehmigungen die Sitzungen von Mitarbeitern wie Snowden in Echtzeit beobachten. Diese zweite Person, die eine Zugriffsanfrage gewährt, ist auch eine weitere Abschreckungsmaßnahme. Sie übt einen psychologischen Effekt auf die Mitarbeiter aus: Sie wissen jetzt, dass ihre Aktivitäten sichtbarer sind und möglicherweise genauestens überprüft werden.

DR;TL (Didn’t read, too long) – die Kurzzusammenfassung

Rückblickend betrachtet hätte eine effektive Risikominimierung mit „Menschen“ und „Technologien“ verhindert, dass Snowden so viele Informationen in seinen Besitz bringen konnte.

Technologie: Durchsetzen von Rollen + temporäre Erhöhung von Privilegien, um den Rahmen einzuengen (Least-Privilege-Verfahren)

Menschen: Abschreckung – kennzeichnen, dass Session auditiert und aufgezeichnet wird. Zudem erfordern sensible Aktionen explizit menschliche Freigaben und können in Echtzeit beobachtet werden.

Um mehr über Centrify’s Lösungen für Privileged Access Security zu lernen, klicken Sie hier.