Anzeige

Insider

Stellen wir uns folgendes Szenario vor: An einem verregneten Montagmorgen erhält der Sicherheitsverantwortliche einer Investmentfirma einen Alarm: Ein leitender Angestellter hat am Wochenende auf mehr als 10.000 Dateien zugegriffen, deutlich mehr als gewöhnlich und zu einer unüblichen Tageszeit.

Möglicherweise kein Grund zur Beunruhigung, wenngleich einige Details auffällig sind: Der betreffende Mitarbeiter ist derzeit im Urlaub und hatte sich bislang noch nicht mit dem Unternehmensnetzwerk verbunden. Warum sollte er auf so eine große Menge Daten zugreifen, noch dazu an einem Wochenende? Arbeitet die Führungskraft jetzt im Urlaub alte Fälle ab oder steckt womöglich mehr dahinter? Sollte sich der Sicherheitsmanager telefonisch nach dem Rechten erkundigen?

Glücklicherweise war der Sicherheitsverantwortliche in der Lage, einen detaillierten Zeitplan zu erstellen und die subtilen Anzeichen eines Angriffs zu erkennen. Er konnte die spezifischen Daten, die berührt worden waren, und das benutzte Gerät identifizieren. Dabei stellte er fest, dass auf die Dateien nicht nur zugegriffen wurde, sondern sie auch auf einen persönlichen Cloud-Speicher kopiert wurden. Die bemerkenswerteste Erkenntnis: Der Zugriff erfolgte nicht vom Urlaubsort des Mitarbeiters. Vielmehr hatte sich jemand im Unternehmensgebäude in dessen Konto eingeloggt und auf die sensiblen Daten zugegriffen. 

Dieses Szenario ist leider verbreiteter als man denken könnte. Fälle dieser Art bleiben jedoch oftmals unentdeckt, da die kritischen Daten eines Unternehmens nicht hinreichend betrachtet und ungewöhnliche Aktivitäten nicht entdeckt werden. Um sämtliche Signale zu erkennen, die auf einen Insider-Angriff hindeuten, müssen zudem Korrelationen zwischen scheinbar normalen Ereignissen gezogen und die Punkte zwischen Benutzern, Geräten und Daten sinnvoll verbunden werden. 

Um seine vertraulichen Unternehmensdaten wirkungsvoll auch vor subtilen Insider-Angriffen zu schützen, sollte man folgende vier Schritte in seiner Sicherheitsstrategie umsetzen.

  1. Identifizieren Sie Ihre wertvollsten und kritischsten Daten: Böswillige Insider agieren aus den unterschiedlichsten Gründen. Eines haben sie aber in aller Regel gemeinsam: Sie sind hinter Ihren wertvollen Daten her. Wenn Sie Ihre sensiblen Informationen nicht im Auge behalten, ist es unmöglich, Insideraktivitäten aufzuspüren und zu untersuchen. Sie müssen wissen, wo sich Ihre vertraulichen Assets befinden, sowohl vor Ort als auch in der Cloud, wer sie nutzt und wer für sie verantwortlich ist.

  2. Schränken Sie den Zugriff effektiv ein: Ein Least-Privilege-Ansatz ist eine gute Möglichkeit, Risiken zu reduzieren. Und auch wenn viele Unternehmen der Ansicht sind, diese Strategie zu verfolgen, sieht die Realität leider oftmals anders aus. Der Data Risk Report 2020 hat gezeigt, dass durchschnittlich jede fünfte Datei für jeden Mitarbeiter zugänglich ist. Auf diese Weise können motivierte Insider nahezu alles finden – von Gehaltsabrechnungen über Geschäftspläne bis hin zu geistigem Eigentum. Und dies alles nur durch die Benutzung eines File-Browsers. Eliminieren Sie den offenen Zugang und reduzieren Sie die Gefährdung durch die effektive Durchsetzung eines Least-Privilege-Modells, um sicherzustellen, dass nur diejenigen Zugriff auf Daten haben, die sie für ihre Arbeit auch tatsächlich benötigen.

  3. Identifizieren Sie ungewöhnliches Verhalten: Insider-Angriffe mögen sich in der Motivation und Durchführung unterscheiden, eines haben sie aber gemeinsam: Der entsprechende Benutzer wird sich irgendwann ungewöhnlich verhalten. Ob er ein neues Gerät benutzt, das Konto eines anderen Benutzers kapert, auf Daten zugreift, die er noch nie gesehen hat (vor allem, wenn es sich um sensible Daten handelt), oder ob er sich einfach nur zu einer ungewöhnlichen Tageszeit oder von einem unüblichen Ort aus verbindet – irgendetwas wird nicht stimmen. Außergewöhnliches Verhalten kann man aber nur dann erkennen, wenn man das „normale“ Verhalten kennt. Entsprechend ist es von größter Bedeutung, Verhaltensprofile für jeden Nutzer zu erstellen (und hierbei auch Informationen aus Peer-Gruppen miteinzubeziehen) und damit den „Normalwert“ zu ermitteln. Nur so ist man in der Lage, auch subtiles abnormales Verhalten zu identifizieren.

  4. Verbinden Sie die Punkte: Jedes Puzzlestück für sich genommen mag nicht ungewöhnlich erscheinen und entsprechend keinen Alarm auslösen. Vielleicht ist es für Führungskräfte nicht üblich, an Wochenenden oder im Urlaub zu arbeiten, möglich ist es aber. Benutzer greifen auch häufig von neuen Geräten oder außerhalb der Geschäftszeiten auf Unternehmensressourcen zu. Und manchmal greifen Benutzer einfach (aus ganz legitimen Gründen) auf viele (auch sensible) Daten zu. Setzt man jedoch all diese Verhaltensweisen miteinander in Beziehung, ergibt sich ein recht klares Bild und das Sicherheitsteam kann entsprechende Maßnahmen einleiten. „Laute“ Angriffe wie Ransomware sind leicht zu erkennen bzw. setzen ja auch auf eine Erkennung. Subtiler Insider-Diebstahl ist wesentlich schwerer zu identifizieren, es sei denn, sie können verschiedene Verhaltensmuster korrelieren. 


Unternehmen übersehen oft die Gefahren, die von ihren Mitarbeitern ausgehen – auch deshalb, weil sie ohne die richtigen Instrumente schwer zu erkennen sind. Gegenüber externen Angreifern haben Innentäter einige Vorteile auf ihrer Seite: Sie kennen sich im Netzwerk aus, können ihre Aktivitäten verschleiern und ihre Spuren verwischen. Die Folgen eines Insiderangriffs können verheerend sein und reichen von Bußgeldern über verlorenes Kundenvertrauen bis hin zu extremen wirtschaftlichen Folgen, etwa wenn geistiges Eigentum gestohlen wird. Deshalb ist es von enormer Wichtigkeit, die subtilen Anzeichen dieser Angriffe früh zu erkennen und Abwehrmaßnahmen einzuleiten. Dabei geht es nicht darum, Mitarbeiter unter einen Generalverdacht zu stellen, sondern darum, Ihre Daten als Ihr wertvollstes Asset zu schützen. Und dieser Schutz ist auch im Interesse der Mitarbeiter, denn die beschriebenen Folgen eines Datenvorfalls treffen auch sie.


 

Michael Scheffler, Country Manager DACH
Michael Scheffler
Country Manager DACH, Varonis Systems

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cloud Handfläche
Okt 07, 2020

Speicher- und Datenmanagement in der Cloud

Unternehmen möchten zunehmend auch anspruchsvolle dateibasierte Workloads in der Cloud…
Ransomware
Okt 05, 2020

Mit Fake News gegen Ransomware

Firewalls und klassische Lösungen für die Endpoint Security reichen für die Abwehr immer…

Weitere Artikel

Home Office

Sicher in Verbindung bleiben – Fortschritte bei der Fernarbeit?

Für viele Arbeitnehmer bedeutet die „neue Normalität“, dass man überwiegend zu Hause arbeitet und nicht mehr in ein Büro pendelt. Selbst wenn einige allmählich an ihre gewohnten Arbeitsplätze zurückkehren, könnte das Arbeiten aus der Ferne für viele zur…
VPN

Worauf kommt es bei einem VPN-Dienst an?

Vieles spricht dafür, einen VPN-Dienst zu buchen. Viele User nutzen ihn, um sicherer im Internet zu surfen. Andere wollen Geo-Blocking umgehen und wieder andere wollen damit Datenkraken entgehen. Die Auswahl an Anbietern ist groß. Doch was ist wirklich…
Schwachstelle

Die vier Mythen des Schwachstellen-Managements

Schwachstellen-Management hilft, Software-Lecks auf Endpoints zu erkennen und abzudichten. Viele Unternehmen verzichten jedoch auf den Einsatz, weil sie die Lösungen für zu teuer oder schlicht überflüssig halten – schließlich wird regelmäßig manuell gepatcht.
Zoom

Zoom: So lässt sich die E2E-Verschlüsselung aktivieren

Seit kurzem bietet Zoom eine Ende-zu-Ende (E2E) Verschlüsselung an. Das Feature stand lange auf der Wunschliste zahlreicher Nutzer, die immer wieder das Fehlen einer Verschlüsselung moniert hatten.
Security

Die Nutzung sicherer Kennwörter ist nicht genug

Dass Unternehmen verstärkt versuchen, ihre Infrastruktur und ihre Mitarbeiter bestmöglich abzusichern, verwundert angesichts der sich rapide verschärfenden Bedrohungssituation in Sachen IT-Sicherheit kaum. Auch um regulatorischen Vorgaben wie der DSGVO…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!