valerybrozhinsky - stock.adobe.c

Insider Threats und wie man sie bekämpft

Wenn Sicherheitsvorfälle mit regulären Zugangsdaten verübt werden, kann dies verheerende Folgen haben. Die Unternehmen sind sich der Risiken interner Angriffe durchaus bewusst.

Angriffe aus dem Inneren des Unternehmens, beispielsweise durch die eigenen Mitarbeiter, aber auch durch Dienstleister oder Geschäftspartner, kommen meist teuer zu stehen. Auf kaum einem anderen Wege können interne Informationen so leicht gestohlen werden. Die Studie Insider Threat 2018 Report, die die Online-Plattform Cybersecurity Insiders und die Information Security Community auf LinkedIn mit Unterstützung von Quest Software bei dem Marktforschungsunternehmen Crowd Research Partners in Auftrag gegeben hatte, beleuchtet den gegenwärtigen Stand, wie die Gefahr von Insider Threats in ausgewählten Unternehmen wahrgenommen wird.

Botschaft angekommen

Die Bedrohung ist mittlerweile im Bewusstsein der IT-Verantwortlichen angekommen. Gemäß der Studie befürchten rund 90 Prozent eine Anfälligkeit ihrer Unternehmen gegenüber Insider-Attacken. Dabei spielen zu weit gefasste Zugriffsrechte mit 37 Prozent der Nennungen, der zunehmende Einsatz komplexer Geräte, die Zugriff auf sensible Daten haben mit 36 Prozent und die immer komplexer werdende IT mit 35 Prozent eine herausragende Rolle. Bei der Frage, ob nun externe oder interne Angriffe wahrscheinlicher sind, neigen zwei Drittel der Studienteilnehmer zu der Ansicht, dass Insider den höheren Risikofaktor darstellen – etwas mehr als die Hälfte (53 Prozent) haben diese Erfahrung bereits machen müssen. Von einem Anstieg dieser Angriffe berichten 27 Prozent der Befragten.

Doch was unternehmen die Verantwortlichen, um dieses Risiko bestmöglich zu minimieren? Rund 64 Prozent legen ihr Augenmerk auf die rechtzeitige Erkennung. Auf Sensibilisierung und Sanktionen setzen 58 Prozent und 49 Prozent der Teilnehmer sind Analyse und Forensik wichtig.

Nutzerverhalten wird bereits nachvollzogen

Doch wie genau vollziehen Unternehmen die Bewegungen der Mitarbeiter in der IT nach? Allgemein überwachen Unternehmen das Nutzerverhalten (94 Prozent) und den Zugriff auf sensible Daten (93 Prozent). In der Praxis sieht es aber so aus, dass 44 Prozent zu diesem Zweck lediglich Zugriffe aufzeichnen. Am weitesten gehen 29 Prozent der Befragten, die eine ständige Kontrolle der Mitarbeiterzugriffe durch automatisierte Lösungen einsetzen. Weitere 15 Prozent nehmen dies im Verdachtsfall vor, wenn Mitarbeiter Anlass dazu geben und sechs Prozent führen weitreichende Kontrollen nach einem Sicherheitsbruch durch. Noch bei fünf Prozent der Befragten findet keinerlei Dokumentation und Überwachung der Mitarbeiterzugriffe statt.

Auf die Frage, welchen Einblick Unternehmen in das Benutzerverhalten innerhalb von Kernanwendungen haben (hier waren mehrfache Antworten möglich), antworteten 44 Prozent, dass sie die Aktivitäten der Nutzer protokollieren. Bei 42 Prozent der Befragten erfolgte die Auswertung über Server-Logs und 32 Prozent verließen sich auf die Auditierung durch die Anwendungen selbst. Bei 26 Prozent kam Key-Logging beziehungsweise die Aufzeichnung der Arbeitssitzungen zum Zuge, während acht Prozent aussagten, dass sie keinen Einblick in das Nutzerverhalten haben. Bei 86 Prozent der Unternehmen ist ein Abwehrprogramm gegen Insider-Bedrohungen bereits in Kraft – oder in die Wege geleitet. Außerdem haben sich 36 Prozent für die Implementierung einer definierten Vorgehensweise zur Bekämpfung von Insider-Angriffen entschieden.

Zusätzlicher Schutz nötig

Meist können die mitgelieferten Tools, die Hersteller wie Microsoft mit ihren Systemen und Plattformen bereitstellen, die Gesamtsituation, die sich aus allen Teilen der Unternehmens-IT zusammensetzt, nur schwer abdecken. Diese sind für ihr eigenes Ökosystem gedacht und decken oft weder die Verwaltung anderer Plattformen noch eine gewünschte Granularität ab. Abhilfe schaffen Dritthersteller, die mit ihren Lösungen die Praxis in Unternehmen übergreifend abbilden.

Bert Skorupski, Quest Software

„Angriffe aus dem Inneren des Unternehmens, beispielsweise durch die eigenen Mitarbeiter, aber auch durch Dienstleister oder Geschäftspartner, kommen meist teuer zu stehen.“

Bert Skorupski, Quest Software 

Durch eine Echtzeit-Loganalyse können Administratoren mit diesen Lösungen Änderungen in Active Directory beziehungsweise Azure Active Directory in hohem Volumen überwachen und untypisches Verhalten einzelner Nutzer oder ganzer Nutzergruppen sofort anzeigen. Dabei sollten sie in der Lage sein, Konten rollenbasiert zu definieren, um Berechtigungen bedarfsgerecht setzen oder entziehen zu können. Außerdem können derartige Tools kompromittierte Log-in-Daten beziehungsweise die missbräuchliche Verwendung von Nutzerkonten erkennen und die Administratoren zeitnah darauf hinweisen.

Hier hilft künstliche Intelligenz weiter: Mit eigens entwickelten Lerntechnologien können Benutzer- und Entity-Verhaltensanalysen erstellt werden. Damit werden Risikofaktoren schnell aufgespürt. Eine einer Suchmaschine ähnliche IT-Sicherheitssuche ermöglicht IT-Verantwortlichen die schnelle Reaktion und Analyse auf Bedrohungssituationen. Nicht zuletzt sollte eine Lösung zum Schutz vor Insider-Bedrohungen eine umfassende Auditing-Funktion besitzen. Damit werden eine detaillierte Forensik und Sicherheitsüberwachung ermöglicht. Selbstverständlich sollte das Sicherheits-Management nicht nur Active Directory beziehungsweise Azure Active Directory beinhalten, sondern sich auch auf weitere Felder wie Exchange, Exchange Online, NAS-Geräte oder SQL-Datenbanken anwenden lassen.

Im eigensten Interesse

Da Administratoren im IT-Umfeld eines Unternehmens ohnehin mit Aufgaben ausgelastet sind, bei denen ihre Qualifikation gefragt ist und die Zeit der Administratoren – ob organisatorisch, personell oder durch das Budget bedingt – begrenzt ist, führt oft der Weg an einer automatisierten Vorgehensweise nicht vorbei. Insbesondere auch deswegen, um ernsten Schaden vom Unternehmen schon im Vorfeld abzuwenden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Wie können Unternehmen Insider-Bedrohungen entgegenwirken

Mehr Sicherheit mit verhaltensbasierter Bedrohungserkennung

Unternehmen sind nur bedingt auf Insider-Angriffe vorbereitet

Erfahren Sie mehr über Netzwerksicherheit

ComputerWeekly.de
Close