vchalup - stock.adobe.com
Typische Insider-Bedrohungen und Gegenmaßnahmen
Immer wieder gelangen wichtige Geschäftsdaten durch Insider – absichtlich oder unabsichtlich – in die falschen Hände. Wir stellen sechs Gefahren und geeignete Gegenmaßnahmen vor.
Die potenzielle Bedrohung durch Insider sollte keine Organisation vernachlässigen. Nach manchen Schätzungen sind bereits mehr als 60 Prozent aller Firmen das Opfer mindestens eines Angriffs durch einen Insider geworden. Ist Ihr Unternehmen vielleicht schon das nächste?
Die gute Nachricht: Es gibt funktionierende Maßnahmen gegen diese Gefahr, die man sofort ergreifen könnte. Außerdem gibt es erste Anzeichen, auf die IT-Teams achten können. So erkennt man Attacken durch Insider rechtzeitig und wehrt sich dagegen, ohne dafür große Kosten auf sich nehmen zu müssen.
Allgemein gesehen gibt es drei immer wieder anzutreffende Arten von Angriffen durch Insider: Zum einen die gehackten Mitarbeiter, deren Zugangsdaten gestohlen wurden. Bei Insider-Bedrohungen sind es keineswegs immer die Insider selbst, die die unredliche Tat durchführen. Häufig geschieht dies schlicht mit entwendeten Zugangsdaten.
Dann gibt es die nachlässigen Kollegen, die etwa ihr Notebook im Zug liegen lassen oder die versehentlich eine E-Mail mit sensiblen Daten an den falschen Empfänger versendet haben. Nur die dritte Gruppe besteht aus böswilligen Personen wie verärgerte und unzufriedene Mitarbeiter, die mit vollem Bewusstsein Diebstähle, Betrug, Sabotage, Spionage oder Erpressung begehen.
Die möglichen Angriffsarten durch Insider können noch weiter unterteilt werden, je nachdem, wie sensible Geschäftsdaten in die falschen Hände gelangen können. Im Folgenden stellen wir die sechs größten und immer wieder anzutreffenden Gefahren durch Insider vor, die eine Bedrohung für Ihre Daten darstellen. Zusätzlich erklären wir, was Sie jeweils dagegen unternehmen können.
1. Zugriff auf Informationen durch Remote-fähige Software
Das Problem: Ein nicht unerheblicher Teil der Angriffe durch Insider erfolgt durch einen Fernzugriff mit Remote-Access-Tools. Das liegt daran, dass viele Anwender davon ausgehen, dass sie nicht so leicht ertappt werden können, wenn sie ihre Attacken aus der Ferne begehen. Dazu kommt, dass nicht ausreichend gesicherte Notebooks möglicherweise in die Hände von Angreifern gelangen, wenn nicht kontinuierlich auf sie aufgepasst wird oder wenn sie gestohlen beziehungsweise verloren werden.
Es gibt außerdem eine Reihe von Remote-Access-Werkzeugen, die auf dem RDP-Protokoll (Remote Desktop Protocol) von Microsoft aufsetzen. RDP eignet sich besonders gut für einen Einbruch in fremde Systeme, da darin in der Vergangenheit immer wieder ernste Sicherheitslücken gefunden wurden.
Die Lösung: Sorgfältig erstellte Berechtigungen zum Teilen von Dateien und für den Zugriff auf sie sind hier ebenso wie Logging-Maßnahmen auf Betriebssystem- und Applikations-Ebene besonders wichtig. Viele Remote-Access-Lösungen ermöglichen die Einrichtung strenger Zugriffsrechte aus der Ferne. Außerdem können sie die Aktivitäten der Nutzer meist in Echtzeit überwachen und auffällige oder gar alle Aktionen protokollieren.
Prüfen Sie die zur Verfügung stehenden Funktionen ihres Systems und legen Sie fest, wie Sie damit Management, Reporting und Security verbessern können. Ein Missbrauch Remote-fähiger Lösungen erfolgt häufig außerhalb der Kernzeiten eines Unternehmens. Es macht deswegen unter Umständen Sinn, die Zugriffe aus der Ferne auf bestimmte Zeiten zu beschränken.
Strenge Vorgaben zu Passwörtern können zudem fremde Logins mit Hilfe von per Brute-Force-Methode ermittelten Zugangsdaten verhindern. Die Anwender sollten sich zudem auch nach einer längeren Inaktivität wieder neu am System anmelden müssen und nicht automatisch eingeloggt bleiben. Das gilt insbesondere dann, wenn ihr Computer von selbst in den Stromsparmodus übergegangen ist.
Eine Verschlüsselung der Festplatte oder SSD in einem Notebook kann zudem verhindern, dass die darauf abgespeicherten Informationen nach einem Diebstahl oder Verlust in die falschen Hände gelangen. Falls es möglich ist, sollte RDP komplett deaktiviert werden. Wenn das aus diversen Gründen nicht erwünscht ist, dann sollten immerhin alle relevanten Patches zügig eingespielt werden. Weiteren Schutz bieten geeignete Gruppenrichtlinien, um RDP einzuschränken.
2. Gefahren durch Dritte
Das Problem: Oft haben auch dritte Parteien Zugang zu den Systemen eines Unternehmens. Denken Sie nur an Vertragspartner, Teilzeitkräfte, Kunden, Lieferanten oder externe Dienstleister. Sie alle stellen ebenfalls eine Gefahr für sensible Daten dar. Diese Art von Attacken werden auch als Supply-Chain- beziehungsweise Value-Chain-Angriffe bezeichnet.
Attacken durch Dritte sind sowohl eine Bedrohung für interne Geschäftsdaten als auch für den Ruf eines Unternehmens. Ein Beispiel dafür ist etwa der Einbruch bei dem US-Anbieter Target im Jahr 2013, bei welchem zahlreiche Daten von Kunden gestohlen wurden. Die Angreifer verwendeten dabei Zugangsdaten von Mitarbeitern eines für die Wartung der Heizung, Lüftung und Klimatechnik zuständigen Dienstleisters.
Die Lösung: Zunächst sollten Sie sicherstellen, dass jeder Partner vertrauenswürdig ist, mit dem Sie enger zusammenarbeiten. Informieren Sie sich ausführlich über geeignete Firmen und versuchen Sie, Referenzen zu erhalten. Darüber hinaus sollten Sie ein Programm entwickeln, mit dem Sie auf Bedrohungen durch Dritte schneller reagieren können.
Dabei sind Monitoring-Tools besonders wichtig, mit denen Sie böswilliges und ungewöhnliches Verhalten frühzeitig aufdecken können. Zusätzliche Lösungen zur Analyse und Überwachung der Aktivitäten im Netzwerk können fehlerhaftes und verdächtiges Verhalten erkennen und rechtzeitig Warnungen auslösen. Beschränken Sie den Zugriff durch Dritte außerdem nach dem Prinzip des geringsten benötigten Rechts. So verhindern Sie Zugriffe auf Ressourcen im Netzwerk, die nicht dringend benötigt werden, um eine bestimmte Aufgabe zu erfüllen.
3. Datenverluste durch E-Mails und Instant Messaging
Das Problem: Sensible Daten, die an eine E-Mail oder eine IM-Nachricht (Instant Messaging) angehängt werden – sei es absichtlich oder unabsichtlich – können in die falschen Hände gelangen. Diese Gefahr durch Insider lässt sich zum Glück besonders leicht bekämpfen.
Die Lösung: Eine der immer noch effektivsten Strategien zur Vermeidung von Schaden ist das Ausfiltern sensibler Informationen, wenn sie gerade dabei sind, das Netzwerk zu verlassen. Dazu kann etwa eine Analyse-Software verwendet werden, die auf bestimmte Schlüsselwörter, Dateianhänge und andere essentielle Daten reagiert und dann ein Verlassen des sicheren Bereichs am Perimeter verhindert. Sowohl client- als auch serverbasierte Lösungen zum Content Filtering sind heutzutage durchaus in der Lage, sensible Daten zuverlässig daran zu hindern, den Netzwerkrand zu passieren. Die perimetergestützten und auf den ausgehenden Datenverkehr ausgelegten Lösungen lassen sich nicht nur in der Regel leicht verwalten, sondern erkennen auch sensible Inhalte automatisch und blockieren sie.
Beachten Sie dabei jedoch, dass keine dieser Anwendungen ihre Aufgabe zuverlässig erfüllen kann, wenn die zu überwachenden Daten verschlüsselt wurden. Durch das Filtern erfahren Sie aber immerhin, dass verschlüsselte Daten übertragen werden. Wo wir gerade davon sprechen: Sie sollten auch regelmäßig die in Ihrer Firewall geltenden Regeln prüfen und sicherstellen, dass sie nicht nur definieren, was das Unternehmen erreichen darf, sondern auch, was das Netzwerk verlassen darf.
Eine weitere Bedrohung, mit der Sie sich beschäftigen sollten, basiert auf Phishing und anderen Arten von Social Engineering. Gegen diese Art von Attacken bieten sich Security Awareness Trainings an, die Sie in Ihre Schutzpakete gegen Insider-Gefahren integrieren sollten.
4. Unsichere Dienste zum Datei-Sharing
Das Problem: Unabhängig davon, ob Sie zum Austausch von Dateien gedachte Online-Dienste wie Dropbox und Google Drive oder Collaboration-Tools wie Instant Messaging, Slack oder Skype in Ihrer Infrastruktur erlauben, können Sie davon ausgehen, dass sie dort bereits vorhanden sind und nur darauf warten, missbraucht zu werden. Die Dienste selbst sind dabei gar nicht mal das Problem. Es geht eher darum, wie sie sich einsetzen lassen. Hier liegt die von ihnen ausgehende Gefahr. Teilweise reicht schon eine kleine fehlerhafte Konfiguration, um Teile Ihres Netzwerks für die halbe Welt verfügbar zu machen.
Die Lösung: Wenn Ihr Unternehmen File-Sharing- und Collaboration-Dienste erlaubt, dann liegt es an Ihnen, sicherzustellen, dass die Anwender die daraus resultierenden Gefahren auch kennen. Geeignete Monitoring-Tools können Ihnen dabei helfen, alle Anwendungen in Ihrer Infrastruktur ausfindig zu machen, die zum Verbreiten von Dateien und zur Zusammenarbeit mit anderen Nutzern verwendet werden können.
Wenn Sie diese Lösungen nicht in Ihrem Netzwerk haben wollen, dann können Sie versuchen, sie mit Hilfe der Firewall zu blockieren. Nicht wenige dieser Dienste sind jedoch in der Lage, offene Ports aufzuspüren, über die sie einen alternativen Weg nach draußen finden. Erschwerend kommt hinzu, wenn Sie etwa die Enterprise-Version von Dropbox in Ihrem Unternehmen einsetzen, dass Sie dann die Version für Privatanwender des Dienstes nicht einfach deaktivieren und die Business-Lösung weiternutzen können. Für was auch immer Sie sich entscheiden, setzen Sie Analyse-Tools für Ihr Netzwerk ein und führen Sie regelmäßig ein Audit der geltenden Firewall-Regeln durch.
5. Allzu achtloser Umgang mit drahtlosen Netzwerken
Das Problem: Eine der immer wieder auftauchenden Arten von Insider-Gefahren ist die Nutzung von unsicheren WLAN-Netzen. Egal, ob die Nutzung in einem Café, am Flughafen oder in einem Hotel stattfindet, sind unsichere WLANs schnell eine ernste Bedrohung für Ihre sensiblen Daten. Oft genügt schon ein kurzer Blick durch den Mitarbeiter in seine E-Mails oder auf einen Online-Speicher, damit wertvolle Informationen gestohlen werden können.
WLAN-Netze sind nicht sicher vor diesen Bedrohungen, aber auch die Nutzung von Bluetooth auf Smartphones oder Tablets ist eine Gefahr. Wenn Sie selbst drahtlose Netze in Ihrem Unternehmen anbieten, können sie auch außerhalb der regulären Arbeitszeiten von den Mitarbeitern genutzt werden, um mehr oder weniger heimlich auf das interne Netzwerk zuzugreifen.
Die Lösung: Sie können Funkdaten kaum kontrollieren, die Ihr Unternehmen verlassen, aber Sie können zumindest für eine bessere Absicherung der externen WLAN-Nutzung sorgen. Dazu gehören der Einsatz von Virtuellen Privaten Netzwerken (VPNs), um sich aus der Ferne sicher mit dem Firmennetz zu verbinden, eine persönliche Firewall um fremde Nutzer daran zu hindern, sich mit dem drahtlosen Gerät zu verbinden sowie der Einsatz von SSL beziehungsweise TLS, um alle genutzten Messaging-Dienste abzusichern.
Sorgen Sie darüber hinaus natürlich ebenfalls dafür, dass auch Ihre intern genutzten WLAN-Netze sicher konfiguriert sind. Verwenden Sie eine bewährte Verschlüsselung sowie Authentifizierung – WPA3 ist die aktuelle Ausführung des Verschlüsselungsprotokolls für Funknetze – und aktivieren Sie Logging. Bluetooth-Verbindungen sollten Sie überall dort abschalten, wo sie nicht unbedingt benötigt werden. Außerdem sollten sich Ihre Geräte nicht selbsttätig zu erkennen geben, so dass sie schwerer aufzuspüren – und damit anzugreifen sind.
6. Veröffentlichen von Daten in Online-Foren und Blogs
Das Problem: Immer wieder veröffentlichen Anwender zum Beispiel Support-Anfragen und Blog-Nachrichten im Internet, die mit ihrer Arbeit zusammenhängen. Absichtlich oder auch nicht können darin sensible Informationen und sogar interne Dateien enthalten sein, die eine potenzielle Gefahr für Ihr Unternehmen darstellen.
Die Lösung: Das bereits beschriebene Filtern von HTTP-Inhalten und der E-Mail-Kommunikation am Netzwerkperimeter ist eine der besten Möglichkeiten, um sensible Daten aufzuspüren und am Verlassen des Netzes zu hindern. Es besteht aber die Gefahr, dass die zunehmende Nutzung von verschlüsselten Datenverbindungen dafür sorgt, dass sensible Daten die Rechner der Mitarbeiter trotzdem verlassen können.
Achten Sie aus diesen Gründen auf neue Informationen im Internet, die mit Ihrem Unternehmen zusammenhängen. Das lässt sich zum Beispiel mit individuellen Google Alerts erreichen. Der Dienst informiert Sie dann automatisch, wenn bestimmte Schlüsselwörter im Internet verwendet werden. Generell können Sie auch mit gelegentlich durchgeführten gezielten Google-Suchen kritische Informationen über Ihr Unternehmen im Internet aufspüren. Das funktioniert aber natürlich nur mit Daten, auf die die Bots von Google auch zugreifen dürfen. Bei einigen Online-Foren mit aktiven Zugangsbeschränkungen ist das nicht möglich.
Wie man es auch dreht und wendet, die Gefahr durch Insider wird uns noch lange beschäftigen. Laut dem Bericht 2019 Verizon Data Breach Investigations wurden rund 34 Prozent aller Datendiebstähle im vergangenen Jahr durch interne Mitarbeiter verursacht. In den Jahren 2017 und 2016 waren es nur 28 beziehungsweise 25 Prozent. Der Trend zeigt also steil nach oben.
Wenn Sie die in diesem Artikel beschriebenen technischen Maßnahmen in Ihrem Unternehmen einführen, werden Sie aber schnelle Erfolge im Kampf gegen Insider-Gefahren erreichen. Auf lange Sicht gesehen benötigen Sie jedoch eine detaillierte Strategie, um sich dauerhaft vor der Bedrohung durch Insider zu schützen.
Wichtig sind vor allem regelmäßige Security Awareness Trainings der Mitarbeiter sowie Richtlinien, die das von Ihnen ausgewählte Vorgehen gegen Insider beschreiben. Zusammen mit Analysen, die zeigen, wie und ob die Maßnahmen greifen, erreichen Sie einen soliden Schutz vor Insider-Attacken, seien sie absichtlich oder unabsichtlich.
