Haltet den Dieb!

Stellen wir uns folgendes Szenario vor: An einem verregneten Montagmorgen erhält der Sicherheitsverantwortliche einer Investmentfirma einen Alarm: Ein leitender Angestellter hat am Wochenende auf mehr als 10.000 Dateien zugegriffen, deutlich mehr als gewöhnlich und zu einer unüblichen Tageszeit.

Möglicherweise kein Grund zur Beunruhigung, wenngleich einige Details auffällig sind: Der betreffende Mitarbeiter ist derzeit im Urlaub und hatte sich bislang noch nicht mit dem Unternehmensnetzwerk verbunden. Warum sollte er auf so eine große Menge Daten zugreifen, noch dazu an einem Wochenende? Arbeitet die Führungskraft jetzt im Urlaub alte Fälle ab oder steckt womöglich mehr dahinter? Sollte sich der Sicherheitsmanager telefonisch nach dem Rechten erkundigen?

Glücklicherweise war der Sicherheitsverantwortliche in der Lage, einen detaillierten Zeitplan zu erstellen und die subtilen Anzeichen eines Angriffs zu erkennen. Er konnte die spezifischen Daten, die berührt worden waren, und das benutzte Gerät identifizieren. Dabei stellte er fest, dass auf die Dateien nicht nur zugegriffen wurde, sondern sie auch auf einen persönlichen Cloud-Speicher kopiert wurden. Die bemerkenswerteste Erkenntnis: Der Zugriff erfolgte nicht vom Urlaubsort des Mitarbeiters. Vielmehr hatte sich jemand im Unternehmensgebäude in dessen Konto eingeloggt und auf die sensiblen Daten zugegriffen. 

Dieses Szenario ist leider verbreiteter als man denken könnte. Fälle dieser Art bleiben jedoch oftmals unentdeckt, da die kritischen Daten eines Unternehmens nicht hinreichend betrachtet und ungewöhnliche Aktivitäten nicht entdeckt werden. Um sämtliche Signale zu erkennen, die auf einen Insider-Angriff hindeuten, müssen zudem Korrelationen zwischen scheinbar normalen Ereignissen gezogen und die Punkte zwischen Benutzern, Geräten und Daten sinnvoll verbunden werden. 

Um seine vertraulichen Unternehmensdaten wirkungsvoll auch vor subtilen Insider-Angriffen zu schützen, sollte man folgende vier Schritte in seiner Sicherheitsstrategie umsetzen.

1. Identifizieren Sie Ihre wertvollsten und kritischsten Daten: Böswillige Insider agieren aus den unterschiedlichsten Gründen. Eines haben sie aber in aller Regel gemeinsam: Sie sind hinter Ihren wertvollen Daten her. Wenn Sie Ihre sensiblen Informationen nicht im Auge behalten, ist es unmöglich, Insideraktivitäten aufzuspüren und zu untersuchen. Sie müssen wissen, wo sich Ihre vertraulichen Assets befinden, sowohl vor Ort als auch in der Cloud, wer sie nutzt und wer für sie verantwortlich ist.

2. Schränken Sie den Zugriff effektiv ein: Ein Least-Privilege-Ansatz ist eine gute Möglichkeit, Risiken zu reduzieren. Und auch wenn viele Unternehmen der Ansicht sind, diese Strategie zu verfolgen, sieht die Realität leider oftmals anders aus. Der Data Risk Report 2020 hat gezeigt, dass durchschnittlich jede fünfte Datei für jeden Mitarbeiter zugänglich ist. Auf diese Weise können motivierte Insider nahezu alles finden – von Gehaltsabrechnungen über Geschäftspläne bis hin zu geistigem Eigentum. Und dies alles nur durch die Benutzung eines File-Browsers. Eliminieren Sie den offenen Zugang und reduzieren Sie die Gefährdung durch die effektive Durchsetzung eines Least-Privilege-Modells, um sicherzustellen, dass nur diejenigen Zugriff auf Daten haben, die sie für ihre Arbeit auch tatsächlich benötigen.

3. Identifizieren Sie ungewöhnliches Verhalten: Insider-Angriffe mögen sich in der Motivation und Durchführung unterscheiden, eines haben sie aber gemeinsam: Der entsprechende Benutzer wird sich irgendwann ungewöhnlich verhalten. Ob er ein neues Gerät benutzt, das Konto eines anderen Benutzers kapert, auf Daten zugreift, die er noch nie gesehen hat (vor allem, wenn es sich um sensible Daten handelt), oder ob er sich einfach nur zu einer ungewöhnlichen Tageszeit oder von einem unüblichen Ort aus verbindet – irgendetwas wird nicht stimmen. Außergewöhnliches Verhalten kann man aber nur dann erkennen, wenn man das „normale“ Verhalten kennt. Entsprechend ist es von größter Bedeutung, Verhaltensprofile für jeden Nutzer zu erstellen (und hierbei auch Informationen aus Peer-Gruppen miteinzubeziehen) und damit den „Normalwert“ zu ermitteln. Nur so ist man in der Lage, auch subtiles abnormales Verhalten zu identifizieren.

4. Verbinden Sie die Punkte: Jedes Puzzlestück für sich genommen mag nicht ungewöhnlich erscheinen und entsprechend keinen Alarm auslösen. Vielleicht ist es für Führungskräfte nicht üblich, an Wochenenden oder im Urlaub zu arbeiten, möglich ist es aber. Benutzer greifen auch häufig von neuen Geräten oder außerhalb der Geschäftszeiten auf Unternehmensressourcen zu. Und manchmal greifen Benutzer einfach (aus ganz legitimen Gründen) auf viele (auch sensible) Daten zu. Setzt man jedoch all diese Verhaltensweisen miteinander in Beziehung, ergibt sich ein recht klares Bild und das Sicherheitsteam kann entsprechende Maßnahmen einleiten. „Laute“ Angriffe wie Ransomware sind leicht zu erkennen bzw. setzen ja auch auf eine Erkennung. Subtiler Insider-Diebstahl ist wesentlich schwerer zu identifizieren, es sei denn, sie können verschiedene Verhaltensmuster korrelieren. 

Unternehmen übersehen oft die Gefahren, die von ihren Mitarbeitern ausgehen – auch deshalb, weil sie ohne die richtigen Instrumente schwer zu erkennen sind. Gegenüber externen Angreifern haben Innentäter einige Vorteile auf ihrer Seite: Sie kennen sich im Netzwerk aus, können ihre Aktivitäten verschleiern und ihre Spuren verwischen. Die Folgen eines Insiderangriffs können verheerend sein und reichen von Bußgeldern über verlorenes Kundenvertrauen bis hin zu extremen wirtschaftlichen Folgen, etwa wenn geistiges Eigentum gestohlen wird. Deshalb ist es von enormer Wichtigkeit, die subtilen Anzeichen dieser Angriffe früh zu erkennen und Abwehrmaßnahmen einzuleiten. Dabei geht es nicht darum, Mitarbeiter unter einen Generalverdacht zu stellen, sondern darum, Ihre Daten als Ihr wertvollstes Asset zu schützen. Und dieser Schutz ist auch im Interesse der Mitarbeiter, denn die beschriebenen Folgen eines Datenvorfalls treffen auch sie.