Die interne Gefahr: Wie sich Unternehmen vor Insider-Bedrohungen schützen können

Cyberkriminellen konzentrieren sich auf den Diebstahl von Zugangsdaten

Von unserem Gastautor Andrew Rose, Resident CISO bei Proofpoint

[datensicherheit.de, 17.11.2023] Bedrohungen durch Insider sind nicht erst seit dem Beginn des digitalen Zeitalters zu einem Problem geworden. Bereits im Jahr 480 v. Chr. verriet Ephialtes die spartanischen Krieger, indem er die persische Armee über einen versteckten Bergpfad informierte, der es dieser ermöglichte, die griechischen Verteidiger zu überlisten und zu besiegen. Und 1985 wurde Richard Miller, ein FBI-Agent, wegen Spionage verhaftet, nachdem er geheime Dokumente an russische Sicherheitsdienste weitergegeben und dafür Gold und Bargeld verlangt hatte. Wie diese Beispiele zeigen, haben Insider-Bedrohungen eine lange Tradition.

Andrew Rose, Resident CISO bei Proofpoint, Bild: Proofpoint

Der langen Tradition zum Trotz wird diese Gefahr meist toleriert. Wirklich böswillige Insider sind selten, und Arbeitsverträge enthalten rechtliche Klauseln, die gegen Insider verwendet werden können. Allerdings wird es immer Fahler nachlässiger Mitarbeiter geben, so viele Schulungen diese auch erhalten haben mögen. Sobald CISOs dieses Thema in der Vorstandsetage adressierten, ernteten sie allzu oft Erstaunen und wurden gefragt, woher ihr Misstrauen gegenüber den Kollegen rührt.

Was hat sich also geändert bzw. warum ist das Thema Insider-Bedrohungen nun auf der Tagesordnung der meisten Vorstands-Meetings? Dafür gibt es drei wesentliche Gründer, die miteinander verknüpft sind: Die Angreifer haben ihre Taktik verändert, die Arbeitgeber haben weniger Vertrauen in ihre Mitarbeiter und die bestehenden Kontrollen, mit denen Insider-Bedrohungen eingedämmt werden konnten, verlieren zunehmend ihre Wirksamkeit.

Weiterentwicklung der Angreifer

Der Hauptgrund für die Eskalation der Insider-Bedrohungen ist die Konzentration der Cyberkriminellen auf den Diebstahl von Zugangsdaten, weil gestohlene Zugangsdaten für sie zum primären Einfallstor geworden sind. Der Verizon Data Breach Investigations Report 2023 (DBIR) zeigt, dass 49 Prozent aller erfolgreichen Einbrüche auf gestohlene Zugangsdaten zurückzuführen sind.

Das Vorgehen ist simpel und einleuchtend: Wenn sich ein Angreifer mit existierenden Anmeldedaten einloggen kann, hat er Zugriff auf alle Systeme, Daten und Berechtigungen des Konto-Inhabers, ohne sich um Firewall-Konfigurationen, Patch-Levels oder Zero-Days kümmern zu müssen. Die Angriffsmethode ist stark vereinfacht und lässt sich flexibel anpassen.

Indem sie eine echte Identität für einen Angriff verwenden, können die Täter ihre Angriffskette erweitern, indem sie das Vertrauen, das der gehackten Identität entgegengebracht wird, als Waffe verwenden. Wenn Kollegen, Lieferanten und Familienangehörige E-Mails von dem kompromittierten Konto erhalten, nehmen sie diese für bare Münze, und die Wahrscheinlichkeit eines falschen Klicks, einer unbedachten Handlung oder einer irrtümlichen Zahlung steigt beträchtlich. Aus diesem Grund wird die meiste Malware auch an Orten gehostet, auf die sich Anwender regelmäßig verlassen – beispielsweise auf OneDrive, SharePoint oder Dropbox.

Mangelnde Verbindungen der Mitarbeiter untereinander

Seit der „Coronapandemie“ hat sich das Verhältnis zwischen Arbeit und Privatleben grundlegend verändert. Immer weniger Menschen gehen jeden Tag ins Büro, und die obligatorische persönliche Anwesenheit ist für Bewerber nicht selten zu einem Ausschlusskriterium geworden. Viele Mitarbeiter werden heute ausschließlich per Video-Telefonie rekrutiert und arbeiten aus der Ferne, sodass es immer seltener möglich ist, eine echte „Verbindung“ zu den Kollegen aufzubauen.

Das führt zu einer „Ausweitung“ der organisatorischen Grenzen. Häufig wird Mitarbeitern gestattet, ihre eigene Hardware für die Arbeit zu verwenden. Jede Schwachstelle in der privaten IT-Umgebung wird so zu einer Lücke in der IT-Sicherheit des Unternehmens. So kann lokale Malware unter Umständen Tastatureingaben aufzeichnen oder Screenshots erstellen. Auch der Datenzugriff von jedem Ort aus hat Folgen: Dadurch wächst die Herausforderung für die Security-Teams sicherzustellen, dass Daten nur an der richtigen Stelle gespeichert werden, und es steigt die Wahrscheinlichkeit von Datenlecks und -verlusten.

Wie viele Unternehmen im Zuge wachsender Fluktuation unter den Mitarbeitern in den letzten Jahren erfahren mussten, kommt es nicht selten vor, dass Angestellte bei ihrem Ausscheiden –unrechtmäßig – Unternehmensdaten mitnehmen. Dies bedroht das geistige Eigentum von Unternehmen ernsthaft. Laut Proofpoints Voice of the CISO Report 2023 mussten 85 Prozent der Sicherheitsverantwortlichen in Deutschland (63 Prozent international) in den letzten 12 Monaten vor der Studie einen erheblichen Verlust sensibler Daten konstatieren. 95 Prozent dieser Gruppe gehen davon aus, dass Mitarbeiter, die das Unternehmen verließen, zu diesem Verlust beigetragen haben. Die mangelnde Fähigkeit, Daten nachzuverfolgen und zu kontrollieren, die an immer neue Orte gelangen, ist eine der Hauptursachen für Datenverluste.

Bestehende Kontrollen reichen nicht aus

Viele dieser Probleme ließen sich lösen, aber technologische Richtungsentscheidungen und die stetige Weiterentwicklung der Cyberkriminellen haben die bestehenden Kontrollmöglichkeiten geschwächt.

Eine gängige Kontrollmöglichkeit gegen Insider-Bedrohungen ist beispielsweise eine Whistleblower-Hotline, bei der Mitarbeiter verdächtiges bzw. abweichendes Verhalten oder andere Bedenken melden können – z.B. wenn Max Mustermann plötzlich einen Ferrari vor dem Büro parkt. Das Homeoffice und das mobile Arbeiten haben diese Kontrollmöglichkeiten massiv eingeschränkt, weil die Mitarbeiter nur noch selten Zeit miteinander verbringen und lediglich über Videoanrufe und E-Mails miteinander kommunizieren. Auf diese Weise bleiben veränderte Verhaltensweisen und geänderte Meinungen oftmals verborgen.

Die Verlagerung wichtiger Geschäftsdaten in die Cloud und die Nutzung zahlreicher Echtzeit-Kommunikationsplattformen wie WhatsApp überfordern auch viele Tools zur Verhinderung von Datenlecks (Data Leak Prevention: DLP). Sensible Daten können umso leichter dupliziert und außerhalb des Blickfelds der bestehenden Kontrollen verschoben werden.

Schließlich ist auch der Multifaktor-Authentifizierung (MFA) nicht mehr zu vertrauen, die viele Jahre lang als wirksamer Schutz gegen die Kompromittierung von Identitäten bzw. Zugriffen galt. Leider haben Angreifer inzwischen Tools wie EvilProxy entwickelt, um MFA auszutricksen.

Insider Threat Management

Welche Modelle können also bei dieser Neubewertung von Insider-Bedrohungen helfen?

Trotz allem ist MFA nach wie vor ein wichtiges Kontrollinstrument, das nicht außer Acht gelassen werden sollte. Sie muss jedoch dynamischer angewendet werden, um für Angreifer eine größere Herausforderung darzustellen. Beispielsweise durch wiederholte MFA-Abfragen vor kritischen Transaktionen oder wenn der Benutzer als gefährdet eingestuft wird (z.B. sobald der Login von einem neuen Standort oder von einem neuen Gerät aus erfolgt usw.).

Flankiert werden sollte dies durch eine verstärkte Verhaltensüberwachung. Nun ist es schwierig, jede verdächtige Aktivität zu definieren, die ein Benutzer unternehmen kann. Es ist jedoch nicht allzu schwierig, in diesem Bereich Das Pareto-Prinzip bzw. die 80/20-Regel anzuwenden. (Das Pareto-Prinzip befasst sich mit der Beziehung zwischen Aufwand und Ergebnis. Es besagt, dass 80% der Wirkung durch 20% der beteiligten Faktoren erreicht werden können.). Es gibt zum Beispiel Schlüsselaktivitäten, die ein normaler Benutzer nicht durchführen würde, wie das Ändern einer Dateierweiterung oder das Erstellen einer kennwortgeschützten, verknüpften ZIP-Datei.

Hier anzufangen, lohnt sich also. Um darüber hinaus zu verhindern, dass SOC-Mitarbeiter sich wie aufgescheuchte Hühner verhalten, sollte die Sammlung verdächtiger Verhaltensweisen und Informationen über Bedrohungen automatisiert werden.

Und schließlich sollte eine DLP-Lösung implementiert werden, die für die Multi-Cloud-Umgebungen konzipiert ist, in denen Anwender heutzutage arbeiten. Die Daten haben die Grenzen der Organisationen verlassen und werden nie wieder zurückkehren. Daher ist die Verwendung veralteter DLP-Gateways zur Identifizierung unbefugter Kopien und Transfers von Daten nicht länger zielführend.

Resümee

Wie ebenfalls aus dem Verizon DBIR 2023 hervorgeht, wurden 83 Prozent aller Cyberangriffe von außen und nur 19 Prozent von innen initiiert – einige Vorkommnisse lassen sich auf beides zurückführen. Die meisten dieser Angriffe hatten ein finanzielles Motiv, und nur bei einer Handvoll ging es um Groll, Rache oder ideologische Differenzen.

Während sich also die Zahl der böswilligen und fahrlässigen Insider-Angriffe kaum verändert hat, hat sich das Ausmaß des Schadens, das durch einen entsprechenden Vorfall in einem Unternehmen verursacht werden kann, erheblich vergrößert. Allerdings sind es externe Täter, die legitime Anmeldedaten in industriellem Maßstab entwenden und dadurch das Spiel von Grund auf verändern. Dadurch sind Insider-Bedrohungen auf den Tagesordnungen der Vorstandsetagen ganz weit nach oben gerückt.

Eines sollte man grundsätzlich im Hinterkopf behalten: Angreifer kämpfen sich den Weg ins Unternehmen im digitalen Zeitalter nicht frei. Sie loggen sich einfach ein.

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

proofpoint
Insider Threat Management