5 Schritte für eine effektive Insider-Strategie

Insider-Bedrohungen effektiv begegnen

| Autor / Redakteur: Thomas Ehrlich / Peter Schmitz

Insider (und Angreifer, die durch gestohlene Logindaten als Mitarbeiter im Firmennetzwerk agieren) haben die Mittel und Möglichkeiten, auf die sensible Daten zuzugreifen.
Insider (und Angreifer, die durch gestohlene Logindaten als Mitarbeiter im Firmennetzwerk agieren) haben die Mittel und Möglichkeiten, auf die sensible Daten zuzugreifen. (Bild: gemeinfrei / Pixabay)

Insider-Bedrohungen haben ein enormes Schadenspotenzial: Im „besten“ Fall kostet ihre Beseitigung nur (viel) Geld, im schlimmsten Fall können sie dem betroffenen Unternehmen – etwa beim Diebstahl geistigen Eigentums – sogar ihre Existenzgrundlage entziehen. Gerade bewusst agierende Insider stellen eine große Gefahr dar, vor der man sich nur schwer schützen kann.

Bei einem Datenverlust spielt es aus Sicht des angegriffenen Unternehmens keine Rolle, ob der Datenverlust von einem externen Angreifer mit gestohlenen Zugangsdaten, einem Mitarbeiter, der unvorsichtig handelt, oder einem böswilligen Innentäter herrührt. Sensible Daten müssen geschützt werden, unabhängig davon, wer darauf zugreift. Was diese drei Typen gemeinsam haben, ist, dass sie sich bereits in Ihrem Netzwerk befinden. Wenn die Daten nun nicht durch Analyse des Nutzerverhaltens überwacht werden, können Unternehmen kaum auf die Bedrohungen reagieren – mit verheerenden Folgen.

Gerade bewusst agierende Insider stellen eine große Gefahr dar, vor der man sich nur schwer schützen kann. Sie wissen mehr über das Unternehmen als externe Angreifer und wenn sie wirklich Schaden anrichten wollen, können sie dies sehr schnell und sehr effizient tun. Das Ponemon Institut fand in seiner Studie Global Cost of Insider Threats 2018heraus, dass es durchschnittlich mehr als zwei Monate (73 Tage) dauert, bevor Insider-Vorfälle entdeckt werden. Und manchmal auch bedeutend länger: So stahl Greg Chung im Laufe von 30 Jahren bei seinem Arbeitgeber Boeing rund 300.000 Seiten vertrauliche Dokumente, die er nach China verkauft hat (wofür er zu 15 Jahren Gefängnis verurteilt wurde). In jüngster Zeit machten die Fälle zweier Apple-Mitarbeiter Schlagzeilen, die geheime Dokumente entwendet haben sollen, um diese neuen Arbeitgebern weiterzugeben. Aber auch Unzufriedenheit kann ein Motiv sein, wie bei einem ehemaligen Mitarbeiter von Tesla, der mehrere Gigabyte interner Daten an Dritte weitergegeben und damit einen enormen Schaden beim US-amerikanischen Automobilhersteller verursacht haben soll.

Was ist eine Insider-Bedrohung?

Definition Insider Threat

Was ist eine Insider-Bedrohung?

17.04.19 - Die Insider-Bedrohung ist eine besondere Form der Bedrohung der Datensicherheit und der IT-Systeme. Nicht externe Hacker versuchen von außen in die Systeme einzudringen, sondern Personen mit legitimen Zugangsberechtigungen verursachen die Bedrohung bewusst oder unbewusst. lesen

Was kann man gegen Insider-Bedrohungen unternehmen?

Um herauszufinden, ob man genug für seinen Schutz in diesem Bereich unternimmt, sollte man sich (und seinem CISO oder IT-Sicherheitsverantwortlichen) folgende Fragen stellen:

  • Wurden (wirklich alle) sensiblen bzw. kritischen Daten (auf sämtlichen Datenspeichern, also sowohl lokal als auch in der Cloud) identifiziert und entsprechend klassifiziert?
  • Wurde normales Nutzerverhalten definiert und kann abnormales Verhalten erkannt werden?
  • Gibt es Audit-Funktionen, die Zugriffe und Berechtigungen der Benutzer nachweisen?
  • Wird ein effektives Identity & Access Management (IAM) eingesetzt?
  • Werden auch die Sicherheitspraktiken von Partnern und Dienstleistern auditiert?
  • Wie wird die Einhaltung der Benutzerrichtlinien überprüft?
  • Gibt es einen Vorfall-Reaktionsplan? Greift dieser auch bei Insider-Bedrohungen?

Nach wie vor konzentrieren sich viele Unternehmen in erster Linie auf die neuesten externen Bedrohungen und lassen dabei ihr eigenes Ökosystem aus den Augen. Entsprechend sind sie nicht in der Lage, diese Fragen zufriedenstellend zu beantworten. Noch schlimmer: Sie sind nicht in der Lage, interne Bedrohungen rechtzeitig zu erkennen oder darauf zu reagieren.

Hohes Risiko für Insider-Sicherheitsverstöße

Privileged Access Threat Report 2019

Hohes Risiko für Insider-Sicherheitsverstöße

06.06.19 - Viele Unternehmen befürchten, dass Sicherheitsverstöße durch kompromittierte Zugriffe von Drittanbietern erfolgen könnten. Das zeigt der Privileged Access Threat Report 2019 von BeyondTrust. Die Sicherheitsstudie dokumentiert außerdem, dass sich jede Woche durchschnittlich 182 Drittanbieter von außen auf die IT-Systeme der befragten Unternehmen zugreifen. lesen

5 Schritte für eine effektive Insider-Strategie

Wie in allen Fragen der IT-Sicherheit ist auch der Schutz vor Insiderbedrohungen ein kontinuierlicher Prozess, der sowohl technische als auch nicht-technische Aspekte umfasst. Mit diesen Schritten lassen sich Insider-Bedrohungen wirkungsvoll adressieren.

Schritt 1: Die Daten kennen

Man kann nur das schützen, was man kennt. Und nicht jede Bedrohung birgt ein gleich hohes Risiko. Deshalb sollten die Bedrohungen priorisiert und die Bereiche identifiziert werden, die am wahrscheinlichsten zu Problemen führen können und die die größten Risiken beinhalten. Dabei sollte man sich dabei an folgenden Fragen orientieren:

  • Was sind die wertvollsten Informationsbestände?
  • Wo sind diese gespeichert?
  • Wer hat Zugriff auf sie und warum?
  • Wer greift wann auf die Dateien zu?

Die Beantwortung dieser Fragen kann einen Einblick in die kritischen Bereiche der Infrastruktur geben, die Aufmerksamkeit erfordern, und in die Benutzer, die höchstwahrscheinlich von Angreifern anvisiert werden. Man erhält auf diese Weise auch einen Einblick in die normale Aktivität, so dass abnormale Verhaltensmuster besser erkannt werden können.

Schritt 2: Sicherheitslage kontinuierlich bewerten

Bedrohungen wie auch Risiken entwickeln sich. Deshalb ist eine kontinuierliche Überprüfung der eigenen Lage essenziell für die Sicherheit. Man sollte dabei vor allem auf die Einhaltung grundlegender Sicherheitspraktiken achten: Hierzu zählen neben Passwortmanagement auch regelmäßige Updates und Schulungen. Bei der Bewertung des Sicherheits-Status müssen sowohl Insider als auch externe Bedrohungen einbezogen werden. Hierbei können auch Risiko-Assessments helfen, den Gesamtzustand der Sicherheit des Unternehmens zu bewerten, indem sie einen objektiven Überblick über die Richtlinien, Kontrollen und Prozesse des Unternehmens geben.

Grundsätzlich sollten sämtliche eingesetzten Sicherheitslösungen und -strategien identifiziert und überprüft werden: Sind alle aufeinander abgestimmt? Sind alle noch nötig bzw. der aktuellen Bedrohungslage angemessen? Lohnen sich Upgrades oder sollte man in neue Technologien und Ansätze investieren?

Schritt 3: Auf ein Least-Privilege-Modell setzen

Einer der Schlüssel zur Reduzierung des Risikos von Insider-Diebstahl besteht darin, den Zugang zu sensiblen Daten zu beschränken. Die Mitarbeiter sollen nur den Zugriff erhalten, den sie tatsächlich für ihre Arbeit benötigen. Dies gilt auch für Partner: Sie sollten nicht auf demselben logischen Netzwerk-Layer arbeiten, auf dem sensible Daten gespeichert sind. Es ist eine Frage der Logik: Je weniger Daten für einen (potenziellen) Angreifer zugänglich sind, desto weniger Daten können kompromittiert werden.

Schritt 4: Nutzerverhalten überwachen

Der wahrscheinlich wichtigste Schritt bei der Bekämpfung von Insiderbedrohungen liegt darin zu erkennen, welches Nutzerverhalten normal ist und welches nicht. Dies ist nur mit intelligenter Nutzer- und Maschinenverhaltens-Analyse (UEBA) möglich. Diese erkennt abnormales Verhalten, etwa in Bezug auf Uhrzeiten, Ordner, auf die zugegriffen wird, oder auch Geolokation. Dabei gilt: Je mehr Kontext hier zur Verfügung steht, desto präziser werden die Warnungen. So kann der Zugriff auf Dateien außerhalb der normalen Zeiten ein Indikator sein, möglicherweise arbeitet ein Mitarbeiter einfach auch nur länger. Erst in Kombination mit weiteren Informationen, etwa ein Zugriff auf eine ungewöhnlich hohe Anzahl an Dateien, oder aber über einen ungewöhnlichen Zugriffsweg wird hieraus tatsächlich verdächtiges Verhalten. Ein UEBA-System muss dann in der Lage sein, Alerts auszugeben und entsprechende Verteidigungsmaßnahmen einzuleiten. So ist es möglich, das Abfließen von Daten zu identifizieren und zu stoppen. Dies gilt nicht nur für Innentäter, sondern letztlich für alle Angriffsarten. Schutz vor Insiderbedrohungen ist letztlich auch immer Schutz vor jeglichen Cyberattacken.

Schritt 5: Die Mitarbeiter ins Boot holen

Traditionelle präventive Kontrollen wirken sich oft negativ auf die Benutzerfreundlichkeit aus und schränken die Mitarbeiter teilweise in ihrer Produktivität ein. Es ist von größter Bedeutung, bei Schulungen und Awareness-Maßnahmen auch die Überwachung des Nutzerverhaltens einzubeziehen. Nur durch Transparenz in diesem Gebiet kann man Vertrauen in die Prozesse schaffen. Unternehmen müssen dabei zeigen, dass trotz des Monitorings zu Sicherheitszwecken die Privatsphäre der Mitarbeiter geachtet wird. Dies kann u.a. durch eine Anonymisierung gewährleistet werden: Dabei wird das Logging anonymisiert bzw. pseudonymisiert durchgeführt. Erst im Fall einer Anomalie wird dann – und auch nur für einen beschränkten, vorher definierten kleinen Kreis, zu dem etwa der Datenschutzbeauftragte gehört, sichtbar – re-personalisiert.

Insider (und externe Angreifer, die durch angeeignete Zugangsdaten als Mitarbeiter im Unternehmensnetzwerk agieren) haben die Mittel und Möglichkeiten, auf die wichtigsten Daten zuzugreifen. Ein umfassender Ansatz zur Eindämmung der von ihnen ausgehenden Bedrohungen muss dabei Menschen, Prozesse und Technologien umfassen. Dabei müssen die Daten – als wertvollste Assets des Unternehmens – im Zentrum der Sicherheitsstrategie stehen: Statt sich auf Perimeterschutz und immer neue Bedrohungen und Angriffsvektoren zu konzentrieren, sollte der Zugriff auf die Daten in den Fokus rücken sowie analysiert und überwacht werden. Auf diese Weise ist es nicht nur möglich, das Abfließen von Daten durch Insider zu identifizieren und zu stoppen, sondern auch durch externe Angreifer, sogar bei Zero-Day-Attacken.

Über den Autor: Thomas Ehrlich ist Country Manager DACH von Varonis Systems.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45971951 / Hacker und Insider)