NSA: Systemadministratoren im Fokus

Edward J. Snowden hat nicht nur eine Debatte über die Überwachungspraktiken von Regierungsbehörden ausgelöst. In den USA fragt man sich jetzt: Kann man IT-Mitarbeitern  vertrauen? Laut New York Times hat N.S.A.-Direktor, General Keith B. Alexander, Bedenken geäußert. Er wird daher eine „Zwei-Mann-Regel“ einführen, so dass es für die Mitarbeiter schwieriger wird, auf Daten in Klarschrift zuzugreifen. Die Regel verlangt eine zweite Überprüfung, wenn jemand auf sensible Daten zugreifen will.

Die Einsicht kommt für den N. S. A. ein bisschen zu spät: IT-Administratoren waren schon immer entscheidende Faktoren, um ein System am Laufen zu halten und haben meistens Zugang zu allem. Sie sitzen an der idealen Stelle, wenn jemand heikle Daten abgreifen oder höhere Beamte bzw. Manager erpressen möchte. Eric Chiu, Präsident von Hytrust, einer Computer-Sicherheits-Firma fasst es so zusammen: “Am beängstigensten sind die Systemadministratoren. Sie haben gottähnlichen Zugang zu den Systemen, die sie verwalten!“ Snowden konnte sich also als Systemadministrator ungestört bedienen und hat nun die Daten, um den Überwachungsskandal der N. S. A. aufzudecken. In den USA findet man übrigens die Maßnahme des N. S. A. gut, aber viele IT-Experten wie auch Geheimdienstler sehen darin keine langfristige Lösung. Denn sie ist nur soweit verlässlich, in wie weit man einer Person vertrauen kann.

Dass das Rampenlicht nun auf die Systemadministratoren fällt, ist höchste Zeit. Sie sind oft die Menschen mit dem weitestgehenden Wissen über die Computer-Netzwerke ihres Arbeitgebers; sie werden nicht umsonst als „Super-User“ bezeichnet. Sie wissen viel und können daher viel verraten. Aus diesem Grund sind die Anbieter von sogenannten sicheren Cloud-Systemen ebenso für Insidermissbrauch anfällig wie alle anderen Unternehmen, was etliche Datenskandale (Dropbox, Toyota, Google Checkout etc) bewiesen. Man versucht die Befugnisse der Administratoren meist organisatorisch zu beschränken: Doch auch mit mehr als der „Zwei-Mann-Regel“ bleibt der Systemadministrator eine Schwachstelle, solange er Zugang zu den datenverarbeitenden Servern voll  lesbarer Daten hat.  Fazit der IT-Experten ebenso wie der Geheimdienstler in den USA: “Am Ende des Tages gibt es keinen Weg einen Insider zu stoppen, wenn er etwas Unrechtes plant.“ (Simkins)

Dass man dagegen aber etwas tun kann, beweist die Sealed Cloud Technologie, die in Deutschland entwickelt wurde und im Rahmen des Trusted Cloud Projekts vom BMWi als Basistechnologie von einem Konsortium aus dem IT-Sicherheits-Unternehmen Uniscon GmbH, Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) und der SecureNet GmbH weiterentwickelt wird. Mit dieser Technologie wird der Systemadministrator vom System selbst ausgeschlossen – das nennt sich „Betreibersicherheit“. Eine Erfindung vom Team des Privacyblog-Autors Dr. Hubert Jäger. Mittlerweile läuft leider erst eine einzige Anwendung auf dieser Sealed Cloud: Der hier schon einmal vorgestellte Web-Privacy-Dienst IDGARD.

In den USA hat man bisher noch gar nicht an eine technische Lösung gedacht, wenn es um die Gefahr des Insidermissbrauchs geht. Ob das an mangeldem Bewusstsein für Datenschutz liegt?