Schutz von geistigem Eigentum »Der Feind kommt von innen«

Steuerungselektronik entscheidet zunehmend über den Produkterfolg - kein Wunder, dass das dahintersteckende geistige Eigentum immer stärker ins Visier von Spionen und Kriminellen gerät. Doch Vorsicht: Die Mehrzahl der Angriffe erfolgt von innen. Was sich dagegen tun lässt, haben wir Sven Erik Knop, Senior Technical Specialist bei Perforce Software, gefragt.

DESIGN&ELEKTRONIK: Herr Knop, aus welchem Grund steigt das Risiko durch Innentäter?

Sven Erik Knop: Der Grund liegt in aktuellen Industrietrends und den damit einhergehenden organisatorischen Änderungen. Aktuelle Diskussionen wie das Internet der Dinge oder Industrie 4.0 stärken den Wettbewerbsfaktor Elektronik weiter und machen deren Qualität zu einem Alleinstellungsmerkmal. Entwickler arbeiten immer intensiver zusammen, um die mit diesem Trend verbundenen Erwartungen und Anforderungen zu erfüllen. Ehemals separierte oder sequenzielle Abläufe werden miteinander verknüpft und parallelisiert, um die Produktivität und Geschwindigkeit zu erhöhen, ohne Abstriche bei der Qualität machen zu müssen, sondern diese im Gegenteil sogar noch weiter zu erhöhen.

Inwiefern erhöhen diese Änderungen die Angreifbarkeit geistigen Eigentums?

Um die für die neuen Prozesse nötigen technischen Voraussetzungen zu schaffen, speichern die Unternehmen ihre Assets wie Quellcode-Dateien, CAD-Pläne, Dokumentationen etc. immer häufiger in einem zentralen Repository. Alle »Kronjuwelen« an einem zentralen Ort aufzubewahren erhöht jedoch das Risiko, zum Opfer eines Spionageangriffs zu werden. Welcher Konkurrent oder Staat hätte nicht gerne Zugriff auf das Tafelsilber deutscher Weltmarktführer?

Aber solche Systeme sind doch heute schon besonders abgesichert …

Das stimmt nur teilweise, denn es reicht nicht aus, solche zentralen Referenzbestände aller wertvollen Assets allein gegen Angriffe von außen abzuschirmen, wie es die Sicherheitsmechanismen der Unternehmen in der Regel tun. Schließlich ist die Gefahr von innen erheblich größer. So schätzt das Bundesamt für Verfassungsschutz im Bereich Wirtschaftsspionage das Verhältnis zwischen Angriffen von innen zu solchen von außen auf 70 zu 30! Mitarbeiter oder Partner und Auftragnehmer können zu Wirtschaftsspionen werden, weil sie unzufrieden sind oder sich für eventuelle Kränkungen, ob diese nun real geschehen sind oder nur so empfunden wurden, rächen wollen. Freilich spielt auch Gier in diesem Zusammenhang eine gewichtige Rolle. Diese allzu menschlichen Motive lassen sich einfach nicht aus der Welt schaffen.

Wo können Unternehmen dann ansetzen, um ihr geistiges Eigentum besser zu schützen?

Allgemein gesprochen geht es darum, Spionageversuche am Verhalten zu erkennen. Menschliche Entscheidungsprozesse können mit Mitteln der Statistik beobachtet, gemessen und sogar vorhergesagt werden. Voraussetzung ist allerdings, dass diese Prozesse gemäß den einzigartigen Entscheidungsfindungsmustern jeder einzelnen Person und nach Maßgabe von Risikotoleranzgrenzen nachverfolgt werden. Moderne Bedrohungserkennung nutzt daher fortgeschrittene mathematische Verfahren, um diese Voraussetzung zu erfüllen. Sie identifiziert das Verhaltensmuster, das von der Norm abweicht, und ermittelt die Wahrscheinlichkeit, mit der diese Abweichung ein Risiko darstellt. Einzelne Abweichungen werden umso höher gewichtet, je mehr sie in Zusammenhang mit anderen Anomalien in Verbindung mit denselben Entitäten wie Anwendern, Entwicklungsprojekten, Assets usw. stehen. Zu diesen Anomalien zählen etwa der Zeitpunkt der Aktivitäten, deren Menge oder Datenbewegungen. Bild 1 zeigt ein Beispiel dafür.

Sie sprechen also von verschiedenartigen Risiken, die zu berücksichtigen sind?

Genauso ist es. Verhaltensanalysen bewerten die Risiken hinsichtlich des Verhaltens und die Risiken in Bezug auf Entitäten. Beide mathematischen Verfahren beeinflussen einander, sodass die Risikomodelle zum Verhalten auch die beteiligten Entitäten beinhalten. Umgekehrt werden die Risikowerte der Entitäten von riskanten Verhaltensweisen beeinflusst, an denen sie beteiligt sind. Wenn zum Beispiel ein Anwender eine bestimmte Datenmenge eines Projekts entwendet, wird dieses Volumen mit denjenigen verglichen, die dieser, aber auch ähnliche Anwender im historischen Vergleich üblicherweise abrufen. Die dadurch entstehenden Vergleichspunkte verfeinern die Risikobewertung des Verhaltens. Bild 2 soll dies verdeutlichen.

Könnten Sie das bitte an einem Beispiel erläutern?

Angenommen, ein Anwender wird beim Zugriff auf ein wichtiges Entwicklungsprojekt beobachtet, das er – gemessen an seinem historischen Zugriffsverhalten – normalerweise nicht aufruft. Außerdem greifen seine Kollegen ebenfalls nicht auf das Projekt zu. Zwar stellt diese Aktion schon ein Verdachtsmoment dar, doch könnte sie einen falschen Alarm auslösen, wenn sie nur isoliert betrachtet würde. Schließlich wäre es ja auch möglich, dass der Ingenieur vor kurzem eine neue Rolle oder Aufgabe übernommen hat. Doch was wäre, wenn er eine Datei zu einer Tages- oder Nachtzeit aufruft, zu der er niemals zuvor gearbeitet hat, wenn er darüber hinaus auf Dateien aus einem anderen, seit Monaten inaktiven Projekt zugreift und wenn das bewegte Datenvolumen aus den verschiedenen Projekten ungewöhnlich hoch ist? Je mehr eine Entität in kurzer Zeit Ereignisse mit einem hohen Risikowert erzeugt, desto geringer ist die Wahrscheinlichkeit, dass es sich um Zufall oder einen falschen Alarm handelt.

Aber den letzten Beweis bleibt eine Verhaltensanalyse dann dennoch schuldig?

Alarme, die von Werkzeugen zur Verhaltensanalyse ausgelöst werden, liefern immer nur Hinweise – begründete zwar, aber keine Beweise. Es könnte ja auch sein, dass Spionagesoftware auf dem Rechner eines Ingenieurs ohne dessen Wissen ihr Unwesen treibt.

Sind wir dadurch nicht auf dem besten Weg, dass ein Unternehmen ein totalitärer Überwachungsstaat wird? Ist das mit deutschem Recht überhaupt vereinbar?

Ich würde mich unwohl fühlen in einer Welt, in der eine Software Menschen anklagen und überführen würde. Außerdem dürfen solche Lösungen nach deutschem Recht nicht als Kontrollinstrument für die Produktivität und Arbeitsweise des einzelnen Mitarbeiters missbraucht werden. Die Verhaltensanalysen müssen folglich so anonymisiert sein, dass selbst bei starken Verdachtsmomenten eine Identifizierung nicht unmittelbar möglich ist. Entsprechende Vereinbarungen mit dem Betriebsrat, wie in solchen Fällen mit der Aufhebung der Anonymität umzugehen ist, sind auf jeden Fall einzuhalten und dürfen nicht von den Lösungen unterlaufen werden.

Und auf Basis welcher Daten bewerten solche Werkzeuge das Verhalten?

Sicherheitslösungen, die Innentäter durch Verhaltensanalysen aufspüren können, benötigen Metadaten, welche die Handlungen der Mitarbeiter zeitlich und inhaltlich nachvollziehbar machen. Wer hat wann worauf zugegriffen und was damit gemacht? Das sind die wesentlichen Fragen, die zu beantworten sind. Setzen Unternehmen Versionsmanagementsysteme zur Verwaltung ihres geistigen Eigentums ein, ist der Grundstein für die Beantwortung dieser Fragen bereits gelegt. Denn solche Systeme müssen ohnehin alle für die Verhaltensanalyse relevanten Daten erheben, um ihre Aufgaben überhaupt erfüllen zu können. In Kombination mit diesem Datenreservoir sorgt die Verhaltensanalyse dafür, dass das geistige Eigentum den Spionageversuchen von Innentätern nicht mehr schutzlos ausgeliefert ist. Und allein schon das Wissen, dass solche Lösungen im Unternehmen existieren und zum Schutz der sensiblen Assets eingesetzt werden, dürfte viele potenzielle Bösewichte davon abhalten, in Versuchung zu geraten.

Herr Knop, wir danken Ihnen für das Gespräch. 

Das Interview führte Ralf Higgelke.