Thought Leadership
Moderne Cyberangriffe haben die klassische Definition von Insider-Bedrohungen überholt: Heute wird jeder Angreifer zum Insider, sobald er Identität oder Gerät eines Users kompromittiert. Ein Kommentar von Tony Fergusson, CISO in Residence bei Zscaler.
Das Risiko von Insider-Bedrohungen begleitet Unternehmen seit jeher – doch seine Bedeutung hat sich gewandelt. Per Definition verstand man unter einem Insider jemanden, der sich physisch im Unternehmen aufhielt: Mitarbeitende im Büro oder externe Fachkräfte, die vor Ort im Einsatz waren. Diese Ansicht hat sich mit dem Aufkommen der Cloud gewandelt. User arbeiten ortsunabhängig, Daten liegen verteilt in Cloud-Umgebungen und der Netzwerkperimeter existiert nicht mehr. Hat jemand Zugang zu dieser virtuellen Unternehmensumgebung, wird er automatisch zum Insider.
Das wirft die zentrale Frage auf: Wenn ein Gerät mittels Malware und Command-and-Control-Funktionen kompromittiert wird, handelt es sich dann um einen Insider-Angriff? Aus der Perspektive des Zugriffs eindeutig ja. Denn der Angreifer verfügt dann über dieselben Berechtigungen wie ein legitimer User.
Warum moderne Angreifer kaum noch erkennbar sind
Und genau darin liegt die eigentliche Herausforderung. Angreifer nutzen die veränderte IT-Landschaft geschickt aus. Sobald sie eine Identität oder ein Gerät kompromittiert haben – sei es durch Phishing, Malware oder gestohlene Anmeldedaten –, übernehmen sie die Berechtigungen und Privilegien eines autorisierten Users. Die Bewegungen des Angreifers ähneln ab diesem Moment regulären Zugriffsmustern. Je näher Eindringlinge an kritische Systeme und sensible Daten herankommen, desto stärker verschwimmen die Grenzen zwischen legitimer Aktivität und Angriffen. Wenn der Malware-Akteur tief in die Infrastruktur eines Unternehmens eingedrungen ist, agiert er praktisch wie eine autorisierte Person – im Extremfall wie ein Systemadministrator.
Ein zentrales Element dieser Methodik ist „Living off the Land (LOTL)“. Dabei nutzen Angreifer ausschließlich vorhandene Tools, Anmeldedaten und Prozesse und lenken so bewusst keine Aufmerksamkeit auf sich. Sie vermeiden es, verdächtige Software oder ungewohnte Verhaltensweisen in das Netzwerk einzuführen. Sie bewegen sich unerkannt unterhalb des Radarschirms der Sicherheit und vermischen sich nahtlos mit legitimen Usern. Sie wirken wie jemand, der im Unternehmen im Anzug erscheint und dort ein- und ausgeht, selbstbewusst auftritt und die Routinen anderer Mitarbeitender übernimmt, so dass niemand durch ihre Präsenz misstrauisch wird. Genau diese Fähigkeit, in der Menge zu verschwinden, stellt eine erhebliche Herausforderung für die Erkennung solcher Angreifer dar und macht verhaltensbasierte Analysen und kontinuierliche Überwachung unverzichtbar.
Unvorhersehbarkeit als Grundprinzip moderner Verteidigung
Um solche Angreifer zu erkennen, müssen Unternehmen den Fokus deutlich stärker auf das Verhalten legen und nicht mehr ausschließlich an der User-Identität festmachen. Abweichungen vom Normalverhalten eines Users bilden ein wichtiges Warnsignal unabhängig davon, ob ein User böswillig agiert oder ein kompromittiertes Konto genutzt wird. Beide Vorgehensweisen folgen ähnlichen Mustern: Sie suchen nach wertvollen Assets und sensiblen Daten. Da hilft es nur noch, Fallstricke im Netzwerk auszulegen, die bei ungewöhnlichen Aktivitäten auslösen und den Eindringling frühzeitig sichtbar machen, bevor er sein eigentliches Ziel erreicht hat.
Doch Fallen allein genügen nicht für eine umfangreiche Resilienz. Ein robustes Sicherheitsfundament basiert auf dem Zero Trust-Ansatz: Vertrauen darf weder statisch noch implizit sein, sondern muss kontinuierlich überprüft werden. Starke Authentifizierung, abgesicherte Unternehmensgeräte und fortlaufende Monitoring-Prozesse erschweren Angreifern den unbefugten Zugriff erheblich.
Sicherheitsverantwortliche sollten allerdings noch einen Schritt weitergehen und sich „Negative Trust“ zu eigen machen. Negatives Vertrauen bringt gezielte Unvorhersehbarkeit und kontrollierte Täuschung ins Spiel – ein wirkungsvoller Mechanismus, um Angreifer vom eigentlichen Ziel abzulenken. Viele Unternehmensprozesse sind zu standardisiert, und diese Vorhersehbarkeit erleichtert dem Angreifer das Zurechtfinden im System. Durch Variabilität und Störsignale entsteht eine Umgebung, die für Angreifer schwerer navigierbar wird, während Verteidiger Anomalien leichter erkennen können.
Zum Vergleich: Verschlüsselte Daten besitzen hohe Entropie und wirken zufällig – ein Zustand, den Angreifer meiden. Klartext ist hingegen vorhersehbar und damit attraktiv. Gleiches gilt für IT-Umgebungen: Je vorhersehbarer Systeme sind, desto leichter können sich Angreifer darin unbemerkt bewegen. Negative Trust erzeugt Rauschen, erhöht die Entropie und zwingt Angreifer, auf Köder zu reagieren.
Verhalten wird zum entscheidenden Vertrauenssignal
Moderne Angreifer hacken sich heute nicht mehr ins Netzwerk, sie loggen sich ein und bewegen sich dann vollkommen sichtbar in der Umgebung. Dementsprechend ähneln solche Angriffe fast immer Insider-Angriffen – unabhängig davon, ob die handelnde Identität real oder kompromittiert ist. Deshalb sollte jede Bedrohung als Insider-Bedrohung betrachtet werden. Die Zukunft der Verteidigung liegt darin, Angriffspfade zu minimieren, indem man durch Zero Trust Vertrauen in eine Umgebung einbettet und anschließend mit Negative Trust Rauschen hinzufügt.
Auf diese Weise stärken Unternehmen ihre Fähigkeit, böswilliges Verhalten frühzeitig zu identifizieren. Dies gilt umso mehr, da Angreifer zunehmend bereit sind, Mitarbeitende zu bestechen, um Daten weiterzugeben oder Authentifizierungs-Cookies aus Browsern abzuziehen. In der heutigen Zeit, in der es keine Perimetergrenze mehr gibt, wird das Verhalten des Users zum einzigen wirklich verlässlichen Vertrauenssignal.
