Thought Leadership
Wie gestern bekannt wurde hat es beim Online-Reiseportal Expedia einen Insidervorfall gegeben, in den ein ehemaliger Mitarbeiter verwickelt ist. Ein kurzer Kommentar von Kommentar von David Lin, Varonis.
Inzwischen ist es längst keine Seltenheit mehr, wenn sensible Informationen und Wissenskapital in die Hände von Insidern gelangen. Fälle wie der jüngst beim Online-Reiseportal Expedia offenbaren eine Reihe von vermeidbaren Nachlässigkeiten in punkto Sicherheit.
Fehler wie wir sie im übrigen immer wieder beobachten können. Die zwei wichtigsten:
1. Mangelnde Aufdeckung: Firmen sind nicht, nur unzureichend oder viel zu spät in der Lage derartige Vorfälle zu erkennen: Es dauerte insgesamt 3 Jahre bis das Unternehmen überhaupt mitbekommen hat, dass vom ehemaligen IT-Spezialisten Jonathan Ly eine Bedrohung ausging. Und das obwohl er offensichtlich auf die Mailboxen von Führungskräften und deren Dokumente zugreifen konnte.
2. Unzureichendes Berechtigungsmanagement: Sogar als Jonathan Ly das Unternehmen bereits verlassen hatte war er noch in der Lage über sein Laptop auf vertrauliche Unternehmensdaten zuzugreifen.
Am Ende des Tages waren die Aktivitäten von Ly nicht außergewöhnlich. Er benutzte ein IT-Service-Konto beziehungsweise mehrere um auf Dateien und E-Mails des CFO Mark Okerstrom zuzugreifen. Hätte das Unternehmen innerhalb seiner zentralen IT-Infrastruktur das Benutzerverhalten analysieren können, wäre der Vorfall vermutlich nicht unentdeckt geblieben und die Verantwortlichen sofort alarmiert worden. Bedrohungsmodelle sind beispielweise in der Lage von der definierten Norm abweichende E-Mail-Aktivitäten zu erkennen. Dazu gehört es unter anderem, wenn Mitarbeiter/innen Dateien in den Eingangsordnern anderer Nutzer öffnen. Vor allem natürlich, wenn das ein für diese Position eher atypisches Verhalten ist. Selbst wenn es Ly dann gelungen wäre auf Okerstroms Konto zuzugreifen, würden die Verhaltensmuster mit denen er auf Dateien und E-Mails zugreift nicht mit den alltäglichen Zugriffsmustern des CFO Okerstrom übereinstimmen. Und ein entsprechender Alarm ausgelöst werden.
Anders als bei Erpressungssoftware wie den verschiedenen Ransomware-Varianten, gehen Insider wesentlich verstohlener ans Werk. Inzwischen erfährt man praktisch jede Woche von einem neuen Insidervorfall. Das ist erschreckend genug. Was aber besonders beunruhigend ist, ist die Tatsache, dass sehr viel mehr Vorfälle überhaupt nicht bemerkt oder aufgedeckt werden.
