Thought Leadership
Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte Angriffsvarianten weiterhin auf dem Vormarsch. Dazu gehört auch der Diebstahl von Daten durch Angestellte oder ehemalige Mitarbeiter. Ein Kommentar von Todd Peterson, One Identity.
Ein zum Zeitpunkt des Betrugs beim Versicherungskonzern AXA beschäftigter Mitarbeiter stellte einem ehemaligen Mitarbeiter die Kundendaten zur Vefügung. Die dieser seinerseits an ein Drittunternehmen (Mid North West Ltd) weiterleitete. Dieses kontaktierte daraufhin die Kunden mit der Empfehlung ihre Ansprüche bei einem Unfall mithilfe eines Anwalts geltend zu machen. Mid North West vermittelte dann nicht ganz uneigennützig die Anwälte, die ihrerseits für diese Vermittlung eine Provision zahlten.
Nur eine von vielen Möglichkeiten wie sich Daten zu Geld machen lassen. Hier hat sich ein ganz eigener Industriezweig gebildet, der sich eines kontinuierlichen Wachstums erfreut. Mit den immensen Datenmengen, die auch Menschen zur Verfügung stehen, die nicht ganz so hehre Absichten haben, sieht es ganz so aus, als ob diese Form der Cyberkriminalität in die Größenordnung zu Cyber Fraud und Phishing aufschließen könnte.
„Uns liegen keine exakten Fallzahlen vor. Wir haben allerdings erst vor kurzem eine Umfrage durchgeführt, ob oder ob nicht Mitarbeiter auf Daten und Informationen zugreifen können, auf die sie keinen Zugriff haben sollten (unabhängig davon, ob sie die Daten missbrauchen oder nicht). 77 % der Befragten gab an auf vertrauliche Informationen zugreifen zu können (und 12 % sagten, dass sie das unter den entsprechenden Voraussetzungen auch tun würden). Man sollte zudem nicht vergessen, dass praktisch bei jeder schwerwiegenden Datenschutzverletzung der letzten Jahre Berechtigungen eines Insiders auf die eine oder andere Art mit im Spiel waren. Hacker versuchen in ein Netzwerk zu gelangen und sich dort wie ein legitimer Benutzer zu bewegen (entweder indem sie sich als legitimer Nutzer ausgeben oder indem sie ein neues legitimes Konto einrichten von dem das Unternehmen nichts weiß).
So oder so dienen diese „legitimen“ Berechtigungen dann dazu, innerhalb des Netzwerks Schaden anzurichten. Der einzige Unterschied bei einem Insider ist die Tatsache, dass er oder sie sich den Zugriffsberechtigungen bedienen, die das Unternehmen selbst vergeben hat. Oder – eine weitere altbekannte Variante – der Insider nutzt die legitimen Berechtigungen um seine Rechte auszuweiten und im Idealfall als „Superuser“ auf die wichtigsten Daten eines Unternehmens zugreifen zu können.
Es gibt aber eine Reihe von Möglichkeiten solche Insider-Bedrohungen in den Griff zu bekommen:
Moderne PAM-Technologien verfügen über Analysefunktionen, die gewährleisten, dass jeder Benutzer auch wirklich ein berechtigter Nutzer ist (was verhindert, dass sich ein Außensteher als legitimer Nutzer ausgibt) und dass sämtliche Berechtigungen korrekt vergeben worden sind (was verhindert, dass ein Insider Rechte unzulässig erweitert). Bei den täglich anfallenden Arbeiten sollte das Least-Privileged-Prinzip zu Grunde liegen. Sofern erweiterte Zugriffsberechtigungen benötigt werden, sollten zusätzliche Kontrollmechanismen sowie ein Monitoring zum Einsatz kommen. Dadurch wird sichergestellt, dass individuelle Verantwortlichkeiten zugeordnet werden können und die Aktivitäten, die mittels der privilegierten Konten durchgeführt werden, nachvollziehbar sind.
Angriffe wie der aus dem obigen Beispiel sind bereits zu einem größeren Problem geworden. Wie schon erwähnt werden Phishing-Attacken und andere kriminelle Methoden allesamt dazu verwendet Insider-Konten anzulegen, die dann entsprechend genutzt werden. Und auch ein Insider wird ganz ähnlich vorgehen und ein Konto anlegen, von dem aus er seine kriminellen Machenschaften steuern kann. Und er oder sie werden so gut wie möglich versuchen ihre Spuren zu verwischen. Dafür gibt es eine Reihe von sehr prominenten Beispielen. Im großen und ganzen läuft es immer auf dasselbe hinaus – nur mit dem einen Unterschied, dass der Bad Guy einmal von außen in das Netzwerk eindringt und im anderen Fall von innen kommt.
Man kann also durchaus soweit gehen zu sagen, dass im Grunde jede Datenschutzverletzung auf die eine oder andere Weise ein „Insider Job“ ist.“
www.oneidentity.com/de-de/
