Suchen

Verteidigung gegen Innentäter Vier Anzeichen eines Insider-Angriffs

| Autor / Redakteur: Klaus Nemelka / Peter Schmitz

Nach wie vor denken die meisten bei Cyberbedrohungen vor allem an externe Angreifer, die mittels Malware und ausgeklügelter Angriffstechniken in Unternehmenssysteme eindringen, um dort Daten zu entwenden. Entsprechend wird viel in den Perimeterschutz investiert. Dabei werden aber leicht diejenigen übersehen, die sich bereits innerhalb der Unternehmenssysteme befinden, also Insider sind.

Firmen zum Thema

Vorsicht ist angebracht, wenn sich das Arbeitszeitverhalten eines Mitarbeiters plötzlich ändert. Dann könnte es sich um einen bösartigen Insider oder gestohlene Logindaten handeln.
Vorsicht ist angebracht, wenn sich das Arbeitszeitverhalten eines Mitarbeiters plötzlich ändert. Dann könnte es sich um einen bösartigen Insider oder gestohlene Logindaten handeln.
(Bild: gemeinfrei / Pixabay )

Bei gefährlichen Insidern kann es sich um Mitarbeiter und Partner handeln, aber auch um Externe, die über entsprechende Anmeldeinformationen verfügen (indem sie diese beispielsweise per Phishing ergaunert oder – fast noch einfacher – im Darknet erworben haben).

Dass Insider-Bedrohungen oftmals schwer zu identifizieren sind, zeigen einige spektakuläre Fälle der letzten Jahre, die oftmals bei Unternehmen und Organisationen stattfanden, die eigentlich über ein besonderes Maß an Expertise und Bewusstsein verfügen, sei es Apple, Tesla oder gar die NSA. Und dennoch gibt es ein paar Anzeichen, die man als Sicherheitsverantwortlicher im Auge haben sollte, um auffälliges und gefährliches Verhalten zu entdecken. Es gibt vier Anzeichen, denen Unternehmen besondere Aufmerksamkeit schenken sollten.

1. Anzeichen: Geisterkonten

Mit Geisterkonten sind aktive, aber nicht mehr genutzte Konten zu verstehen, die meist von ehemaligen Mitarbeitern stammen. Diese sind aus zweierlei Gründen problematisch: Zum einen können die ehemaligen Besitzer sich hier nach wie vor einloggen und – insbesondere, wenn sie nicht im Guten gegangen sind – für Schaden sorgen. Zum anderen sind diese Konten auch für Angreifer ideal, da ihre Nutzung oft nicht weiter auffällt, da es keine aktiven Nutzer gibt, die sich über vermeintlich von ihnen selbst durchgeführte Aktionen wundern würden. Zudem handelt es sich ja um legitime Konten mit bestimmten Berechtigungen, wodurch Cyberkriminelle sich in aller Ruhe und ohne Aufmerksamkeit zu erzeugen umschauen und Daten entwenden können.

2. Anzeichen: Unübliche Arbeitszeiten:

Hierbei geht es in erster Linie nicht um die berühmten Bürozeiten, sondern um die für das jeweilige Konto üblichen Zeiten. So kann es bei einem bestimmten Mitarbeiter durchaus normal sein, dass er sich spätabends oder am Wochenende einloggt. Vorsicht ist dann angebracht, wenn sich dieses Verhalten plötzlich ändert. Dann könnte es sich um einen Zugriff eines Angreifers handeln, der die Credentials entwendet hat, oder aber um einen bösartigen Insider, der sich dann in den Datenbeständen umschaut, wenn er sich unbeobachtet fühlt.

3. Anzeichen: Verdächtige Dateizugriffe

Das Suchen, Öffnen oder Kopieren von Daten, die für die Arbeit eines Mitarbeiters nicht relevant sind, sind Anzeichen für eine mögliche Insideraktivität. Wenn ein Marketing-Manager plötzlich Dateien aus der R&D-Abteilung öffnet, sollten die Alarmglocken angehen. Heikel sind auch mögliche Zugriffe auf Mailkonten der Kollegen, wobei gelesene Nachrichten leicht als „ungelesen“ markiert und damit die Spuren (zumindest oberflächlich) verwischt werden können.

4. Anzeichen: Sichern und Drucken großer Mengen an Dateien

Kopiert ein Mitarbeiter plötzlich zahlreiche Dateien, öffnet und verschickt er deutlich mehr als üblich, ist höchste Vorsicht geboten. Geschieht dies oder werden Unmengen an Dateien ausgedruckt, so liegt der Verdacht nahe, dass sich ein Mitarbeiter auf dem Absprung befindet und Informationen zu seinem neuen Arbeitgeber mitnehmen möchte. Technisch versiertere Insider werden allerdings versuchen, so unauffällig wie möglich zu agieren (slow & low), was eine Entdeckung wesentlich schwieriger (aber nicht unmöglich) macht.

Das Risiko von Insider-Angriffen kann durch die Durchsetzung eines restriktiven Netzwerk- und Datenzugriffs deutlich reduziert werden. Insbesondere ein Privilegienmodell auf Basis der minimalen Rechtevergabe (Least-Privilege-Modell) nach dem need-to-know-Prinzip stellt sicher, dass jeder Mitarbeiter nur auf diejenigen Dateien zugreifen kann, die er auch tatsächlich für seine Arbeit benötigt. Dies trägt wesentlich dazu bei, dass kein Mitarbeiter oder sich als Insider tarnender Angreifer sich unbegrenzt im Netzwerk und den Datenspeichern umsehen und dann in aller Ruhe die „interessanten“ Dateien entwenden kann. Leider zeigt der Varonis Datenrisiko-Report 2019, dass dieser Ansatz noch nicht flächendeckend verfolgt wird. So sind durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich und in jedem zweiten Unternehmen können alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen.

Zwar ist die Reduzierung der Zugriffsrechte ein wesentlicher Schritt, der das Risiko von Datenschutzverletzungen generell deutlich reduziert, jedoch wird man allein hierdurch Insider-Angriffe nicht verhindern können. Dies gilt insbesondere für solche Insider, die über ein hohes Maß an Privilegien verfügen und in ihrem Aufgabengebiet auf sensible Daten zugreifen können müssen. Am schwierigsten sind jene zu identifizieren, die über entsprechende Zugriffsrechte sowie ein hohes Maß an Einblick in die Sicherheitsprozesse des Unternehmens verfügen. Mit einem gewissen technischen Verständnis werden sie Techniken anwenden, um möglichst unbemerkt zu bleiben, indem sie unerlaubt gelesene Nachrichten als „ungelesen“ markieren, sensible Daten in ihrem persönlichen Cloud-Speicher speichern oder sie per Mail verschicken – was mittels 7-Zip und einem Google-Mail-Konto tatsächlich erschreckend gut funktioniert. Alles in der (oftmals berechtigten) Hoffnung, dass ihre Aktivitäten nicht auffallen.

Um nun diesen Insidern auf die Schliche zu kommen und ihre Aktivitäten möglichst frühzeitig zu identifizieren, führt kein Weg an der Überwachung der Datei-Aktivität vorbei. Nur mittels der intelligenten Analyse des Nutzerverhaltens lässt sich normales von abnormalem Verhalten unterscheiden und so auffälliges Verhalten identifizieren – und stoppen. Ist man dazu in der Lage, ist man auch für die allermeisten Cyberbedrohungen gewappnet, von Ransomware-Attacken bis zu APTs.

Über den Autor: Klaus Nemelka ist Technical Evangelist bei Varonis Systems.

(ID:46276186)