Illustration: Absmeier, Brandon Griggs

Schlechte Zeiten und Krisen sind gute Zeiten für Cyberkriminelle, denn ihnen gelingt es in der Regel aus der Situation Kapital zu schlagen. Die Covid-19-Pandemie bildet da keine Ausnahme. Unternehmen sind umso mehr gefährdet, als dass die meisten von ihnen ausreichend damit zu tun haben, die Firma durch die Krise zu navigieren, parallel dazu agieren Cybersicherheits-Teams an der Belastungsgrenze. Unter der Vielzahl von Risiken sind Insider-Bedrohungen nach wie vor ein großes Problem.

Unter einer Insider-Bedrohung versteht man das Risiko, das von Mitarbeitern oder Auftragnehmern ausgeht, die potenziell sensible Daten stehlen, Zugriffsberechtigungen missbrauchen oder von denen Betrugsaktivitäten ausgehen. Zur Motivation von Innentätern ist schon viel geforscht worden. Welcher Antrieb auch immer zugrunde liegt, ob jemand böswillig, selbstgefällig oder ignorant agiert, die finanziellen Auswirkungen sind oft gravierend und nicht selten nimmt die Reputation eines Unternehmens dauerhaft Schaden.

Firmen haben natürlich schon früher versucht, die Risiken durch Investitionen in Tools, Mitarbeiter und Prozesse in den Griff zu bekommen. Durch die aktuellen Remote-Working-Szenarien hat sich die Situation aber weiter verschärft. Insider sind jetzt Outsider, jenseits des Netzwerkperimeters. Das macht es deutlich schwieriger, ihr Verhalten und die Vorgänge im Netzwerk zu kontrollieren. Gerade, weil viele Unternehmen an dieser Stelle Lockerungen eingezogen haben, um die Produktivität zu erhalten.

Die Ergebnisse des Insider Threat Report 2020 im Kontext

Trotz aller Bemühungen ist die Exfiltration sensibler oder vertraulicher Daten über E-Mail nach wie vor die Nummer 1 unter den Bedrohungsvektoren, gefolgt von Uploads in Cloud-Speicher wie Box und Dropbox. Datenaggregation und das Hochladen von Daten in Cloud-Anwendungen werden immer beliebter, je mehr Unternehmen dazu übergehen, Cloud-Infrastrukturen und Apps für Endbenutzer einzubeziehen. Das bringt fast zwangsläufig zusätzliche Angriffsvektoren mit sich. Tatsächlich bestätigt der Bericht, dass 80 % der Mitarbeiter, die »auf dem Absprung« sind – oder deren Verhaltensmuster darauf hindeuten, dass sie das Unternehmen verlassen werden – in einem Zeitraum zwischen zwei Wochen und zwei Monaten vor dem Kündigungstermin Daten entwenden.

Betrachtet man diese nicht untypischen Verhaltensweisen mit Blick auf die globale Pandemie einschließlich von Beurlaubungen, Kurzarbeit und möglichen Entlassungen, gibt es für Unternehmen durchaus Anlass zur Beunruhigung.

Die Daten des Berichts bestätigen, dass menschliches Verhalten nach wie vor eines der größten Risiken ist, denen Unternehmen sich ausgesetzt sehen. Ein Beispiel ist das Umgehen von IT-Kontrollen. Eine nachweislich ziemlich gängige Praxis. IT Security Operations Teams haben gerade in großen Unternehmen Schwierigkeiten, (die richtigen) Schlussfolgerungen aus solchen Vorfällen zu ziehen. Entweder, weil Richtlinien fehlen oder weil für jeden Geschäftsbereich unterschiedliche Richtlinien und Verfahren koexistieren. Je mehr Mitarbeiter von zu Hause arbeiten, desto größer die Wahrscheinlichkeit, dass sie IT-Kontrollen mehr als bisher umgehen. Das geschieht nicht zwingend mit böser Absicht – eher wollen Mitarbeiter so einfach wie möglich auf Daten zugreifen und sie abspeichern. Und nicht unbedingt so sicher wie möglich.

Um diesen Punkt weiter zu veranschaulichen: Bei der Umstellung der Unternehmen auf Remote-Working ist die gemeinsame Nutzung von Konten ein großes Problem und gefährdet Compliance und allgemeine Sicherheitsvorkehrungen. In den letzten Monaten sind vermehrt Netzwerk-Sharing-Anwendungen durch verdächtige Konten kompromittiert worden. Ein Tatbestand, der Unternehmen zwingt, die Kluft zwischen externer und interner Bedrohungserkennung zu überbrücken.

Prioritäten definieren

Vor diesem Hintergrund sollten sich die Sicherheitsmaßnahmen auf den Schutz der Systeme und Daten konzentrieren, die für die Geschäftstätigkeit besonders relevant sind. Es ist wichtig, bestimmte Verhaltensweisen, die für Insider-Bedrohungen typisch sind, zu isolieren. Dazu muss man die Anzeichen für solche Bedrohungen erkennen und wissen wie man sie am besten identifiziert.

Das Threat Research Team von Securonix hat beispielsweise einen starken Anstieg bei Phishing-Mails und Business E-Mail Compromise (BEC) beobachtet. Diese Methoden dienen dazu Browser-Cookies zu stehlen, Systeminformationen aufzulisten, Wallets für Kryptowährungen freizugeben sowie Informationen zu stehlen. Traditionelle Technologien wie Data Loss Prevention (DLP)-Tools, Privileged Access Management (PAM) oder andere Punktlösungen reicht nicht mehr aus, um das Verhalten bei Insider-Bedrohungen als solches zu erkennen. Cloud-Systeme eröffnen eine hinreichend komplexe Bedrohungsstruktur. Hier braucht man ausgeklügelte Sicherheitsanalysen, die speziell entwickelte Algorithmen verwenden, um bestimmte Ergebnisse richtig zu bewerten. Darüber hinaus ist es wichtig, die Indikatoren zu einer Bedrohungskette zusammenzufügen und sie ganzheitlich zu betrachten. Erst dann kann man wirksame Maßnahmen zur Bedrohungsabwehr entwickeln und umsetzen.

Unternehmen sollten einige Empfehlungen beherzigen, um die Bedrohungen in Grenzen zu halten:

• Nutzen Sie eine Technologie, die Verhaltensanomalien erkennt: Um eine typische Insider-Bedrohung wie den Missbrauch privilegierter Zugriffsberechtigungen zu erkennen, nutzt man am besten eine kuratierte mehrstufige Erkennung. Sie setzt das seltene Auftreten eines Ereignisses in Verbindung zu Anomalien, die auf eine verdächtige oder anormale Verwendung hinweisen. Die Methode ist besonders effektiv, weil sie verschiedene Arten von Abweichungen von einem als »normal« geltenden Verhalten für Konten, Benutzer und Systeme miteinander korreliert.
• Überprüfen Sie VPN-Richtlinien, um angemessene Transparenz zu gewährleisten: Stellen Sie dazu sicher, dass das Split-Tunneling deaktiviert ist, da es die Transparenz beeinträchtigen kann. Es wird empfohlen, VPN-Serverprotokolle nur vorher festgelegten Benutzern bereitzustellen, die auf vertrauliche Informationen zugreifen. Es ist wichtig, Transparenz für Cloud-Applikationen/Software-as-a-Service (SaaS)-Protokollen aufrechtzuerhalten wie sie Remote-Worker/WFH-Benutzer nutzen, um schädliche Mails und andere externe Bedrohungen abzuwehren.
• Verwenden Sie SSO- und Multi-Faktor-Authentifizierung (MFA): Um den unbefugten Zugriff auf geschäftskritische Informationen einzuschränken, sollten Sie Single-Sign-on (SSO)- und 2FA/MFA-Protokolle einsetzen, um die Identität von Benutzern mit Zugriff auf sensible Informationen zu überprüfen. Es wird außerdem empfohlen, einen privilegierten Benutzerzugriff zeitlich zu begrenzen, um sicherzustellen, dass Benutzer nur auf die Informationen zugreifen können, die sie gerade brauchen.
• Unterschätzen Sie die Bedeutung von Schulungen nicht: Selbst in prekären Zeiten ist eines sicher: Cyberkriminelle werden weiterhin die Gunst der Stunde nutzen. Wer seine Mitarbeiter sicherheitstechnisch ausreichend für die neue Situation schult, senkt die Fehlerrate durch menschliches Versagen.

Netzwerke sind aufgrund der derzeitigen Situation durchlässiger geworden. Eine Situation auf die Unternehmen sich kaum vorbereiten konnten. Die Zeit wird zeigen, welche Auswirkungen diese ständige Aufholjagd haben wird. Wenn man grundlegende Sicherheitsmaßnahmen mit Methoden der Verhaltensanalyse kombiniert, bekommt man aber ein notwendiges Maß an Transparenz – die Basis für umfassende Sicherheit im Unternehmen auch nach der Krise.

Shareth Ben, Director of Insider Threat & Cyber Threat Analytics bei Securonix