Innentäter bei der US-Navy

Die Lektion vom gestohlenen Nukleargeheimnis

Der Diebstahl geheimer US-Regierungsinformationen durch ein Ex-Navy-Mitglied wirft die Frage auf, wie CSOs mit Innentätern umgehen sollen, die ein Insider-Threat-Training erhalten haben.
Von 
CSO | 03. Dezember 2021 05:49 Uhr
Mit geheimen Regierungsinformationen über nukleare Unterwasserboote wollte sich ein Ex-Navy-Ingenieur den vorzeitigen Ruhestand sichern. Das können CSOs von diesem - und anderen Innentätern - lernen.
Mit geheimen Regierungsinformationen über nukleare Unterwasserboote wollte sich ein Ex-Navy-Ingenieur den vorzeitigen Ruhestand sichern. Das können CSOs von diesem - und anderen Innentätern - lernen.
Foto: Alexyz3d - shutterstock.com

Der ehemalige US-Navy-Ingenieur Jonathan Toebbe hatte geplant, sensible US-Regierungsgeheimnisse in Zusammenhang mit Atom-U-Booten für fünf Millionen Dollar zu verkaufen. Zu seinem Pech geriet er dabei an den falschen Abnehmer: einen verdeckten FBI-Ermittler. Statt mit Millionen auf einer einsamen Insel sitzt der Innentäter inzwischen in einer Gefängniszelle in West Virginia und wartet auf seinen Prozess.

Man kann nur erahnen, welche Diskussionen sich innerhalb der Cybersecurity-Teams der US-Marine abspielten, als bekannt wurde, dass einige der sensibelsten Regierungsgeheimnisse durch einen Mitarbeiter aus den eigenen Reihen aus einer geschützten Umgebung gestohlen und an nicht-autorisierte Dritte weitergegeben wurden. In diesem Fall hat sich der Inbegriff der Insider-Bedrohung realisiert.

Experten, die sich damit beschäftigen, wie sich Insider-Bedrohungen eindämmen lassen, sind sich weitgehend einig, dass die Wahrscheinlichkeit für Geheimnisdiebstahl steigt, wenn ein Mitarbeiter kurz vor der Trennung von, beziehungsweise vor dem Ausscheiden aus einer Organisation steht. Die Gerichtsdokumente zeichnen im Fall von Toebbe das Bild eines Mannes, der sich den großen Zahltag erhoffte und anschließend seinen Dienst bei der Navy quittieren wollte. Ob der Innentäter durch etwaige Handlungen Kollegen und Führungskräfte signalisierte, dass er den Ausstieg plante, ist nicht bekannt.

Insider Threats mit Insider-Wissen

Dank der Gerichtsdokumente ist jedoch bekannt, wie Toebbe vorging, um sich die geheimen Informationen zu beschaffen, ohne Aufmerksamkeit zu erregen:

"Ich war extrem vorsichtig und habe die Akten langsam und im Rahmen meiner alltäglichen Arbeit gesammelt, damit mir niemand auf die Schliche kommt. Wir haben eine Schulung darüber erhalten, welche Anzeichen auf Insider-Bedrohungen hindeuten. Ich glaube nicht, dass einer meiner Kollegen mich im Falle einer künftigen Untersuchung verdächtigen würde."

Den Dokumenten zufolge hat Toebbe mehr als 10.000 Seiten mit geheimen Informationen entwendet. Wobei der Innentäter selbst behauptet, nur Dokumente entwendet zu haben, zu denen er "natürlichen" Zugang hatte. Zudem habe er Informationen auswendig gelernt und entsprechende Diagramme zu Hause nachgezeichnet. Sein Datendiebstahl beschränkte sich dabei nicht auf einen Ort - er verschaffte sich die Geheimdokumente an mehreren Forschungsstandorten der US-Navy. Seine Korrespondenz mit dem verdeckten Ermittler und sein Versuch, bestimmte Spionagetechniken anzuwenden, deuten darauf hin, dass Toebbe viel über Spionagegeschichte und die Methoden erfolgreicher Innentäter gelesen hat.

Vier Fälle von Innentätern bei US-Regierungsinstitutionen sind bekannt, die (zumindest temporär) erfolgreich waren. Jeder dieser vier Innentäter hat eine Schulung zur Spionageabwehr erhalten, in deren Rahmen auch Insider-Bedrohungen behandelt wurden: Dabei ging es zum Beispiel darum, Fehler im Umgang mit Verschlusssachen und Geheimdokumenten sowie verdächtige Aktivitäten am Arbeitsplatz zu melden:

  • Mitte der 1980er Jahre entwendete der Navy-Analyst Jonathan Pollard zwei- bis dreimal täglich an mehreren Wochentagen Dokumente von seinem Arbeitsplatz. Diese bewahrte er in einem Koffer auf, um sie seinem (inoffiziellen) Vorgesetzten, einem israelischen Geheimdienstoffizier, zu übergeben. Der Diebstahl der Dokumente blieb fast ein Jahr lang unentdeckt. Erst als ein Kollege Pollard mit Geheimsachen hantieren sah und das meldete, kamen die Behörden dem Innentäter auf die Schliche - er hatte insgesamt knapp 18 Kubikmeter an geheimen Informationen entwendet.

  • 2015 druckte Reality Winner, freie Mitarbeiterin bei der National Security Agency (NSA), an ihrem Arbeitsplatz ein als geheim eingestuftes Dokument aus, versteckte es in ihrer Unterwäsche, um es am Sicherheitspersonal vorbeizuschmuggeln und reichte es im Anschluss an ein Medienunternehmen weiter. Auch Winner hatte eine Schulung über Insider-Bedrohungen erhalten. Der Datendiebstahl flog erst auf, als das Medienhaus die NSA bat, die Daten vor Veröffentlichung zu bestätigen. Die folgende Untersuchung zeigte, dass Reality Winner eine der wenigen Personen war, die das Dokument gelesen hatten - und die Einzige die einen Druckauftrag gesendet hatte.

  • Auch Harold Martin war ein Auftragnehmer der US-Geheimdienste. Bis herauskam, dass er zwischen 1996 und 2016 Informationen von diversen Arbeitsplätzen aus weitergegeben hat. Als man ihm auf die Schliche kam, fanden FBI-Ermittler mehr als 50 Terabyte an Informationen, die er in seiner Wohnung und an anderen Orten aufbewahrte. Während seines Prozesses wies die Regierung darauf hin, dass er eine Schulung zu Insider-Bedrohungen erhalten hatte. Aufgeflogen war der Innentäter, nachdem er sich öffentlich negativ über die NSA geäußert hatte, was zur Einleitung einer Untersuchung führte.

  • Ana Belen Montes war zum Zeitpunkt ihrer Verhaftung die leitende Kuba-Analystin im US-Verteidigungsministerium. Außerdem war sie während ihrer gesamten Zeit als Analystin (etwa 17 Jahre) insgeheim eine Mitarbeiterin der kubanischen Regierung. Da Montes über ein fotografisches Gedächtnis verfügt, gehen Experten davon aus, dass sie sich sämtliche gestohlenen Informationen einprägte und aus dem Gedächtnis weitergab. Den Hinweis, der zur Enttarnunhg von Montes führte, gab ein kubanischer Überläufer. Montes wurde bereits 2002 zu einer Gefängnisstrafe von 25 Jahren verurteilt.

Innentäter identifizieren ist kein Kinderspiel

Hätte Toebbes Geheimnisdiebstahl über einen längeren Zeitraum hinweg von heute verfügbaren Technologien zum Monitoring von Insider-Bedrohungen erkannt werden können? Hätten die Kollegen anomale Vorgänge im Zusammenhang mit Verschlusssachen erkennen müssen? Diese und andere Fragen versucht man innerhalb der US-Navy zweifellos zu beantworten. Wir haben Sicherheitsexperten nach ihrer Meinung befragt.

Joe Payne von Code42 stellt fest, dass es erhebliche Unterschiede zwischen Regierungsinstitutionen und dem privaten Sektor gibt: "Die Messlatte im öffentlichen Dienst liegt wesentlich höher als in der Privatwirtschaft, wenn es darum geht, Erwartungen an das Verhalten der Mitarbeiter zu stellen. Das Mantra 'wenn du etwas siehst, melde es' zu verinnerlichen, ist in diesem Bereich Pflicht. Es gibt immer irgendwelche Spuren, um Innentätern auf die Schliche zu kommen, allerdings sind diese manchmal verschwindend klein."

Rajan Koo, Chief Customer Officer bei DTEX Systems, merkt an, dass die Erfahrung zeige, dass "böswillige Akteure nur selten gegen die Regeln der Datenkontrolle verstoßen." Auch Toebbe wurde der Zugriff auf geheime Informationen kontinuierlich gewährt - trotz einer erneuten Hintergrundprüfung, bei der seine finanzielle Situation sowie seine Beziehungen zu Nachbarn und Freunden näher unter die Lupe genommen worden waren.

Armaan Mahbod, Direktor für Sicherheit und Business Intelligence bei DTEX Systems, weist darauf hin, dass sowohl Montes als auch Toebbe mit heutigen Technologien hätten enttarnt werden können: "Ein Benutzer, der liest oder scannt, hält sich nicht lange damit auf. Technologie sollte in der Lage sein, zu erkennen, wie lange ein Benutzer in bestimmten Dokumenten verweilt - und bei anormalen Aktivitäten Alarm schlagen."

Was CSOs vom Navy-Insider lernen können

In der Realität, räumt Mahbod ein, sei der Personalmangel ein echtes Problem: "Insider-Bedrohungen sind sehr transaktionsorientiert - diejenigen, die langsam und methodisch Dokumente aus ihrem natürlichen Zugriffsbereich stehlen, fallen angesichts des Personalmangels in den Prüfungsabteilungen möglicherweise nicht auf. Wir stellen fest, dass die Kommunikation zwischen Abteilungen wie der Personalabteilung, der IT-Abteilung und der Sicherheitsabteilung in den Unternehmen unterschiedlich stark ausgeprägt ist. Das Ziel ist am Ende, die Kommunikationsfähigkeit der gesamten Organisation zu stärken, was sich wiederum positiv auf die IT-Sicherheit auswirkt."

CSOs, die Insider-Bedrohungen auf die Spur kommen wollten, müssten mit den anderen Unternehmensbereichen in Verbindung stehen. Nur so werde sichergestellt, dass das Verhalten verdächtiger Personen in allen Bereichen überprüft wird. Die Unternehmensleitung sollte alle Mitarbeiter und Auftragnehmer zudem dazu ermutigen, auffälliges Verhalten von Kollegen zu melden.

Payne empfiehlt Entscheidern, die mit Insider-Bedrohungen zu kämpfen haben, "ihre Mitarbeiter in die Lage zu versetzen, ihre Arbeit auf vertrauenswürdige Art und Weise zu erledigen. Mit einem Schutzschirm, der sie umgibt, und sie sofort korrigiert, wenn sie von den festgelegten Prozessen abweichen." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Christopher schreibt unter anderem für unsere US-Schwesterpublikation CSO Online. Er war für mehr als 30 Jahre Mitarbeiter der Central Intelligence Agency.