News | IT-Security | Tipps

Drei Tipps zum Schutz vor Insider-Bedrohungen

https://pixabay.com/de/

 

Die Cybersicherheitslandschaft verändert sich ständig, aber eines ist in den letzten Jahren konstant geblieben: die stetig wachsende Zahl von Insider-Bedrohungen. Die jüngste Cybersicherheitsstudie von SolarWinds hat ergeben, dass interne Benutzerfehler in den letzten 12 Monaten mit 80 Prozent den weitaus größten prozentualen Anteil an Vorfällen im Zusammenhang mit der Cybersicherheit ausgemacht haben [1].

Während des europäischen Aktionsmonats European Cyber Security Month (ECSM), bei dem dieses Jahr die Themen Cyberhygiene und neue Technologien im Fokus stehen, stellt Sascha Giese, Head Geek bei SolarWinds, drei Möglichkeiten vor, wie IT-Profis ihre Abwehr gegen unabsichtliche Insider-Bedrohungen verstärken können:

 

  1. Bessere Zugangskontrolle für Auftragnehmer

    Externe Auftragnehmer erhalten oftmals umfassende Administratorrechte und Zugriff auf die IT-Umgebung der Unternehmen. Nicht immer werden diese Zugänge nach Abschluss eines Projekts geschlossen. So integral wie Auftragnehmer für den Erfolg vieler Unternehmen sind, werden sie jedoch oft nicht so streng wie Mitarbeiter behandelt, auch wenn sie den gleichen Zugang zu Informationen haben. Dies macht sie zu einem primären Ziel für Hacker. Es liegt in der Verantwortung des Unternehmens, die sicherheitsrelevanten Aspekte bei Auftragnehmern besser zu überwachen. Diese wiederum müssen ein solides Verständnis für die Sicherheitsrichtlinien der Organisation haben und an die gleichen Standards der Verantwortlichkeit gebunden sein.
    Ebenso müssen die Manager sicherstellen, dass Zugangsrechte und -privilegien nur den Auftragnehmern gewährt werden, die sie benötigen. Die Automatisierung dieses Prozesses kann bei der Zuweisung von Benutzerauthentifizierungen und Berechtigungen helfen und sicherstellen, dass nur die richtigen Personen Zugriff auf die richtigen Daten haben. Und natürlich müssen Unternehmen diese Zugriffsrechte annullieren, sobald der Auftragnehmer die Arbeit beendet.

  2. Kontinuierliche Sicherheitsschulungen

    Alle Mitarbeiter in einem Unternehmen, vom Management bis zur untersten Ebene, müssen verstehen, wie sie eine Phishing-E-Mail von einer legitimen Nachricht unterscheiden können und müssen immer auf potenzielle Bedrohungen achten. Denn Sicherheit sollte nicht nur in der Verantwortung des IT-Teams liegen. Unternehmen sollten in regelmäßigen, kurzen Schulungen alle Benutzer über die neuesten Bedrohungen, aktualisierte Sicherheitsprotokolle oder staatliche Sicherheitsauflagen informieren.

  3. Einsatz von Sicherheits-Tools

    Im Fall eines Cyberangriffes kann ein Technologie-Sicherheitsnetz von großem Nutzen für ein Unternehmen sein. Neben der Implementierung grundlegender Zugangskontrollen und Netzwerkmanagement-Lösungen kann eine automatisierte Überwachung der Benutzeraktivität die Manager schnell auf verdächtige Aktivitäten aufmerksam machen.
    IT-Manager können auch Systeme verwenden, die aktualisierte Cyber-Bedrohungsinformationen bereitstellen, um sie bei der Suche nach neuen Bedrohungen zu unterstützen. Damit können sie über die neueste Malware, Viren und andere bösartige Aktivitäten informiert bleiben, denen sich die Mitarbeiter versehentlich aussetzen könnten.

 

Um interne sowie externe Bedrohungen erfolgreich abwehren zu können, sollten Technikexperten in Unternehmen mit der bestmöglichen Technologie ausgestattet sein. Die Erkenntnis der jüngsten Cybersecurity-Umfrage, dass das größte Risiko für Unternehmen von interner Natur ist, unterstreicht aber erneut die Notwendigkeit, auch den menschlichen Aspekt der IT-Sicherheit zu thematisieren, Benutzer kontinuierlich darüber aufzuklären, welche Fehler zu vermeiden sind, und ein Umfeld des Lernens und Schulens zu schaffen.

 

[1] https://investors.solarwinds.com/news/news-details/2019/SolarWinds-Research-Reveals-Negligent-Users-as-Top-Cybersecurity-Threat-to-German-Organisations/default.aspx

 

 

Insider-Bedrohungen – Echte Detektivarbeit für die IT

 

Eine der häufigsten Bedrohungen für die Unternehmenssicherheit sind Gefahren, die auf interne Mitarbeiter und lokale Dienstleister mit erhöhten Benutzerrechten zurückgehen. Aktuellen Studien zufolge vertrauen Unternehmen ihren Vertragspartnern zu sehr und unterschätzen, welche Gefahren von innen kommen. Wie lösen Unternehmen diesen kniffligen Fall?

In einer Episode der US-Krimiserie »True Detective« diskutiert der von Woody Harrelson gespielte Kommissar mit seinem Partner über den »Fluch der Ermittler«. Damit meint er eine Situation, in der die Lösung eines komplexen Falles direkt vor Augen liegt, aber die Ermittler das Naheliegende einfach nicht erkennen. Auch im IT-Sicherheitsumfeld geht es nicht ohne detektivische Arbeit, wenn man beispielsweise das Aufspüren von Bedrohungen, Netzwerkeinbrüchen und Sicherheitsverstößen betrachtet. Und auch hier wird häufig eine Gruppe der »Verdächtigen« übersehen – interne Mitarbeiter.

Fatales Vertrauen. Das Aufspüren von Unsicherheiten im Unternehmensnetz erfordert echte Detektivarbeit, da gerade bei kniffligen IT-Aufgaben viele Punkte zu berücksichtigen sind. Viele Verantwortliche verlieren dabei eine der häufigsten Bedrohungen für die Unternehmenssicherheit aus dem Blick: Eigene Mitarbeiter, IT-Freelancer und lokale Dienstleister mit erhöhten Benutzerrechten. Das größte Risiko im Unternehmen ist nicht ein Client, Server oder System – sondern der eigene Mitarbeiter, ermittelte eine aktuelle IDC-Studie zur IT-Security in Deutschland. Andere Untersuchungen kommen zu einer ähnlichen Erkenntnis: Laut Privileged Access Threat Report von BeyondTrust sind 73 % der Firmen zu sehr von Drittanbietern abhängig und 72 % der Unternehmen bringen ihren Vertragspartnern zu viel Vertrauen entgegen.

Und so erleben wir, dass immer mehr Attacken und Sicherheitsvorfälle in Verbindung mit teils unbewussten Insider-Aktivitäten stehen. Viele Schadprogramme nutzen beispielsweise aus, dass Mitarbeiter unnötigerweise mit Administratorrechten arbeiten. Ein falscher Klick genügt, um eine fatale Kettenreaktion auszulösen, die nicht von den installierten Sicherheitssystemen abgefangen wird. Insbesondere administrative Anmeldedaten und privilegierte Zugangsdaten der Nutzer im Firmennetz stehen im Visier von Phishing-Attacken. Auch kommt es zu Sicherheitsverletzungen, weil Mitarbeiter schwere Fehler begehen und beispielsweise sensible Informationen per E-Mail an die falsche Person verschicken. Letztendlich bedarf es nur eines Fehlers eines einzelnen Mitarbeiters, um gefährliche Sicherheitsverletzungen oder Datenschutzverstöße zu verursachen.

Ein mehrschichtiges Sicherheitskonzept. Die Bedrohungslage durch gewolltes oder ungewolltes Fehlverhalten von Mitarbeitern gehört also nach ganz oben auf die Prioritätenliste der IT-Verantwortlichen. Auf Basis einer mehrstufigen Sicherheitsstrategie müssen Organisationen in die Lage versetzt werden, alle Systeme, inklusive Mobilgeräte, jede Applikation und Datei zu schützen. Ineinandergreifende Sicherheitsstufen reichen von Verschlüsselung und Multifaktorauthentifizierung bis zur auditierbaren Dokumentation und Compliance-Kontrolle für alle Netzwerk- und Datenzugriffe – das ganze ABC der IT-Sicherheit mit folgenden Schwerpunkten:

  1. Administratorrechte
    Der Betrieb einer IT-Umgebung mit den tatsächlich benötigten Benutzerrechten bewahrt Benutzer davor, unerwünschte Konfigurationsänderungen auf dem Desktop durchzuführen und gegen interne Sicherheitsrichtlinien zu verstoßen. Im Rahmen einer solchen Least-Privilege-Policy werden lokale Administrationsrechte auf Windows- und Mac-OS-Rechnern entfernt. So lässt sich die Ausführung nicht autorisierter Applikationen unterbinden, um Sicherheitsprobleme, Compliance- und Policy-Verstöße zu unterbinden. Arbeiten alle Nutzer mit normalen Benutzerrechten, kann die IT dann aufgabenbezogen einzelne Anwendungen freischalten, die gekapselt im administrativen Kontext laufen. Nutzer setzen also ihre Desktop-Applikationen in gewohnter Weise ein, ohne dass ihre Produktivität darunter leidet.
  2. Bildung
    Die richtige Technologie ist indes nur ein Aspekt einer entspannten Sicherheitslage. Im nächsten Schritt sollten auf Unternehmensseite das Weiterbildungsangebot für Mitarbeiter und die zugrundeliegenden IT-Prozesse verbessert werden. Sinnvolle Investitionen in neue Technologien werden auf Unternehmensseite nicht selten zunichte gemacht, weil die Bereitstellung und Weiterentwicklung entsprechender Sicherheitsabläufe und Schulungen nicht ausreichen. Die BeyondTrust-Studie deckt zum Beispiel auf, dass nicht einmal die Hälfte der befragten Unternehmen ihre Zugriffspraxis in den vergangenen zwei Jahren angepasst haben. Firmen müssen ihre Schulungsinitiativen im Sinne einer höheren IT-Sicherheit besser umsetzen, um Mitarbeiter über die Anforderungen der Security-Policies und Best-Practice-Empfehlungen in Kenntnis zu setzen. Wenn die eigenen Leute nicht zu aktuellen Sicherheitsbedrohungen geschult wurden – wie sollen sie sich dann richtig verhalten können?
  3. Compliance
    Compliance- und Best-Practice-Vorgaben sehen vor, dass Sicherheit zum zentralen Bestandteil der Datenschutzstrategie im Unternehmen wird, damit Systemzugriffe auf personenbezogene Daten kontrolliert und geschützt werden können. Enterprise-Lösungen unterstützen Unternehmen bei Kontrolle, IT-Monitoring und IT-Management der Zugriffe auf kritische Daten, ohne dass die Produktivität der Mitarbeiter darunter leidet oder tägliche Betriebsabläufe gestört werden. Die Auditierbarkeit aller internen Vorgänge und Aktivitäten hilft auch dabei, die eigenen IT-Systeme und Arbeitsabläufe anhand von Sicherheitskriterien analysieren und gegebenenfalls korrigieren zu können. Schließlich werden viele Einbruchsversuche und Hacking-Attacken erst im Nachhinein erkannt. Bei weitreichenden Gesetzesvorgaben wie der EU-Datenschutz-Grundverordnung sollten Organisationen auch sicherstellen, dass externe Vertragspartner die Sicherheitsstandards beim Datenschutz personenbezogener Informationen befolgen.

Fall gelöst. Angesichts wachsender Bedrohungen und unangenehmer Negativpresse durch Hackerangriffe bleibt der Druck für Unternehmen dauerhaft hoch. Die Verstöße und Datenverluste können dabei auch aus der Mitte der Organisationen kommen. Wie bei der Mini-Serie »True Detective« bewegen sich CIOs dabei auf zwei Zeitebenen. Sie müssen einerseits die Vergangenheit erforschen und zurückliegende Ereignisse minutiös aufarbeiten. Andererseits müssen sie ihr Hauptziel erreichen: Aktive Gesetzesbrecher aufspüren und Schaden abwenden.

Viele Organisationen vergeben Anwendern immer noch zu weit gefasste Zugriffsrechte auf ihre Netzwerke. Es bedarf daher keiner genialen Kombiniergabe, um das detektivische Rätsel interner Sicherheitsverletzungen zu lösen. Ein realistischer Blick und eine nüchterne Betrachtung der Nutzeraktivitäten reichen aus, um den Fall zu lösen und zu einem guten Ende zu führen. Die Lösung befindet sich direkt vor ihren Augen: Es gibt passende Tools, um internen Mitarbeitern einen unsicheren Umgang mit Privilegien, kritischen IT-Systemen und sensiblen Daten zu verwehren.

Kevin Switala,
Regional Sales Manager,
BeyondTrust

 

 

 

Illustration: © yavyav /shutterstock.com

 

 

 

 

Zur Startseite →

← Zurück