Anzeige

Anzeige

VERANSTALTUNGEN

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

SEOkomm 2018
23.11.18 - 23.11.18
In Salzburg, Österreich

Blockchain Business Summit
03.12.18 - 03.12.18
In Nürnberg

Cyber Risk Convention
05.12.18 - 05.12.18
In Köln

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Anzeige

Anzeige

Anzeige

Hacker Hintertuer Shutterstock 700

Beim Stichwort Cyber-Bedrohung denkt man häufig an großangelegte Malware-Angriffe wie Ransomware, mit denen Kriminelle versuchen, das Firmennetzwerk zu kompromittieren. Unterschätzt wird jedoch oft eine Gefahr, die bereits im Firmengebäude sitzt: Die Insider-Bedrohung.

Insider – seien es unachtsame Angestellte oder böswillige Mitarbeiter, die aus finanziellen oder persönlichen Motiven Daten stehlen oder gar löschen – sind ein enormes Risiko für die Datensicherheit in Unternehmen. Oft haben Angestellte, externe Auftragnehmer und andere Dritte legitimen Zugriff auf sensible Daten, um effektiv und flexibel arbeiten zu können. Dies stellt eine Herausforderung für Sicherheitsteams dar, denn es ist wesentlich schwieriger, Bedrohungen zu erkennen, wenn der betreffende Akteur gültigen Zugriff auf Unternehmensdaten hat. Mit entsprechenden Richtlinien und Technologien kann die Gefahr eines internen Datenverlustes oder -diebstahls jedoch erheblich reduziert werden.

Sensibilisierung unvorsichtiger Mitarbeiter

Die Sensibilisierung und Schulung der eigenen Mitarbeiter ist für Unternehmen eine der wirksamsten Abwehrmaßnahmen gegen Insider-Bedrohungen. Dies liegt daran, dass die meisten unbeabsichtigten Datenverstöße auf Handlungen eines unachtsamen Mitarbeiters zurückzuführen sind. Durch regelmäßige Schulungen zum Thema Datensicherheit wird Mitarbeitern beigebracht, korrekt mit sensiblen Unternehmensdaten umzugehen. Zudem sollten alle Angestellten über neue Datenrichtlinien oder Technologien informiert werden, bevor diese implementiert werden.

Datenzentrierter Security-Ansatz zum Schutz vor böswilligen Insidern

Dies schützt sensible Daten allerdings nicht vor Mitarbeitern, die ihre Zugriffsrechte nutzen, um vorsätzlich das Falsche zu tun. Das Risiko der missbräuchlichen Datennutzung oder des Diebstahls durch Insider-Bedrohungen kann jedoch mit geeigneten Technologien eingedämmt werden. Diese Technologien sollten datenzentriert sein: Das bedeutet, sie geben Sicherheitsteams einen Überblick, auf welche Unternehmensdaten wie, wann und von wem zugegriffen wird. Dadurch können Sicherheitsverantwortliche ungewöhnliche Aktivitäten rasch erkennen. Zudem sollten diese Technologien automatisch verhindern, dass ein unbefugter Mitarbeiter sensible Daten kopiert, überträgt oder löscht. Solch ein datenzentrierter Sicherheitsansatz sorgt darüber hinaus dafür, dass unachtsame Angestellte sensible Daten nicht versehentlich verschieben oder versenden.

User and Entity Behavior Analysis (UEBA) mithilfe von Machine Learning

User and Entity Behavior Analysis (UEBA) ist ein Cybersecurity-Prozess zur Verfolgung verdächtiger oder bösartiger Verhaltensweisen. UEBA-Tools überwachen das Nutzerverhalten von Mitarbeitern und externen Auftragnehmern mit Zugriff auf Anwendungen, Konten und Servern, die sensible Daten speichern. Dabei nutzen UEBA-Tools fortschrittliche Machine Learning-Algorithmen in Kombination mit statistischen Auswertungsmethoden, um potentielle Insiderbedrohungen zu ermitteln. Hierzu wird ein Standard-Verhaltensprofil des jeweiligen Nutzers erstellt, mit Informationen wie Ort und Geräten, von denen sich ein User in der Regel anmeldet, auf welche Dateien und Server er normalerweise zugreift, wie oft und zu welcher Zeit, welche Zugriffsrechte er aktuell hat und vieles mehr.

Angenommen, ein Benutzer lädt jeden Tag eine bestimmte Datenmenge von einem bestimmten Gerät herunter und greift jede Woche auf eine bestimmte Anzahl von Servern zu. Stellt das Analyse-Tool fest, dass der Account plötzlich Gigabytes an Daten von einem fremden Standort herunterlädt oder auf neue Server zugreift, wird es Alarm schlagen.

UEBA-Tools können somit selbstlernend auf Basis von Berechtigungen und Zugriffsrechten des jeweiligen Nutzers arbeiten. Mit Hilfe von Algorithmen kann UEBA spezifische Verhaltensmuster, Anomalien sowie Insider-Bedrohungen erkennen, die bei herkömmlicher menschlicher Überwachung eventuell völlig unbemerkt bleiben würden. Zudem schützt UEBA so auch vor Bedrohungen von außen: Für Cyberkriminelle mag es beispielsweise mithilfe von Phishing-Angriffen relativ simpel sein, Anmeldeinformationen wie Benutzername und Passwort eines Mitarbeiters abzugreifen, doch es wird schwierig werden, das Standardverhalten des jeweiligen Benutzers im Netzwerk nachzuahmen.

Interne und externe Bedrohungen im Überblick, gegen die UEBA schützen kann

  • Insider-Bedrohungen: Die Motivation von böswilligen Insidern ist vielfältig, von finanziellem Gewinn durch den Verkauf personenbezogener Daten oder Weitergabe von Industrie- und Geschäftsgeheimnissen bis hin zum Löschen unternehmenskritischer Daten als Racheakt aufgrund einer Entlassung.
  • UEBA-Abwehrmechanismus: Durch integriertes Machine Learning kann das UEBA-Tool Sicherheits-, Richtlinienverstöße und Privilegien-Missbrauch durch Mitarbeiter eines Unternehmens erkennen und Sicherheitsteams bei verdächtigen Insideraktivitäten direkt alarmieren.
  • Gehackte privilegierte Konten: Häufig haben Führungskräfte erweiterte Zugriffsrechte und verfügen aufgrund ihrer Unternehmensposition auch über besondere Berechtigungen. In anderen Fällen erhalten externe Auftragnehmer oder leitende Angestellte auch kurzfristigen Zugriff auf sensible Daten, beispielsweise für ein Projekt. Cyberkriminelle sind stets auf der Suche nach derart privilegierten Konten, um möglichst lukrative Informationen zu erbeuten.
  • UEBA-Abwehrmechanismus: Privilegierte Konten können sowohl durch böswillige Insider als auch unachtsame Mitarbeiter gefährdet werden, die versehentlich sensible Informationen preisgeben. Durch die unmittelbare Erkennung untypischen Verhaltens unterstützt UEBA IT-Teams darin, kompromittierte Konten auszusortieren, bevor ein Hacker Schaden anrichten kann. Darüber hinaus weiß das Analyse-Tool auch, wann privilegierte User angelegt wurden, und überwacht, ob sie überhaupt noch Zugriff auf bestimmte Daten benötigen oder über nicht mehr notwendige Berechtigungen verfügen.
  • Passwort-Angriffe: Hat ein Hacker ein Passwort abgegriffen, kann er mithilfe simpler Brute Force-Attacken Variationen des Kennworts ausprobieren, um in weitere Konten des Opfers einzudringen. Angreifer nutzen hierbei die Wahrscheinlichkeit aus, dass Nutzer bestimmte Abwandlungen des gleichen Passworts für verschiedene Accounts verwenden.
  • UEBA-Abwehrmechanismus: Sobald Hacker Zugang zu Logins und Passwörtern haben, werden sie im nächsten Schritt wahrscheinlich Firewalls, Server-Einträge oder Authentifizierungssysteme von Drittanbietern angreifen. UEBA ist in der Lage, Brute Force-Attacken zu erkennen und den Zugang zu angegriffenen Systemen sofort zu sperren.

Mit entsprechenden Richtlinien wie regelmäßiger Mitarbeiterschulung und datenzentrischen Sicherheitstechnologien vermeiden Unternehmen, dass ihre Daten in die falschen Hände geraten. UEBA-Tools können hier IT-Teams maßgeblich unterstützen, verdächtiges Nutzerverhalten schnell zu erkennen und alarmieren proaktiv, bevor es zu einem Sicherheitsverstoß kommt. 

Christoph KumpaChristoph M. Kumpa, Director DACH & EE bei Digital Guardian

GRID LIST
Online-Banking

Sicheres Online-Banking

Rund 42 Millionen Menschen in Deutschland nutzen Online-Banking. Diese hohe Zahl ist…
Katz-und-Maus

Finanzinstitute und Cyber-Attacken: ein Katz-und-Maus-Spiel?

Laut einer aktuellen Studie des US Ponemon Institute über 254 Firmen in sieben Staaten…
Drohne

Gefährdung der IT-Sicherheit durch Drohnen

NTT Security (Germany), das auf Sicherheit spezialisierte Unternehmen und „Security…
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

E-Mail-Sicherheit in der Praxis weiterhin vernachlässigt

Vor einigen Wochen veröffentlichte das BSI (Bundesamt für Sicherheit in der…
Wurm

30-jähriges Jubiläum des Morris-Wurms - Nehmen wir die Cyber Security ernst?

Am 2. November 2018 sind 30 Jahre seit der Verbreitung des berüchtigten Morris-Wurms…
GandCrab

Bitdefender entschlüsselt Ransomware GandCrab

Bitdefender hat ein Entschlüsselungswerkzeug für neueste Versionen der…
Smarte News aus der IT-Welt