Anzeige

Insider

Stellen wir uns folgendes Szenario vor: An einem verregneten Montagmorgen erhält der Sicherheitsverantwortliche einer Investmentfirma einen Alarm: Ein leitender Angestellter hat am Wochenende auf mehr als 10.000 Dateien zugegriffen, deutlich mehr als gewöhnlich und zu einer unüblichen Tageszeit.

Möglicherweise kein Grund zur Beunruhigung, wenngleich einige Details auffällig sind: Der betreffende Mitarbeiter ist derzeit im Urlaub und hatte sich bislang noch nicht mit dem Unternehmensnetzwerk verbunden. Warum sollte er auf so eine große Menge Daten zugreifen, noch dazu an einem Wochenende? Arbeitet die Führungskraft jetzt im Urlaub alte Fälle ab oder steckt womöglich mehr dahinter? Sollte sich der Sicherheitsmanager telefonisch nach dem Rechten erkundigen?

Glücklicherweise war der Sicherheitsverantwortliche in der Lage, einen detaillierten Zeitplan zu erstellen und die subtilen Anzeichen eines Angriffs zu erkennen. Er konnte die spezifischen Daten, die berührt worden waren, und das benutzte Gerät identifizieren. Dabei stellte er fest, dass auf die Dateien nicht nur zugegriffen wurde, sondern sie auch auf einen persönlichen Cloud-Speicher kopiert wurden. Die bemerkenswerteste Erkenntnis: Der Zugriff erfolgte nicht vom Urlaubsort des Mitarbeiters. Vielmehr hatte sich jemand im Unternehmensgebäude in dessen Konto eingeloggt und auf die sensiblen Daten zugegriffen. 

Dieses Szenario ist leider verbreiteter als man denken könnte. Fälle dieser Art bleiben jedoch oftmals unentdeckt, da die kritischen Daten eines Unternehmens nicht hinreichend betrachtet und ungewöhnliche Aktivitäten nicht entdeckt werden. Um sämtliche Signale zu erkennen, die auf einen Insider-Angriff hindeuten, müssen zudem Korrelationen zwischen scheinbar normalen Ereignissen gezogen und die Punkte zwischen Benutzern, Geräten und Daten sinnvoll verbunden werden. 

Um seine vertraulichen Unternehmensdaten wirkungsvoll auch vor subtilen Insider-Angriffen zu schützen, sollte man folgende vier Schritte in seiner Sicherheitsstrategie umsetzen.

  1. Identifizieren Sie Ihre wertvollsten und kritischsten Daten: Böswillige Insider agieren aus den unterschiedlichsten Gründen. Eines haben sie aber in aller Regel gemeinsam: Sie sind hinter Ihren wertvollen Daten her. Wenn Sie Ihre sensiblen Informationen nicht im Auge behalten, ist es unmöglich, Insideraktivitäten aufzuspüren und zu untersuchen. Sie müssen wissen, wo sich Ihre vertraulichen Assets befinden, sowohl vor Ort als auch in der Cloud, wer sie nutzt und wer für sie verantwortlich ist.

  2. Schränken Sie den Zugriff effektiv ein: Ein Least-Privilege-Ansatz ist eine gute Möglichkeit, Risiken zu reduzieren. Und auch wenn viele Unternehmen der Ansicht sind, diese Strategie zu verfolgen, sieht die Realität leider oftmals anders aus. Der Data Risk Report 2020 hat gezeigt, dass durchschnittlich jede fünfte Datei für jeden Mitarbeiter zugänglich ist. Auf diese Weise können motivierte Insider nahezu alles finden – von Gehaltsabrechnungen über Geschäftspläne bis hin zu geistigem Eigentum. Und dies alles nur durch die Benutzung eines File-Browsers. Eliminieren Sie den offenen Zugang und reduzieren Sie die Gefährdung durch die effektive Durchsetzung eines Least-Privilege-Modells, um sicherzustellen, dass nur diejenigen Zugriff auf Daten haben, die sie für ihre Arbeit auch tatsächlich benötigen.

  3. Identifizieren Sie ungewöhnliches Verhalten: Insider-Angriffe mögen sich in der Motivation und Durchführung unterscheiden, eines haben sie aber gemeinsam: Der entsprechende Benutzer wird sich irgendwann ungewöhnlich verhalten. Ob er ein neues Gerät benutzt, das Konto eines anderen Benutzers kapert, auf Daten zugreift, die er noch nie gesehen hat (vor allem, wenn es sich um sensible Daten handelt), oder ob er sich einfach nur zu einer ungewöhnlichen Tageszeit oder von einem unüblichen Ort aus verbindet – irgendetwas wird nicht stimmen. Außergewöhnliches Verhalten kann man aber nur dann erkennen, wenn man das „normale“ Verhalten kennt. Entsprechend ist es von größter Bedeutung, Verhaltensprofile für jeden Nutzer zu erstellen (und hierbei auch Informationen aus Peer-Gruppen miteinzubeziehen) und damit den „Normalwert“ zu ermitteln. Nur so ist man in der Lage, auch subtiles abnormales Verhalten zu identifizieren.

  4. Verbinden Sie die Punkte: Jedes Puzzlestück für sich genommen mag nicht ungewöhnlich erscheinen und entsprechend keinen Alarm auslösen. Vielleicht ist es für Führungskräfte nicht üblich, an Wochenenden oder im Urlaub zu arbeiten, möglich ist es aber. Benutzer greifen auch häufig von neuen Geräten oder außerhalb der Geschäftszeiten auf Unternehmensressourcen zu. Und manchmal greifen Benutzer einfach (aus ganz legitimen Gründen) auf viele (auch sensible) Daten zu. Setzt man jedoch all diese Verhaltensweisen miteinander in Beziehung, ergibt sich ein recht klares Bild und das Sicherheitsteam kann entsprechende Maßnahmen einleiten. „Laute“ Angriffe wie Ransomware sind leicht zu erkennen bzw. setzen ja auch auf eine Erkennung. Subtiler Insider-Diebstahl ist wesentlich schwerer zu identifizieren, es sei denn, sie können verschiedene Verhaltensmuster korrelieren. 


Unternehmen übersehen oft die Gefahren, die von ihren Mitarbeitern ausgehen – auch deshalb, weil sie ohne die richtigen Instrumente schwer zu erkennen sind. Gegenüber externen Angreifern haben Innentäter einige Vorteile auf ihrer Seite: Sie kennen sich im Netzwerk aus, können ihre Aktivitäten verschleiern und ihre Spuren verwischen. Die Folgen eines Insiderangriffs können verheerend sein und reichen von Bußgeldern über verlorenes Kundenvertrauen bis hin zu extremen wirtschaftlichen Folgen, etwa wenn geistiges Eigentum gestohlen wird. Deshalb ist es von enormer Wichtigkeit, die subtilen Anzeichen dieser Angriffe früh zu erkennen und Abwehrmaßnahmen einzuleiten. Dabei geht es nicht darum, Mitarbeiter unter einen Generalverdacht zu stellen, sondern darum, Ihre Daten als Ihr wertvollstes Asset zu schützen. Und dieser Schutz ist auch im Interesse der Mitarbeiter, denn die beschriebenen Folgen eines Datenvorfalls treffen auch sie.


 

Michael Scheffler, Country Manager DACH
Michael Scheffler
Country Manager DACH, Varonis Systems

Artikel zu diesem Thema

Cloud Handfläche
Okt 07, 2020

Speicher- und Datenmanagement in der Cloud

Unternehmen möchten zunehmend auch anspruchsvolle dateibasierte Workloads in der Cloud…
Ransomware
Okt 05, 2020

Mit Fake News gegen Ransomware

Firewalls und klassische Lösungen für die Endpoint Security reichen für die Abwehr immer…

Weitere Artikel

Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.
Cyber Security

Cyberangriffe nehmen zu: Was IT-Sicherheit mit Corona-Maßnahmen gemeinsam hat

Cyberangriffe sind während der Corona-Pandemie gestiegen. Angreifer nutzen unter anderem Sicherheitsschwachstellen im Home-Office aus, warnt der Spezialist für Unternehmensresilienz CARMAO GmbH.
Spyware

Pegasus-Projekt: Wie kann man sich gegen die Spyware schützen?

Hunderte Journalist:innen und Oppositionelle sind Opfer der israelischen Spyware Pegasus geworden. Die Software kann unbemerkt auf die Smartphones der Zielpersonen installiert werden – mit verheerenden Folgen.
Cyber Security

Cybersecurity aktuell: Was wir heute von gestern für morgen lernen können

Der enorme Anstieg von Ransomware-Angriffen zeigt einmal mehr, wie verwundbar noch viele IT-Systeme in Unternehmen sind. Bis heute treffen zahlreiche Firmen nicht die richtigen Maßnahmen, um sich vor Cyberkriminellen effektiv zu schützen.
IT Sicherheit

Schwerwiegende Sicherheitslücke in Druckern von HP, Xerox und Samsung

Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.