Cybersicherheit: Insider-Bedrohungen in Zeiten der Pandemie

Illustration: Absmeier, Brandon Griggs

Schlechte Zeiten und Krisen sind gute Zeiten für Cyberkriminelle, denn ihnen gelingt es in der Regel aus der Situation Kapital zu schlagen. Die Covid-19-Pandemie bildet da keine Ausnahme. Unternehmen sind umso mehr gefährdet, als dass die meisten von ihnen ausreichend damit zu tun haben, die Firma durch die Krise zu navigieren, parallel dazu agieren Cybersicherheits-Teams an der Belastungsgrenze. Unter der Vielzahl von Risiken sind Insider-Bedrohungen nach wie vor ein großes Problem.

 

Unter einer Insider-Bedrohung versteht man das Risiko, das von Mitarbeitern oder Auftragnehmern ausgeht, die potenziell sensible Daten stehlen, Zugriffsberechtigungen missbrauchen oder von denen Betrugsaktivitäten ausgehen. Zur Motivation von Innentätern ist schon viel geforscht worden. Welcher Antrieb auch immer zugrunde liegt, ob jemand böswillig, selbstgefällig oder ignorant agiert, die finanziellen Auswirkungen sind oft gravierend und nicht selten nimmt die Reputation eines Unternehmens dauerhaft Schaden.

Anzeige

Firmen haben natürlich schon früher versucht, die Risiken durch Investitionen in Tools, Mitarbeiter und Prozesse in den Griff zu bekommen. Durch die aktuellen Remote-Working-Szenarien hat sich die Situation aber weiter verschärft. Insider sind jetzt Outsider, jenseits des Netzwerkperimeters. Das macht es deutlich schwieriger, ihr Verhalten und die Vorgänge im Netzwerk zu kontrollieren. Gerade, weil viele Unternehmen an dieser Stelle Lockerungen eingezogen haben, um die Produktivität zu erhalten.

 

Die Ergebnisse des Insider Threat Report 2020 im Kontext

Anzeige

Trotz aller Bemühungen ist die Exfiltration sensibler oder vertraulicher Daten über E-Mail nach wie vor die Nummer 1 unter den Bedrohungsvektoren, gefolgt von Uploads in Cloud-Speicher wie Box und Dropbox. Datenaggregation und das Hochladen von Daten in Cloud-Anwendungen werden immer beliebter, je mehr Unternehmen dazu übergehen, Cloud-Infrastrukturen und Apps für Endbenutzer einzubeziehen. Das bringt fast zwangsläufig zusätzliche Angriffsvektoren mit sich. Tatsächlich bestätigt der Bericht, dass 80 % der Mitarbeiter, die »auf dem Absprung« sind – oder deren Verhaltensmuster darauf hindeuten, dass sie das Unternehmen verlassen werden – in einem Zeitraum zwischen zwei Wochen und zwei Monaten vor dem Kündigungstermin Daten entwenden.

Betrachtet man diese nicht untypischen Verhaltensweisen mit Blick auf die globale Pandemie einschließlich von Beurlaubungen, Kurzarbeit und möglichen Entlassungen, gibt es für Unternehmen durchaus Anlass zur Beunruhigung.

Die Daten des Berichts bestätigen, dass menschliches Verhalten nach wie vor eines der größten Risiken ist, denen Unternehmen sich ausgesetzt sehen. Ein Beispiel ist das Umgehen von IT-Kontrollen. Eine nachweislich ziemlich gängige Praxis. IT Security Operations Teams haben gerade in großen Unternehmen Schwierigkeiten, (die richtigen) Schlussfolgerungen aus solchen Vorfällen zu ziehen. Entweder, weil Richtlinien fehlen oder weil für jeden Geschäftsbereich unterschiedliche Richtlinien und Verfahren koexistieren. Je mehr Mitarbeiter von zu Hause arbeiten, desto größer die Wahrscheinlichkeit, dass sie IT-Kontrollen mehr als bisher umgehen. Das geschieht nicht zwingend mit böser Absicht – eher wollen Mitarbeiter so einfach wie möglich auf Daten zugreifen und sie abspeichern. Und nicht unbedingt so sicher wie möglich.

Um diesen Punkt weiter zu veranschaulichen: Bei der Umstellung der Unternehmen auf Remote-Working ist die gemeinsame Nutzung von Konten ein großes Problem und gefährdet Compliance und allgemeine Sicherheitsvorkehrungen. In den letzten Monaten sind vermehrt Netzwerk-Sharing-Anwendungen durch verdächtige Konten kompromittiert worden. Ein Tatbestand, der Unternehmen zwingt, die Kluft zwischen externer und interner Bedrohungserkennung zu überbrücken.

 

Prioritäten definieren

Vor diesem Hintergrund sollten sich die Sicherheitsmaßnahmen auf den Schutz der Systeme und Daten konzentrieren, die für die Geschäftstätigkeit besonders relevant sind. Es ist wichtig, bestimmte Verhaltensweisen, die für Insider-Bedrohungen typisch sind, zu isolieren. Dazu muss man die Anzeichen für solche Bedrohungen erkennen und wissen wie man sie am besten identifiziert.

Das Threat Research Team von Securonix hat beispielsweise einen starken Anstieg bei Phishing-Mails und Business E-Mail Compromise (BEC) beobachtet. Diese Methoden dienen dazu Browser-Cookies zu stehlen, Systeminformationen aufzulisten, Wallets für Kryptowährungen freizugeben sowie Informationen zu stehlen. Traditionelle Technologien wie Data Loss Prevention (DLP)-Tools, Privileged Access Management (PAM) oder andere Punktlösungen reicht nicht mehr aus, um das Verhalten bei Insider-Bedrohungen als solches zu erkennen. Cloud-Systeme eröffnen eine hinreichend komplexe Bedrohungsstruktur. Hier braucht man ausgeklügelte Sicherheitsanalysen, die speziell entwickelte Algorithmen verwenden, um bestimmte Ergebnisse richtig zu bewerten. Darüber hinaus ist es wichtig, die Indikatoren zu einer Bedrohungskette zusammenzufügen und sie ganzheitlich zu betrachten. Erst dann kann man wirksame Maßnahmen zur Bedrohungsabwehr entwickeln und umsetzen.

Unternehmen sollten einige Empfehlungen beherzigen, um die Bedrohungen in Grenzen zu halten:

  • Nutzen Sie eine Technologie, die Verhaltensanomalien erkennt: Um eine typische Insider-Bedrohung wie den Missbrauch privilegierter Zugriffsberechtigungen zu erkennen, nutzt man am besten eine kuratierte mehrstufige Erkennung. Sie setzt das seltene Auftreten eines Ereignisses in Verbindung zu Anomalien, die auf eine verdächtige oder anormale Verwendung hinweisen. Die Methode ist besonders effektiv, weil sie verschiedene Arten von Abweichungen von einem als »normal« geltenden Verhalten für Konten, Benutzer und Systeme miteinander korreliert.
  • Überprüfen Sie VPN-Richtlinien, um angemessene Transparenz zu gewährleisten: Stellen Sie dazu sicher, dass das Split-Tunneling deaktiviert ist, da es die Transparenz beeinträchtigen kann. Es wird empfohlen, VPN-Serverprotokolle nur vorher festgelegten Benutzern bereitzustellen, die auf vertrauliche Informationen zugreifen. Es ist wichtig, Transparenz für Cloud-Applikationen/Software-as-a-Service (SaaS)-Protokollen aufrechtzuerhalten wie sie Remote-Worker/WFH-Benutzer nutzen, um schädliche Mails und andere externe Bedrohungen abzuwehren.
  • Verwenden Sie SSO- und Multi-Faktor-Authentifizierung (MFA): Um den unbefugten Zugriff auf geschäftskritische Informationen einzuschränken, sollten Sie Single-Sign-on (SSO)- und 2FA/MFA-Protokolle einsetzen, um die Identität von Benutzern mit Zugriff auf sensible Informationen zu überprüfen. Es wird außerdem empfohlen, einen privilegierten Benutzerzugriff zeitlich zu begrenzen, um sicherzustellen, dass Benutzer nur auf die Informationen zugreifen können, die sie gerade brauchen.
  • Unterschätzen Sie die Bedeutung von Schulungen nicht: Selbst in prekären Zeiten ist eines sicher: Cyberkriminelle werden weiterhin die Gunst der Stunde nutzen. Wer seine Mitarbeiter sicherheitstechnisch ausreichend für die neue Situation schult, senkt die Fehlerrate durch menschliches Versagen.

 

Netzwerke sind aufgrund der derzeitigen Situation durchlässiger geworden. Eine Situation auf die Unternehmen sich kaum vorbereiten konnten. Die Zeit wird zeigen, welche Auswirkungen diese ständige Aufholjagd haben wird. Wenn man grundlegende Sicherheitsmaßnahmen mit Methoden der Verhaltensanalyse kombiniert, bekommt man aber ein notwendiges Maß an Transparenz – die Basis für umfassende Sicherheit im Unternehmen auch nach der Krise.

 

Shareth Ben, Director of Insider Threat & Cyber Threat Analytics bei Securonix

 

183 Artikel zu „Insider Bedrohung“

Insider-Bedrohungen und wie Unternehmen sich davor besser schützen können

Immer noch befindet sich eine der größten Sicherheitsbedrohungen, denen Unternehmen derzeit ausgesetzt sind, bereits im eigenen Netzwerk. Insider-Bedrohungen sind nach wie vor schwer zu erkennen, traditionelle Sicherheitstechniken verfangen hier nicht. Jedes Unternehmen, dem der Schutz seiner Marke und seiner Reputation am Herzen liegen, sollte die von Insidern ausgehenden Gefahren nicht unterschätzen. Unabhängig davon, ob es…

Drei Tipps zum Schutz vor Insider-Bedrohungen

  Die Cybersicherheitslandschaft verändert sich ständig, aber eines ist in den letzten Jahren konstant geblieben: die stetig wachsende Zahl von Insider-Bedrohungen. Die jüngste Cybersicherheitsstudie von SolarWinds hat ergeben, dass interne Benutzerfehler in den letzten 12 Monaten mit 80 Prozent den weitaus größten prozentualen Anteil an Vorfällen im Zusammenhang mit der Cybersicherheit ausgemacht haben [1]. Während…

Elf Bausteine zur wirksamen Bekämpfung von Insiderbedrohungen

Organisationen behandeln Insiderbedrohungen häufig als Tabuthema. Nur zögerlich werden Mitarbeiter, die zu einer Bedrohung für das Unternehmen geworden sind, als solche wahrgenommen. Auch Meldungen und Maßnahmen gegen diese Personen erfolgen zögerlich. Es scheint beinahe so, als ob Insiderbedrohungen ein blinder Fleck innerhalb von Prozessen im Management seien.   Der Verizon Insider Threat Report zielt darauf,…

Cyberkriminalitäts-Analyse fokussiert sich auf Bedrohungen durch Insider

  Die Data Breach Investigations Report (DBIR)-Serie von Verizon gibt Einblicke in die Welt der Cyberkriminalität. Jetzt wurde die Analyse von Daten und Vorfällen neu ausgerichtet und fokussiert sich auf die Rolle von Insidern. Daraus entstanden ist der Verizon Insider Threat Report [1]. 20 Prozent der im Rahmen des Verizon 2018 DBIR erfassten Cybersicherheitsvorfälle und…

Insider-Bedrohungen – Echte Detektivarbeit für die IT

Eine der häufigsten Bedrohungen für die Unternehmenssicherheit sind Gefahren, die auf interne Mitarbeiter und lokale Dienstleister mit erhöhten Benutzerrechten zurückgehen. Aktuellen Studien zufolge vertrauen Unternehmen ihren Vertragspartnern zu sehr und unterschätzen, welche Gefahren von innen kommen. Wie lösen Unternehmen diesen kniffligen Fall?

Abwehr von Insider-Bedrohungen mit User and Entity Behavior Analysis auf Basis von Machine Learning

Beim Stichwort Cyberbedrohung denkt man häufig an großangelegte Malware-Angriffe wie Ransomware, mit denen Kriminelle versuchen, das Firmennetzwerk zu kompromittieren. Unterschätzt wird jedoch oft eine Gefahr, die bereits im Firmengebäude sitzt: Die Insider-Bedrohung. Insider – seien es unachtsame Angestellte oder böswillige Mitarbeiter, die aus finanziellen oder persönlichen Motiven Daten stehlen oder gar löschen – sind ein…

Insider- und Drittanbieterzugriffe als Hauptbedrohung für Unternehmenssicherheit

Sicherheitsstudie »2017 Secure Access Threat Report« [1] zeigt, dass Organisationen weiterhin zu viele ungesicherte, privilegierte Zugriffe von innen und außen auf kritische IT-Systeme und Daten zulassen. IT-Sicherheit: Pro Woche haben durchschnittlich 181 Drittanbieter privilegierten Zugriff auf Unternehmensnetze — mehr als doppelt so viel wie im Vorjahr.   Bomgar, Enterprise-Anbieter für sichere Zugriffslösungen, hat in der…

Mainframes gelten als besonders sicher, doch bleiben Insiderbedrohungen vielerorts ein weißer Fleck

In Deutschland vertrauen 76 Prozent der Unternehmen einseitig auf Logdateien – und setzen sich damit selbst der Gefahr von Datenlecks aus. Laut einer internationalen CIO-Umfrage halten hierzulande 72 Prozent der IT-Verantwortlichen ihre Mainframerechner für sicherer als andere IT-Systeme [1]. Gleichzeitig gehen 85 Prozent der deutschen Studienteilnehmer von signifikanten Insiderrisiken aufgrund mangelnder Transparenz bei Datenzugriffen auf…

Maschinelles Lernen zum Schutz vor Insider-Bedrohungen nutzen

Eine neue Sicherheitslösung berücksichtigt die Entwicklung des Datendiebstahls und -verlustes durch gefährdete, kompromittierte sowie unvorsichtige Nutzer. Die mehrschichtige Sicherheitslösung Imperva CounterBreach wurde speziell für Unternehmen entwickelt, die ihre Daten gegen gefährdete, kompromittierte und unvorsichtige Nutzer schützen müssen. Die Sicherheitslösung nutzt maschinelles Lernen zur Analyse, wie Nutzer auf Daten zugreifen, um auf gefährlichen Datenzugriff und gefährliche…

Gezielte Angriffe: Wie beruflich genutzte soziale Netzwerke zur Insider-Bedrohung werden

 Ein Kommentar von Sicherheitsexperte Udo Schneider [1]. Online-Gangster und -Betrüger lieben soziale Netzwerke über alles. Schließlich geben dort Menschen völlig Fremden gegenüber so viel preis, dass Cyberkriminelle leichtes Spiel haben, ihre Opfer in die Falle zu locken. Ein authentisch klingender Post, der zum Beispiel einen Link zum Lieblingsgericht eines Nutzers enthält – und schon ist…

Whitepaper zu konsistenter Bedrohungsjagd – Umgebungen einheitlich betrachten um Eindringlinge zu erkennen

Das SANS Institute hat im Auftrag von Vectra ein Whitepaper mit dem Titel »Threat Hunting with Consistency« veröffentlicht. Das Whitepaper stellt einen alternativen Ansatz für die Bedrohungssuche vor. Dieser Ansatz setzt voraus, die MITRE ATT&CK Matrix als Vokabular zu verwenden, um den Kontext zu umreißen. Dies bedeutet, zunächst anhand von übergeordneten Begriffen für bestimmte Verhaltensweisen…

E-Mail-basierte Bedrohungen treffen Organisationen dort, wo es sehr schmerzt – beim Geld

Trotz einer Vielzahl an neuen Kommunikationstechnologien steht die altbewährte E-Mail sowohl bei Unternehmen als auch Privatpersonen immer noch hoch im Kurs. Sei es für einfache Nachrichten, Newsletter oder internen Unternehmensdaten. Schätzungen zufolge wurden im Jahr 2019 täglich rund 293,6 Milliarden E-Mails versendet. Ein Großteil davon ist allerdings Spam. Die Varianten sind zahlreich – vom nigerianischen…

Cloud-Sicherheit durch Insider-Attacken gefährdet

Die Cloud macht Insider-Attacken leichter und zudem schwerer erkennbar.   Die Ergebnisse einer Studie von Cybersecurity Insiders in Zusammenarbeit mit Securonix, zeigen, dass die Cloud Unternehmen nicht nur anfälliger für Insider-Bedrohungen macht, sondern diese auch wesentlich schwieriger zu erkennen sind. Laut Angaben von 39 % der im Rahmen des 2019 Insider Threat Report befragten Cybersecurity-Fachkräfte…

Cybersicherheit: größere Zuversicht trotz gleichbleibend hohem Bedrohungsniveau

98 Prozent der befragten deutschen Unternehmen berichten von Sicherheitsverletzungen, Hauptursache sind Phishing-Angriffe.   Carbon Black, Anbieter von Cloud-nativen Lösungen für den Schutz von Endpoints, gibt die Ergebnisse seines zweiten Threat Reports für Deutschland bekannt. Für den Carbon Black Threat Report wurden weltweit gut 2000 CIOs, CTOs und CISOs befragt, davon 256 aus ganz Deutschland. Die…

Cyberbedrohungen im Gesundheitswesen unter der Lupe

Angesichts der vielfältigen Bedrohungsszenarien in Klinikumgebungen ist ein neuer Sicherheitsansatz erforderlich. Die Technologie im Gesundheitswesen ist aktuell gekennzeichnet durch Vernetzung smarter medizinischer Geräte und Digitalisierung von Patientenakten. Der schnelle Ausbau der digitalen Datenumgebung führt gleichzeitig dazu, dass eine enorme Menge an sensiblen Gesundheitsdaten produziert, bewegt und gespeichert wird. Durch die voranschreitende Vernetzung und Digitalisierung wächst…

Digitale Krankheitserreger & Prävention – Impfen Sie sich gegen Cyberbedrohungen

Die digitale Transformation erfasst das Gesundheitswesen und ermöglicht neue Geschäftsmodelle, bessere Prävention vor Krankheiten, schnellere Anamnese sowie effizientere Betreuung von Patienten. Durch den zunehmenden Technologieeinsatz steigt allerdings auch das Risiko Opfer von Datendieben und Saboteuren zu werden. Professionelle Vorsorge und bewusster Umgang mit kritischen Daten und IT-Systemen schützt Sie vor diesen Risiken.   Wir befinden…

IT-Sicherheit: Insider und externe Dienstleister bereiten die größten Sorgen

Nur weniger als 35 % der IT-Security-Experten sind zuversichtlich, dass sie über die technischen Fähigkeiten zur Erkennung von Bedrohungen durch Mitarbeiter mit privilegierten Zugriffsrechten verfügen. 75 % der Verantwortlichen verzeichnen eine höhere Zahl an Drittanbietern mit Zugriffsrechten auf ihre Netze im Vergleich zum Vorjahr — 33 % der Verantwortlichen konstatieren, dass sie zu wenig Zeit…

Bedrohungstrends: Zurück in die Zukunft

Angriffe mit schädlichen URLs sind mit neuem Schwung zurück. Ransomware führt die Rangliste an. Betrüger imitieren vertrauenswürdige Marken in E-Mails, Social Media und im Web. Das sind einige der wichtigsten Trends im 3. Quartal 2017 wie sie im Proofpoint-Bedrohungsbericht enthalten sind. Dieser Thread Report kommt zu einer Reihe doch eher kritisch zu bewertender Ergebnisse: Das…

Für Attacken auf Telekommunikationsanbieter werden Insider rekrutiert oder erpresst

Cyberkriminelle setzen auf Insider in Unternehmen, um Zugang zu Telekommunikationsnetzen und Kundendaten zu erhalten. Die Methode: Unzufriedene Angestellte werden über Untergrundkanäle angeworben oder Mitarbeiter über kompromittierende Informationen – aus öffentlich zugänglichen Quellen – erpresst. Das geht aus einem Bericht von Kaspersky Lab über Cyberbedrohungen für die Telekommunikationsbranche [1] hervor. Telekommunikationsanbieter sind ein sehr begehrtes Ziel…