Was uns 2,5 Millimeter über Identity Management lehren können

bei

 / 21. April. 2020

Die Themen Datenschutz und -Sicherheit sind für Unternehmen weiterhin eine bedeutende Herausforderung, schließlich sind Cyberangriffe allgegenwärtig und der potenzielle Schaden immens. So zeigte das diesjährige Allianz Risk Barometer [1], dass Cybervorfälle erstmals als wichtigstes Geschäftsrisiko für Unternehmen weltweit angesehen werden. Für die neunte Auflage der Umfrage von Allianz Global Corporate & Specialty wurden mehr als 2.700 Risikoexperten aus über 100 Ländern zu den wichtigsten Unternehmensrisiken befragt. Weiterhin [2] fanden jüngst Forscher des Kriminologischen Forschungsinstituts Niedersachsen und der Leibniz Universität Hannover heraus, dass 41 Prozent der Firmen in Deutschland in den vergangenen zwölf Monaten Opfer einer schweren Cyberattacke wurden. Der durchschnittliche Schaden pro Angriff lag bei 16.900 Euro. Doch so ernst die Lage auch scheint, die gute Nachricht ist, Betriebe können ihr Sicherheitsniveau durch organisatorische, vor allem aber technische Maßnahmen deutlich erhöhen und sind Angriffen nicht schutzlos ausgeliefert. Doch bevor es darum geht, wie man den Risiken effektiv begegnen kann, und welche Rolle das Thema Identitätsmanagement dabei spielt, hier ein Exkurs in die Luftfahrt.

 

Rückblick: Der British Airways-Flug 5390

Folgendes Szenario: Der britische Flugkapitän Tim Lancaster hängt in einer Höhe von 5.300 Metern aus dem Cockpitfenster seiner Maschine. Es waren 2,5 Millimeter, die ihn fast das Leben kosteten.

Zum Hintergrund: Der British Airways-Flug BA 5390 war am 9. Juni 1990 mit 81 Passagieren an Bord nach Málaga in Spanien aufgebrochen. Dreizehn Minuten nach dem Start – die Maschine hatte inzwischen eine Flughöhe von 5.300 Metern erreicht – hörten die Passagiere einen lauten Knall, und binnen zwei Sekunden ging der Kabinendruck verloren. Einer der Flugbegleiter rannte ins Cockpit und sah dort, wie Co-Pilot Alastair Atchison verzweifelt versuchte, die Kontrolle über das Flugzeug zurückzugewinnen, während Kapitän Lancaster aus dem offenen Frontfenster gesogen worden war – nur seine Beine befanden sich noch im Flugzeug.

24 Stunden zuvor waren an der Maschine, einem BAC 1-11 Jet-Airliner, Wartungsarbeiten durchgeführt worden. Dabei bemerkte ein Schichtleiter, nennen wir ihn Bob, dass 90 Schrauben an einer Cockpitscheibe des Flugzeugs ersetzt werden mussten. Er entfernte die Schrauben, ging mit einer dieser ins Lager und verglich sie dort mit den zahlreichen anderen Schrauben. Er identifizierte die benötigten Schrauben rein vom Sehen, ohne in die Service-Anleitung zu schauen. Dann wollte er 89 weitere Schrauben mitnehmen, stellte aber fest, dass sechs zu wenig da waren. Weil die Zeit drängte, fuhr Bob zu einem anderen Warenlager, zu dem er Zutritt hatte, und nahm dort sechs Schrauben mit, die den anderen ähnlich sahen. Ob er überhaupt Befugnis haben sollte, diesen Teil des Lagers zu betreten, war nie überprüft worden. Und Bob hatte nicht auf dem Lagerplan nachgesehen, wo sich die benötigten Schrauben befanden, sondern „wusste“ einfach, dass es die richtigen waren.

Zurück am Flugzeug, machte sich Bob an die Arbeit und ersetzte die Schrauben an der Cockpitscheibe. Allerdings hatte er nicht den richtigen Schraubendreher zur Hand. Er beschloss, einen Drehmomentschlüssel zu Hilfe zu nehmen und die Schrauben mit 9 Kilogramm Drehkraft anzuziehen – „das wird sicher reichen“, dachte er.

Leider passten der Schraubendreher und der Drehmomentbegrenzer nicht genau und sie waren auch etwas zu kurz, um damit an die Oberseite der Cockpitscheibe zu kommen. Als er sich über das Geländer seiner Arbeitsplattform beugte, konnte er die Schrauben an der Oberseite gerade noch erreichen, aber dies erforderte Geduld, einen guten Gleichgewichtssinn und viel Ausprobieren. Da einige Schrauben nicht für die Scheibe gedacht waren, rutschte der Schraubendreher beim Erreichen des Drehmoments leicht ab. Der Gedanke dahinter war, dass das schon in Ordnung ginge.

Was hat all das aber nun mit Identitätsmanagement zu tun?

Wie viele Mitarbeiter, die in Unternehmen tätig sind oder waren, haben immer noch die Möglichkeit, auf die Anwendungen und Daten zuzugreifen, zu denen sie in ihrer früheren Funktion Zugang hatten? Wie viele Mitarbeiter, so wie Bob, haben Betriebe schon innerhalb des Unternehmens versetzt, ohne zu prüfen, ob sie weiter Zugang zu Informationen haben, die für ihre neue Funktion unangemessen sind?

Bob hatte einen klar abgesteckten Aufgabenbereich; hier übernahm er allerdings die Rolle eines Technikers und niemand kontrollierte an diesem Abend seine Arbeit an dem Flugzeug. Man ging einfach davon aus, dass er wusste, was er tat. Wie viele Mitarbeiter von Unternehmen erhalten nur deswegen Zugang zu Plattformen und Anwendungen, weil es schon immer so war? Die Frage, die sich hier stellt ist, benötigt es einer Plattform, die alle Zugriffe laufend überprüft, Empfehlungen erteilt und gegebenenfalls auch die Zugriffsrechte entzieht?

Jede Firma hat solche Mitarbeiter, die eigentlich nur helfen und sich für ihr Unternehmen engagieren wollen. In diesem Fall jedoch hatte Bob dank seiner Führungsposition Zugang zu einem unkontrollierten Lagerraum und zu Ausrüstung, die er überprüfen und hinterfragen hätte sollen. Zudem setzte er sich über das System hinweg, indem er die falschen Werkzeuge verwendete. Auf die Welt der IT-Zugriffe übertragen, hieße das: Er nutzte seine erweiterten Zugriffsrechte, um das System zu umgehen, damit die Arbeit getan werden kann.

In der anschließenden Untersuchung nach dem Vorfall wurde festgehalten, dass es die falschen Schrauben waren, die das Cockpit-Fenster sichern sollten, dass Bob die üblichen, korrekten Verfahrensweisen nicht eingehalten hatte und dass niemand seine Arbeit überprüft hatte. Die Schrauben, die Verwendung fanden hatte, waren 2,5 Millimeter kürzer als die richtigen Schrauben und hielten sie der Belastung, die beim Unterdruck auf 5.300 Metern herrscht, nicht stand. Als alle sechs Schrauben herausgesprungen waren, wurde das Fenster herausgerissen.

Alastair Atchison konnte schließlich die Kontrolle über das Flugzeug zurückgewinnen und sicher landen, und glücklicherweise überlebten alle Insassen. Dem Flugbegleiter war es gelungen, den Kapitän an den Beinen festzuhalten. Und obwohl der Kapitän 22 Minuten aus dem Cockpit hing, erholte er sich vollständig und konnte später seinen Beruf wieder aufnehmen.

Wie Betriebe sich schützen können

Um konkret zurück zum Thema IT-Security zu kommen: Um ihr Sicherheitslevel drastisch anzuheben und ein Maximum an Schutz für ihre Daten zu ermöglichen, sollten Unternehmen dringend technisch vorsorgen. Hier ist vor allem eine geeignete Identity-Plattform wichtig, die dafür sorgen kann, dass Mitarbeiter über alle Versetzungen und Veränderungen hinweg verwaltet und kontrolliert werden. Im Falle, dass jemand versucht, das System oder seine Zugriffsrechte zu umgehen, sollte eine solche Plattform automatisch die zuständige Stelle benachrichtigen, Empfehlungen erteilen und gegebenenfalls Sicherheitsmaßnahmen ergreifen, indem sie den Zugriff automatisch sperrt, wenn nötig.

Um verheerende „2,5-Millimeter-Fehler“ zu vermeiden, sollten Unternehmen daran denken, eine Lösung aus dem Bereich Identity Management zu implementieren.

Quellen und Referenzen:

[1]https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2020-de.html

[2]https://www.zdf.de/nachrichten/wirtschaft/cybercrime-unternehmen-schutzmassnahmen-100.html

 

Ben Bulpett ist der SailPoint EMEA Identity Platform Director. Er arbeitet in der gesamten Region und unterstützt die lokalen SailPoint-Teams, Partner und Kunden bei der Definition ihrer Strategie und der Einführung einer integrierten Identity Governance-Plattform.