IT: Der unterschätzte interne Täter

Laut „2016 Cyber Security Intelligence Index“ geht von Insidern die größte Gefahr aus

[datensicherheit.de, 16.06.2016] Insider könnte man als eine Art „neue Malware“ betrachten – sie haben gegenüber externen Angreifern einen entscheidenden Vorteil: Sie verfügen bereits über legitime Zugriffsrechte auf Dateien, Anwendungen, Code oder vertrauliche Daten. Wenn Mitarbeiter auf die „Dunkle Seite der Macht“ wechseln oder Zugangsdaten in die falschen Hände gelangen, ist das immens schwierig nachzuweisen.

Genereller Anstieg von Sicherheitsvorfällen

Die Tätertypologien und Motivationen seien vielfältig, damit habe sich vor Kurzem das Bundeskriminalamt (BKA) im Rahmen einer Literaturstudie beschäftigt. Der schon häufiger herangezogene „Data Breach Investigation Report“ von Verizon aus dem Jahr 2015 werde auch vom BKA zugrunde gelegt: Demnach steht der „Missbrauch durch Insider“ für fast 21 Prozent der 2014 registrierten Sicherheitsvorfälle. In 55 Prozent der Fälle von Insidermissbrauch habe es sich um Privilegienmissbrauch gehandelt, d.h. interne Akteure missbrauchten den ihnen anvertrauten Zugang, um sensible Daten unrechtmäßig zu erlangen oder weiterzugeben.
Neben dem generelleren Anstieg von Sicherheitsvorfällen (laut IBM sei die Zahl der Vorfälle um 64 Prozent im Jahr 2015 verglichen mit 2014 gestiegen) habe IBM in seiner Untersuchung festgestellt, dass das Gesundheitswesen am häufigsten betroffen gewesen sei – noch vor den sozusagen „klassischen“ Branchen Finanzen und Industrie. Die „IBM X-Force“ stütze sich bei ihren Analysen auf Daten, die bei mehr als 8.000 Kunden in über 100 Ländern erhoben worden seien.

Cyber-Kriminalität in ihrer Vielfalt als Normalität

Cyber-Kriminalität in all ihren Spielarten werde so etwas wie die neue Normalität, Datenlecks inklusive. Das verlange von allen Beteiligten Cyber-Sicherheit mehr denn je als „way of life“ zu betrachten, betont David Lin von VARONIS. Zwar seien einige Branchen mehr im Fokus als andere wie Gesundheitswesen, die industrielle Produktion oder Behörden und Regierungsstellen rund um den Globus.
2015 gehöre aber zu den Jahren, in denen klar geworden sei, dass keine Branche von Angriffen oder Sicherheitsschwachstellen verschont bleibe. Lin: „Wurden die Attacken und Schwachstellen bekannt beziehungsweise bekannt gemacht, schafften sie es in aller Regel in die Schlagzeilen. Für Unternehmen gleich in zweierlei Hinsicht folgenschwer, denn meistens sind es externe Dritte und Kunden, die über eine erfolgreiche Datenschutzverletzung informieren.“ Und damit legten diese zugleich offen, dass ein Unternehmen nicht in der Lage gewesen sei, diese zu bemerken, geschweige denn rechtzeitig gegenzusteuern.

Die laut IBM am häufigsten attackierten Branchen,

1. Gesundheitswesen,
2. Industrie,
3. Finanzwesen,
4. Behörden und Regierungsinstitutionen,
5. Transportwesen,

seien keine Überraschung, aber der „Shooting Star“ unter ihnen habe die Analysten dann doch überrascht, denn fünf von acht der massivsten Datenschutzvorfälle im Gesundheitswesen seit Beginn des Jahres 2010 (jene mit mehr als 1.000.000 kompromittierten Datensätze) seien in den ersten sechs Monaten des Jahres 2015 aufgetreten. Angriffe auf das Transportwesen hätten es in der Analyse 2015 zum ersten Mal unter die „Top 5“ geschafft und seien in den beobachteten Fällen weitgehend politisch motiviert gewesen.
Dass die Gesundheitsbranche ein schwieriges Jahr hinter sich habe, einerseits verursacht durch etliche Ransomware-Angriffe, andererseits durch eine Vielzahl von Datenschutzverstößen, zu diesem Ergebnis komme auch eine jüngst veröffentlichte Umfrage des Ponemon Institute.

Unautorisierter Zugriff dominiert

Bereits seit 2014 seien die weitaus meisten der Sicherheitsvorfälle und Datenschutzverletzungen auf einen nicht autorisierten Zugriff zurückzuführen. 2015 hätten die Analysten einen Anstieg von bisher 37 auf 45 Prozent beobachtet, während Schadcode „nur“ noch auf 29 Prozent komme (im Übrigen trotzdem ein Anstieg um neun Prozent verglichen mit dem Vorjahr). Verantwortlich sind laut IBM zu 60 Prozent Personen, denen wir geneigt sind im Geschäftsalltag zu vertrauen – zu diesem Kreis gehören eigene Mitarbeiter genauso wie Berater, Projektmitarbeiter und externe Dienstleister.
Nicht selten sind diese für einen gewissen Zeitraum, manchmal sogar dauerhaft mit weitreichenden Zugriffsrechten ausgestattet. Nur wenige überprüfen, welcher Dienstleister wie in ein System gelangen kann, geschweige denn welche Zugriffsberechtigungen an dieser Stelle vergeben worden sind – und das keineswegs nur in kleinen und mittelständischen Unternehmen (KMU). Großkonzerne, darunter selbst Banken und Versicherungen, machten hierbei keine Ausnahme, so Lin. Gerade Providern würden weitreichende Zugriffsrechte eingeräumt. In manchen Fällen hätten sie exakt dieselben Rechte wie die IT-Administratoren selbst.

Gerade bei Großunternehmen und Konzernen Handlungsbedarf

Viele der massiven Datenschutzverletzungen insbesondere dieses und des zurückliegenden Jahres wiesen strukturelle Ähnlichkeiten auf. In zahlreichen Fällen sei es den Angreifern gelungen, sich in den Besitz der Login-Daten eines Mitarbeiters zu bringen. Unabhängig davon, ob Mitarbeiter oder ehemaliger Angestellter, externer Dienstleister oder Hacker, was alle Bedrohungen dieser Art gemeinsam hätten sei, dass sie schwer zu entdecken und noch schwerer zu verhindern seien.
An vielen Stellen seien die Zugriffsaktivitäten der Schlüssel, wolle man potenzielle Datenschutzverletzungen frühzeitig verhindern. Dazu brauche man indes zweierlei, sagt Lin: „Man muss wissen, wer welche Zugriffsrechte hat und man muss wissen, was er damit tatsächlich tut, respektive tun kann.“ Gerade bei Großunternehmen und Konzernen bestehe Handlungs- wenn nicht Nachholbedarf.

Mehr Informationen zum Thema:

datensicherheit.de, 28.07.2015
Cisco-Studie: Zeit zur Entdeckung von Cyber-Angriffen muss reduzieren werden