:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9f5fe75125e324259e4c4cb0470b7/0115708231.jpeg "Cyberangriffe sind nicht immer technischer Natur. Wir geben eine Übersicht der gängigsten nicht-technischen Angriffe sowie passende Schutzmaßnahmen für Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/f5/03f599e672c719f18dc14be45afbd440/0115706811.jpeg "Digitale Identitäten mit höheren Berechtigungen stehen im Mittelpunkt aktueller Angriffswellen durch Hacker. (Bild: robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/2a/412a1b77c5fcca8d70bdfb5066d48488/0114968713.jpeg "CNP+ nutzt die Stärke von Wi-Fi-6-/7-Access-Points zur Durchführung von Sicherheitsprüfungen, die traditionell von Security-Gateways übernommen werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Was Unternehmen aus dem Fall Snowden lernen können Insider-Bedrohung im Netzwerk erkennen
In Firmennetzen dürfen oft zu viele Mitarbeiter auf kritische Daten zugreifen. Werden solche Informationen gestohlen, kann dies einen erheblichen Schaden verursachen. Doch woran können Unternehmen verdächtige Aktivitäten aufspüren im Netzwerk und Attacken durch die eigenen Mitarbeiter erkennen?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Fast jedes dritte deutsche Unternehmen hat in den vergangenen beiden Jahren einen Cyberangriff erlebt, wie der IT-Branchenverband BITKOM gemeldet hat. Um den Unternehmensbetrieb und geschäftskritischen Daten vor Angriffen von außen zu schützen, werden meist Firewalls und Intrusion-Detection- oder Intrusion-Prevention-Systeme eingesetzt.
Im besten Fall vertrauen Unternehmen auf mehrstufige Sicherheitssysteme. Diese regeln den Zugriff auf das Netzwerk von außen und sehen dafür unterschiedliche Sicherheitsschleusen vor. Wenn ein Angriff allerdings aus dem Netzwerk selbst heraus erfolgt, sind diese Vorkehrungen wirkungslos.
Das Risiko, dass ein Angestellter seinem Arbeitgeber aus Wut oder Enttäuschung ernsthaften Schaden zufügt, indem er Daten stiehlt oder IT-Systeme sabotiert, wird von Fachleuten als eher gering eingestuft. Die passenden Umstände für dieses Szenario treten einfach zu selten auf.
Allerdings neigen wir auch dazu, uns vor allem auf sichtbare Gefahren zu konzentrieren. Ein Mitarbeiter, der wutentbrannt WLAN-DoS-Tools nutzt oder mit USB-Sticks voller Malware herumläuft, dürfte wahrscheinlich auffallen. Andere Insider-Bedrohungen bleiben hingegen fast unsichtbar.
Gut versteckt ist halb gewonnen
Wenn ein Angestellter von einem Datendiebstahl profitieren möchte, beispielsweise durch den Verkauf von Informationen an Dritte, dann verhält es sich wie beim externen Angreifer: er hat kein Interesse daran, in irgendeiner Form aufzufallen. Damit sind Angreifer aus der Mitte des Unternehmens, die keinen offensichtlichen Groll hegen, ein deutlich größeres Risiko.
Für die NSA hat sich Edward Snowden als eben solcher Insider erwiesen. Zugegeben, die Beweggründe für sein Handeln waren anderen Ursprungs und Whistleblower sind eher eine Gefahr für Staaten oder Unternehmen, die etwas zu verbergen und viel zu verlieren haben.
Dennoch dreht sich der Fall um den Schutz von kritischen Informationen in einem Netzwerk. Dieses Thema ist letztlich für jedes Unternehmen relevant, das geistiges Eigentum sowie strategische Geschäfts- und Personendaten schützen muss.
Crawling: Datensammlung mit System
Im Fall Snowden stellte sich heraus: Mithilfe automatisierter Tools gelang es ihm, systematisch alle verfügbaren Informationen zusammenzutragen. Er scannte das gesamte Netzwerk nach Webservern ab, um dann alle darauf gespeicherten Daten herunterzuladen. Diese Crawling-Technik ist eine gängige Strategie, um herauszufinden, wo Informationen gespeichert sind.
Crawling kann sowohl von der eigenen IT als auch bei Insider-Angreifern eingesetzt werden und ist extrem effektiv: Die meisten Daten sind so ungeschützt abrufbar, weil sie sich tief im eigentlich nach außen geschützten Firmennetz befinden. Entsprechend vorgehende Insider aufzuspüren, ist mitunter schwierig. Grundsätzlich sind ihre Präsenz im Netzwerk als Mitarbeiter und der Datenzugriff zur Verrichtung ihrer Arbeit ja vorgesehen.
Der Schlüssel liegt in Unterschieden zum Verhalten anderer regulärer Nutzer. Prinzipiell lässt sich eine ungewöhnliche Netzwerkaktivität leicht erkennen: Weichen Traffic-Spitzen für bestimmte Netzwerkbereiche vom Regelfall ab, ist die Chance hoch, dass dies ein Teil eines größer angelegten Angriffs ist.
Die Netzwerkaktivität ist die Datenspur des Insiders
Diese Unterschiede lassen sich gut am Beispiel von Internet-Suchmaschinen illustrieren, die mithilfe von Crawling Webseiten indizieren. Besucht ein Nutzer eine Website, landet er zunächst auf der Startseite. Danach klickt er auf einen Link, um auf hinterlegte Inhalte zuzugreifen. Daraufhin wird er auf einen weiteren Link klicken, um auf die nächste Seite zu gelangen, und so weiter.
Besucht hingegen ein Webcrawler eine Internetseite, ruft er automatisch jeden Link auf der Seite auf, anschließend die Links auf allen Unterseiten, dann alle Links auf diesen Seiten und so weiter, bis jeder Link und jede Seite indiziert wurde – inklusive toter Links und nicht existenter Seiten. Im Log der Webseite wird die Crawling-Aktivität als Anomalie auffallen, da dies sowohl einen Anstieg bei Seitenaufrufen als auch von Fehlermeldungen zur Folge hat.
Was Webseiten-Administratoren in Google Analytics sehen können, lässt sich auch im Netzwerk visualisieren. Der Screenshot zeigt alle Ergebnisse für die Abfrage von großen Anomalien (type=stats normalizedEvent="Large") für einen Zeitraum von 30 Tagen. In der letzten Zeile sind vier Instanzen für Webtraffic aufgeführt, die über das Normalmaß hinausgeht.
Falls also jemand einen Crawler einsetzt und damit Traffic über dem Normalniveau verursacht, lässt sich die gesteigerte IP-Aktivität sowohl Client- als auch Server-seitig durchaus nachvollziehen. Wenn ein Host eine Spitze verzeichnet, muss es die Spitze auch bei Client A geben. So kann ein Abgleich der beiden zur IP-Adresse des Clients führen, beispielsweise zum Arbeitsgerät von Snowden. Die automatisierte Erfassung von Netzwerkaktivitäten hingegen macht interne Attacken somit sichtbar.
Über den Autor
Paul Asadoorian ist Product Evangelist bei Tenable Network Security.
(ID:42623802)
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/f4/5ef42dd611e13c634e6d04aac4d08075/0108873096.jpeg "0108873096 (Bild: GettyImages-482550126)")