Grafvision - Fotolia

Unbeabsichtigte Bedrohungen von Insidern und vier Methoden, sie zu verhindern

Bewusstseinsförderung hilft nicht gegen unbeabsichtigte Bedrohungen durch Insider. Unternehmen müssen die Risiken proaktiv minimieren.

Bedrohung durch Insider ist ein Ausdruck, den viele Leute kennen. Es gibt an dieser Stelle ein Problem. Die meisten malen sich bei dem Begriff einen böswilligen, schlecht gesinnten Insider aus, der nur im Schilde führt, dem Unternehmen zu schaden.

Handelt es sich tatsächlich um eine böswillige Bedrohung durch Insider, ist das natürlich ein ernstes Problem. Viele werden allerdings überrascht sein, dass dieser Bereich nicht in erster Linie für den größten Schaden in Unternehmen sorgt. Unabsichtliche Insider sind heutzutage hauptsächlich für Kompromittierung verantwortlich.

Der unabsichtliche Insider ist eine Person, die ganz fest und überzeugt glaubt, dass sie ihre Arbeit angemessen verrichtet und für den Arbeitgeber keine Bedrohung darstellt. Allerdings ist sie einem Trick auf den Leim gegangen, wodurch eine andere Person der Firma nun schaden kann.

Sieht man sich die Angriffe heutzutage an, dann glauben die meisten Menschen, dass für Firmen externe Angriffe das größte Problem sind und man sich darauf fokussieren müsse. Allerdings ist eine Unterscheidung zwischen Quelle des Angriffs und Grund des Schadens sehr wichtig. Die Quelle der überwiegenden Anzahl aller Angriffe ist in den meisten Fällen natürlich außerhalb zu finden. Den Schaden richten aber oftmals unabsichtliche Insider an. Die modernen Gegenspieler realisieren, dass ein direkter Einbruch beispielsweise in einen Server ziemlich schwer ist. Somit ist eine Kompromittierung einer Firma von außerhalb diffizil. Einen Insider aufs Korn zu nehmen ist wesentlich einfacher. Man trickst diese Person aus, einen Anhang zu öffnen oder durch Social Engineering auf einen Link zu klicken. Ist das geschafft, verwendet man sein System als Hebel für den Angriff.

Was kann ein Unternehmen tun, um sich angemessen gegen Bedrohungen durch Insider zu schützen? Die meisten Firmen glauben, dass eine bessere Sensibilisierung für Security die effizienteste Methode ist, unabsichtliche Angriffe durch Insider zu minimieren. Im Endeffekt bedeutet das, dass Angestellte die Gefahren und Enthüllungen besser verstehen müssen. Ich bin selbst ein großer Fan von Bewusstseinsförderung. Unternehmen dürfen aber nicht vergessen, dass sich nicht sämtliche Probleme mit einer einzigen Methode lösen lassen.

Bewusstseinsförderung eignet sich hervorragend für einfache Angriffe, bei denen etwas offensichtlich im Argen liegt. Das kann ein E-Mail oder eine andere Information sein, die der Anwender empfangen hat. Die Gegner werden allerdings fortschrittlicher und Phishing-Angriffe ausgeklügelter. Manche der Informationen lassen sich kaum von realen Kommunikationen unterscheiden und deswegen haben die Cyberkriminellen oft Erfolg. In so einem Fall hilft eine Sensibilisierung nicht weiter. Die Lösung gegen solche fortschrittlichen Angriffe ist es, den Angriffsvektor zu entfernen.

Insider will man häufig durch Anhänge in E-Mails oder mit eingebetteten Weblinks ködern. Diese richten Schaden an und kompromittieren im schlimmsten Fall das System. Nachfolgend finden Sie vier Kontrollmechanismen, mit denen sich die Risiken und somit die Schäden durch unabsichtliche Insider-Angriffe minimieren lassen.

Kontrolle der Anwendungen

Zwei der potenziell gefährlichsten Anwendungen auf Computern sind Webbrowser und E-Mail-Clients. Das sind die häufigsten Eintrittspunkte für Malware. Man kann Schritte unternehmen, um die Leistungsmerkmale dieser Anwendungen zu limitieren. Das beeinflusst allerdings auch Funktionalitäten, die man häufig benötigt, um dem Tagesgeschäft ungestört nachgehen zu können.

Aus diesem Grund wäre eine Lösung, gefährliche Anwendungen in separaten virtuellen Maschinen (VM) laufen zu lassen. Immer wenn eine Anwendung gestartet wird, läuft diese in einer isolierten VM. Sollte es zu einer Infizierung kommen, würde das lediglich die VM betreffen. Das restliche Betriebssystem bleibt an dieser Stelle verschont. Schließt man die Anwendung, wird die virtuelle Maschine heruntergefahren und die schädlichen Aktivitäten sind unter Kontrolle. In diesem Fall war das System nur kurzfristig und in einer kontrollierten Umgebung infiziert. Die Langzeitauswirkungen sind minimal. Auf den Anwender hat diese Lösung kaum Einfluss. Der Gegenspieler ist allerdings massiv eingeschränkt, auf welche Weise er Schaden verursachen kann.

Filtern von schädlichen Inhalten

In vielen Fällen kompromittiert man Insider mittels ausführbarer Anhänge, Makros in Office-Dokumenten und eingebetteten HTML-Inhalten. Die meisten Unternehmen benötigen solche Inhalte nicht aus dem Internet. Ganz nach dem Motto der geringsten Privilegien sollte man das auch so handhaben. Wird eine Aktivität nicht benötigt, blockiert man sie am besten. Wenn Sie einen kleinen Prozentsatz an schädlichen Aktivitäten blockieren, kann sich das auf die Minimierung des Schadens durch einen Gegenspieler sehr positiv auswirken.

Einschränkung der ausführbaren Inhalte

Blockieren Sie alle Dateien eines bestimmten Typs, ist das sicherlich wirksam. Allerdings ist dieser Ansatz nicht immer praktikabel. Das gilt dann, wenn Anwender bestimmte Dateien brauchen. Aus diesem Grund ist eine Sandbox eine Alternative. Auch das Ausfiltern bestimmter Aktivitäten ist denkbar, während man legitime Vorgänge zulässt.

Es gibt wirksame Technologien, die einen Anhang herausgreifen und die Inhalte analysieren. Es ist sogar möglich, ihn in einer Sandbox laufen zu lassen, um das Verhalten zu untersuchen. Richtet er Schaden an, wird der Anhang blockiert. Im anderen Fall lässt man den Inhalt durch. Somit ist das Unternehmen flexibler, wenn es um das Filtern von Inhalten geht. Normale Aktivitäten werden dadurch so wenig wie möglich gestört und die Mitarbeiter können dem Tagesgeschäft nachgehen.

Kontrolle ausführbarer Dateien

Trickst man den Insider aus, damit er eine ausführbare Datei anklickt, kann man ihn kompromittieren. Der Anwender denkt dabei, dass es sich um einen legitimen Inhalt handelt. In Wahrheit ist er aber schädlich. Wenn Sie ausführbare Dateien kontrollieren und überprüfen, minimieren Sie die Chance, dass ein System infiltriert wird. Dafür gibt es Technologien wie zum Beispiel Whitelisting von Anwendungen.

Fazit

Man kann die unabsichtlichen Bedrohungen durch Insider gar nicht genug betonen. Die Mitarbeiter, Partner und andere mit erweiterten Rechten haben gar nichts Schlechtes im Sinn, bergen aber ein großes Potenzial für Schaden. Personen lassen sich zu einfach manipulieren. Sobald ein Unternehmen verstanden hat, dass unabsichtliche Insider ein großes Risiko sind, können sie Gegenmaßnahmen einleiten. So lassen sich Gefahren kontrollieren und die negativen Auswirkungen auf ein Unternehmen minimieren.

Über den Autor:
Eric Cole, Ph.D., ist ein anerkannter Security-Experte mit mehr als 20 Jahren praktischer Erfahrung. Dr. Cole ist Gründer und Geschäftsführer von Secure Anchor Consulting. Dort bietet er Beratungsservices im Bereich Cybersecurity und Gutachten an. Außerdem ist er in der Erforschung und der Entwicklung von modernen Security-Systemen tätig. Dr. Cole war der einzige Neuzugang in der InfoSec European Hall of Fame im Jahre 2014. Er arbeitet aktiv mit dem SANS Technology Institute (STI) zusammen und ist ein SANS Senior Fellow.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Fortsetzung des Inhalts unten

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de

Close