Mike_Kiev - Fotolia

Insider-Bedrohungen: So können Unternehmen dem Risiko begegnen

Wirklich neu sind durch Mitarbeiter verursachte Sicherheitsrisiken nicht. Wie können Unternehmen diesen technisch und strategisch entgegenwirken?

Im Gegensatz zu konventionellen Cyberattacken, die versuchen, die Abwehrmaßnahmen eines Netzwerkes zu durchbrechen, umgehen Insider-Threats diese, weil sie von innerhalb des Netzwerkes selbst stammen.

„Insider-Bedrohungen sind für Unternehmen definitiv die größte Gefahr schlechthin“, meinte Colin Tankard, Managing Director von Digital Pathways. „Im schlimmsten Fall erleiden Firmen einen Sicherheitsvorfall durch eine Infektion und man muss alles zurücksetzen, alles löschen und wieder neu aufbauen – und das kann ein Vermögen kosten.“

Während die meisten Firmen einen robusten Abwehrmechanismus gegen externe Bedrohungen im Einsatz haben, vernachlässigen viele, interne Bedrohungen zu beachten, die womöglich in ihren eigenen Systemen lauern. Das führt zu deutlichen Schwachstellen innerhalb ihrer Netzwerkabwehr.

„Ihre Firewalls und Inhaltsbezogene Überwachung richten ihr Augenmerk auf die Informationen, die in das Gebäude ein- und ausgehen, aber nicht auf die Informationen, die im Netzwerk verbleiben und sich im Netzwerk umherbewegen“, so Tankard. „Hier denken viele Firmen nicht an die Netzwerksicherheit.“

Insider-Bedrohungen werden für Unternehmen zunehmend gefährlich. Im August 2016 hat die in Großbritannien ansässige Buchhaltungsfirma Sage die Gehaltslisten – inklusive der Bankkonten- und Gehaltsinformationen – von mehr als 200 Kundenfirmen (Link auf Englisch) durch die Aktionen eines Mitarbeiters preisgegeben.

„Professionelle Kriminelle sind dazu bereit, Leute in großen Firmen einzuschleusen, um Mitarbeiter zu erpressen oder zu bestechen“, so Mark Hughes, Security-Leiter bei BT.

Unterschiedliche Insider-Bedrohungen

Während das betrügerische Verhalten von Mitarbeitern offensichtlich zu dieser Gefahr beisteuert, können Insider-Bedrohungen aus verschiedenen Quellen stammen. Diese kann man in drei Bereiche unterteilen:

  • Angestellte: Betrügerische Mitarbeiter oder solche, die unabsichtlich durch Fehler einen Zwischenfall verursachen.
  • Externe Dienstleister: Da viele Firmen inzwischen Teile ihrer Arbeitsabläufe auslagern, können Drittparteien Zugriff auf sensible Netzwerkinformationen erlangen.
  • Bösartige Anwendungen: Kompromittierte Systeme innerhalb des Netzwerkes, die genutzt werden, um andere Anwendungen auszuführen, die der Firma Schaden zufügen.

Die vorherrschende Gefahr von Insider-Bedrohungen geht wahrscheinlich von den Mitarbeitern aus. Sie ist aber gleichzeitig am einfachsten zu kontrollieren.

Die US-Finanzfirma Wells Fargo hat im September 2016 mehr als 5.000 Mitarbeiter entlassen (Link auf Englisch), weil sie gefälschte Accounts erstellt hatten. Hätte die Firma ihren internen Netzwerk-Traffic genauer überwacht und überprüft, ob die Arbeitsabläufe richtig befolgt worden sind, hätte sie sich Millionen US-Dollar an Gerichtsverfahrenskosten sowie Sanktionen für die Nichteinhaltung ersparen können.

Diese interne Überwachung hätte man mithilfe von verhaltensbasierten Analysen hinbekommen. Die Tools hierfür, wie zum Beispiel ObserveIT, geben Firmen die Möglichkeit, das Verhalten von Anwendern zu überwachen und etwaige gefährliche und womöglich böswillige Tätigkeiten ihrer Anwender zu erkennen. User Behaviour Analytics überwacht nicht nur Menschen, sondern auch jegliches unerwartetes Verhalten und Netzwerk-Traffic durch Anwendungen.

Verhaltensbasierte Analysen

Der Aufbau von User Behaviour Analytics ist ein zweiteiliger Prozess. In erster Linie wird durch die Festlegung von Richtlinien bestimmt, wie ein Netzwerk arbeiten sollte. Gleichzeitig wird festgelegt, was geschützt werden muss. Danach gilt es zu klären, wessen Aktivitäten denn überwacht werden sollen. Bei verhaltensbasierten Analysen ist im englischen Sprachraum meist von den besagten „User Behaviour Analytics“ die Rede, tatsächlich werden da nicht nur Nutzer, sondern meist auch Dienste und Geräte berücksichtigt.

User Behaviour Analytics entwickelt sich im Laufe der Zeit und lernt dabei, welches Netzwerkverhalten normal ist und wie eine vertretbare Netzwerksnutzung aussieht. Dadurch kann man sich auf Verhalten fokussieren, dass nicht den normalen oder akzeptablen Parametern entspricht.

Hat eine Firma unangemessenes Verhalten in ihren Netzwerken entdeckt, haben sie zwei Möglichkeiten. Man kann dem Anwender Bescheid geben, wenn er gerade dabei ist, eine von der Firma als inakzeptabel angesehene Tätigkeit auszuführen, wie zum Beispiel die Verwendung von Cloud Storage, um Informationen zu übermitteln oder die Versendung einer Datenbank per E-Mail. „Wir haben festgestellt, dass man durch diese Schulung 80 bis 90 Prozent aller Insider-Bedrohungen, bei denen es sich um Fehler von Mitarbeitern handelt, beseitigt“, sagte Tankard.

Erst einmal abwarten

Manche Firmen würden aber eher dazu tendieren, abzuwarten, um zu sehen, ob der Mitarbeiter absichtlich böswillig agiert und ob andere ebenfalls involviert sind. Firmen müssen nicht nur ihre eigenen Angestellten kontrollieren, sondern auch dafür sorgen, dass externe Dienstleister überwacht werden.

Vulnerability-Berater Chris Clemson gibt als Beispiel: „Eine in Manchester basierte Internetfirma hatte Probleme mit einem Vertragspartner, welcher behauptete, dass die IP ihm gehörte und wenn er nicht mehr Geld erhalten würde, dann dürfte die Firma seine Software nicht mehr benutzen. Die Firma kündigte ihm, daraufhin löschte er von den Servern alle Backups und deinstallierte MySQL, Apache und so weiter.

Zum Glück ist ihm nicht aufgefallen, dass der Bash-Befehl history clear die Bash-History-Datei nicht wirklich löscht, darum gelang es mir, seine rm- und rpm –e-Befehle nachzuweisen und dies ermöglichte es der Firma, gerichtlich gegen ihn vorzugehen.“

Abgesehen vom Einsatz von User Analytics Tools sollten Firmen auch dafür sorgen, dass ihre Active-Directory-Verzeichnisse und Passwörter korrekt gepflegt und aktualisiert werden. Es gibt mehrere Fälle, in denen Angestellte eine Firma verlassen haben und trotzdem noch tage-, wenn nicht gar wochenlang, auf die Firmen-E-Mails zugreifen konnten.

Ist ein früherer Mitarbeiter nicht mehr auf der Gehaltsliste, gibt es manchmal Verzögerungen, bevor Netzwerk-Administratoren das Profil der Person vom Netzwerk entfernen. Dadurch hat der frühere Mitarbeiter weiterhin Zugang zu vertraulichen Informationen, die für ihn eigentlich nicht mehr freigegeben sind und kann sogar Zugang oder Informationen an eine Konkurrenzfirma verkaufen.

Charles Lister, Senior Support Analyst, sagte: „IT-Mitarbeiter kennen oft die Passwörter für Accounts/Systeme, die man nicht leicht ändern kann. Beispielsweise sind mir die Passwörter für Service Accounts und BIOS (Basic Input/Output System) bekannt. Würde ich dieses Wissen missbrauchen, würde es meine IT-Karriere ruinieren, das ist klar. Manche Leute sind arrogant genug, um zu denken, dass sie nicht erwischt werden oder verärgert genug, um es trotzdem zu tun.“

Zwei-Faktor-Authentifizierung hilft nicht nur als Zusatz bei der Passwortsicherheit, sie ist außerdem ein Tool, das Firmen nutzen können, um sich vor Insider-Bedrohungen zu schützen. Ein Dongle, den Angestellte für den Zugang zum Netzwerk und E-Mails brauchen, wird neben anderer Hardware, wie Telefone, Laptops und so weiter, zurückgegeben. Das bedeutet, dass Mitarbeiter nach Verlassen der Firma nicht mehr auf das Netzwerk zugreifen können, auch wenn ihr Account noch aktiv ist.

Gleichzeitig müssen Unternehmen vorsichtig sein, wenn sie Benutzerzugangsrechte herausgeben und nicht bei jeder Beförderung Mitarbeitern zusätzliche Zugangsberechtigungen erteilen – dieser Vorgang ist auch als Priviledge Creep bekannt, zu Deutsch, das Ergattern „schleichender“ Privilegien. Arbeitet ein Mitarbeiter also in einer großen Firma in mehreren Positionen und wechselte dadurch in andere Abteilungen, hat er womöglich Zugang zu all diesen Abteilungen, anstatt dass die vorherigen Zugangsrechte nach jedem Wechsel in eine andere Abteilung entfernt wurden.

Kompromittierte Geräte

Böswillige Anwendungen, die auf kompromittierte Geräte installiert wurden, stellen eine weitere Quelle der Insider-Bedrohungen dar. Obwohl diese Geräte an sich wahrscheinlich risikoarm sind, kann man durch ihre Anbindung an das Netzwerk mit Leichtigkeit auf vertrauliche Informationen zugreifen, die auf dem Unternehmensserver abgespeichert sind.

Manchmal können selbst die harmlosesten Geräte – wie zum Beispiel Lüftungssysteme und Keyboardanschlüsse – Träger bösartiger Anwendungen sein. Es gibt Berichte von Kühlschränken, die Teil eines Spam-Netzwerkes sind, und deshalb für andere bösartige Aktivitäten benutzt werden. Zahlreiche große Angriffe basieren auf dem Mirai-Botnet oder verwandten Lösungen, mit denen sich schlagkräftige DDoS-Angriffe realisieren lassen.

Firmen müssen deshalb ihre Standardpasswörter für all ihre Systeme ändern. „Sie werden staunen, wie viel Hardware noch immer mit den Herstellereinstellungen läuft“, so Lister.

Unternehmen sollten idealerweise ein duales Netzwerk in Betracht ziehen: eins für Firmendaten (E-Mail, Dokumente, Unterlagen und so weiter) und eins für nicht-essentielle Netzwerkgeräte. Dabei sollten sie darauf achten, dass zwischen den beiden ein Air Gap gewährleistet ist, sprich das eine physische oder logische Trennung erfolgt.

Zu den Maßnahmen, die Firmen, die vertrauliche Daten managen, oft ergreifen, gehört das Verbieten persönlicher Geräte im Büro – zum Beispiel Handys, Kameras, Tablets, SD-Karten und USB-Speichersticks. Diese Geräte können nicht nur vertrauliche Daten enthalten, sondern womöglich auch böswillige.

Private Endgeräte

Trotz der Gefahren erlauben manche Firmen die Verbindung privater Endgeräte mit ihren Netzwerken. „Unternehmen ermutigen häufig ihre Mitarbeiter dazu, ihre eigenen Geräte ins Büro zu bringen oder Arbeitsgeräte mit nach Hause zu nehmen“, sagte Netzwerkingenieur Peter Gatehouse. „Selbst USB-Tastaturen können für unangenehme Überraschungen sorgen, wenn sie beispielsweise beim Anschließen Schadsoftware laden.“

Netzwerkarchitekt Chris Johnson erklärt, dass technische Maßnahmen nur bis zu einem gewissen Punkt helfen: „Entwickler und System-Administratoren haben die Fähigkeiten und den Zugriffsberechtigungen, um diese zu umgehen.“

Letztendlich sind Insider-Threats eher ein menschliches Problem statt ein technisches. In vielen Fällen wurde Ransomware heruntergeladen, nachdem ein Angestellter versehentlich auf einen Link in einer legitim aussehenden E-Mail geklickt hat, was anschließend zur Verschlüsselung von den Firmendaten führte.

Wichtig ist, den Mitarbeitern bewusst zu machen, dass sie eine skeptische Haltung gegenüber E-Mails haben sollten, unabhängig davon, wie legitim diese erscheinen. Erklären sollte man auch die verschiedenen Strategien, die bei Telefonbetrug verwendet werden und dazu konzipiert sind, Computer zu infiltrieren.

Trotz der externen Bedrohungen, mit denen sich Firmen konfrontiert sehen, müssen sie genauso wachsam sein bei Angriffen, die von ihren eigenen Netzwerken stammen. Netzwerke kann man gegen Insider-Bedrohungen schützen, indem man verhaltensbasierte Verfahren anwendet und dafür sorgt, dass das Active Directory sorgfältig verwaltet wird.

„Letzten Endes ist es ein menschliches Problem“, so Johnson. „Firmenrichtlinien und rechtliche Rahmenbedingungen bilden das Sicherheitsnetz, um es durchzusetzen, aber zufriedene und motivierte Mitarbeiter zu haben, ist wahrscheinlich die beste Methode, um Probleme zu verhindern.“

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Insider-Bedrohungen mit den richtigen Tools begegnen

Mit verhaltensbasierten Analysen die Sicherheit verbessern

Benutzerkonten und die schleichende Rechteausweitung

Gestohlene Zugangsdaten: Was können Unternehmen tun?

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close