In den vergangenen Monaten kamen IT-Security-Spezialisten mit der Cybercrime-Bekämpfung kaum hinterher. Besonders Ransomware-Angriffe von externen Angreifern dominierten die Medien. Doch eine Gefahr wird der Ansicht von Experten nach noch unterschätzt: Insider Threats. Jon Ford von Mandiant erklärt, wie Insider Threats sich äußern und hat fünf Tipps zur Minimierung von Insider-Risiken zusammengetragen.
Die meisten Unternehmen fokussieren sich im Kampf gegen Cyberkriminalität auf externe Angreifer. Doch auch in den eigenen Reihen lauert eine wachsende Bedrohung. 33 Prozent aller Sicherheitsvorfälle werden 2021 auf Insider Threats zurückgehen, prognostizieren die IT-Sicherheitsexperten von FireEye Mandiant.
Was können Unternehmen tun, um sich zu schützen?
Ein legitimer Zugang ist das A und O – die Mitarbeiter haben ihn und die Angreifer wollen ihn. Das beste Sicherheitsschloss an der Tür bringt nichts, wenn der Kriminelle bereits im Haus ist. Das weiß jeder Krimi-Fan. Ähnlich verhält es sich mit Cyberangriffen, die aus den eigenen Reihen kommen. Sie sind besonders gefährlich, weil die Täter Menschen sind, denen wir eigentlich vertrauen.
Umso besorgniserregender ist es, dass die Zahl der Insider Threats signifikant steigt. 2019 und 2020 verzeichneten die Mandiant-Teams mehr Fälle denn je, bei denen Insider geschäftskritische Systeme kompromittierten, vertrauliche Daten preisgaben oder ihre Arbeitgeber erpressten. Solche Vorfälle können erheblichen finanziellen Schaden anrichten und die Reputation gefährden.
Wer hinter Insider-Angriffen steckt
Die meisten Insider Threats sind auf fahrlässige Mitarbeiter zurückzuführen, die nichts Böses im Sinn haben, sondern aus Unachtsamkeit Hackern ein Einfallstor bieten. Es kommt jedoch auch zu gezielten Angriffen von Insidern. Genau wie Angriffe von externen Akteuren verlaufen diese häufig über einen längeren Zeitraum hinweg.
Dabei versuchen die Angreifer in der Regel unbemerkt zu bleiben und ihre Aktivitäten zu vertuschen. In manchen Fällen nutzen sie sogar Konten anderer Mitarbeiter, um die Aufmerksamkeit von sich abzulenken.
Längst steckt hinter Insider-Angriffen nicht mehr nur der verärgerte Ex-Angestellte, der sich an seinem ehemaligen Arbeitgeber rächen oder ihn bestehlen will. Im Grunde stellt jeder, der Zugang zu Netzwerken, System und Daten hat, ein potenzielles Risiko dar. Das kann der eigene Mitarbeiter sein, ebenso wie der Geschäfts- oder Lieferkettenpartner.
Organisationen mit bedeutendem geistigem Eigentum oder Unternehmen, die fusionieren oder übernommen werden oder wichtige Veränderungen und Herausforderungen durchlaufen, tragen ein erhöhtes Risiko Opfer böswilliger Insider zu werden.
Anders als vielleicht vermutet, handeln Akteure heutzutage oft nicht alleine, sondern in Gruppen, zu denen auch IT-Administratoren und Insider Threat Team-Mitglieder gehören, die Warnungen und Ermittlungen verhindern. Teilweise sind Mitglieder dieser Gruppe außerhalb der Unternehmen, wie kriminelle und sogar regierungsnahe Organisationen, die technische Aktivitäten durchführen, um Datenzugang und -diebstahl zu ermöglichen.
Die Mandiant-Ermittler haben in der Praxis verschiedene Arten von Insider-Angriffen untersucht. Dabei zeichnen sich vier Trends ab:
- Digitale Erpressung
Der böswillige Insider droht damit, gestohlene Daten zu veröffentlichen und gibt möglicherweise vor, ein externer Hacker zu sein. Meist fordert der Insider ein Lösegeld in einer digitalen Währung wie Bitcoin.
- Wirtschaftsspionage
In diesem Szenario stiehlt der böswillige Insider geistiges Eigentum und gibt die Daten an Dritte weiter einschließlich staatlicher Akteure, um eine Entschädigung oder Job-Möglichkeit zu erhalten.
- Asset-Destruction
Der böswillige Insider versucht, geschäftskritische Systeme zu stören, einen Betriebsausfall zu verursachen oder wichtige Datenbestände zu vernichten.
- Stalking
Der böswillige Insider verschafft sich Zugriff zu sensiblen Mitarbeiterdaten oder Nutzerkonten von Kollegen, um an persönliche Informationen zu gelangen.
Gerade bei Erpressungsversuchen stehen Unternehmen unter enormen Druck: Sollten sie den Forderungen nachkommen oder lieber versuchen, den Insider schnellstmöglich zu identifizieren? Was, wenn das nicht rechtzeitig gelingt? Angriffsszenarien nachzuvollziehen und Täter aufzuspüren ist komplex.
Die Hauptherausforderungen für Sicherheitsteams bei einem Erpressungsversuch sind: 1) die Feststellung, ob tatsächlich Daten gestohlen wurden, und 2) die Unterscheidung zwischen einem Insider-Vorfall und einem Angriff durch eine böswillige dritte Partei.
Das erfordert eine Kombination aus technischer Forensik, Threat Intelligence und traditionellen Ermittlungsmethoden. Externe Spezialisten liefern unabhängige Analysen und bedeutende Expertise hierfür.
So können sich Unternehmen vor Insider-Risiken schützen
Unternehmen müssen Technologie und Wachsamkeit kombinieren und ihre Mitarbeiter durch regelmäßige Schulungen über die Gefahren von Insider Threats aufklären, um diese effizient zu erkennen. Damit es gar nicht erst so weit kommt, sollten Unternehmen sich der Gefahr durch Insider Threats bewusst werden und geeignete Schutzmaßnahmen ergreifen.
Fünf Tipps, um Risiken zu minimieren:
- Investieren Sie in eine Insider Threat Data Loss Prevention-Lösung. Sie erkennt bösartiges Verhalten, schlägt Alarm und kann Aktionen falls nötig blockieren. Die Lösung sollte sowohl mit als auch ohne Internet-Verbindung funktionieren.
- Schützen Sie alle Umgebungen in Ihren Netzwerken durch Zugangskontrollen. Dabei sollte jeder Nutzer, Entwickler und Administrator nur die Rechte erhalten, die er unbedingt für seine tägliche Arbeit benötigt. Beschränken Sie die Zahl der Mitarbeiter, die neue Konten in On-Premises und Cloud-Umgebungen anlegen dürfen, auf ein Minimum.
- Senden Sie Logdaten und Event Aggregation an ein SIEM (Security Information and Event Management). Das stellt die Authentizität von Logs sicher und verhindert, dass ein Angreifer sie löschen oder manipulieren kann.
- Setzen Sie Netzwerksegmentierung um. Indem Sie Netzwerkbereiche durch Sicherheitskontrollen voneinander trennen, verhindern Sie, dass sich ein Angreifer uneingeschränkt ausbreiten kann. Außerdem sollten Sie unnötigen Datenverkehr zwischen hochsensiblen und weniger vertrauenswürdigen Umgebungen limitieren. Alle Systeme, die nicht unbedingt öffentlich erreichbar sein müssen, sollten vom öffentlichen Zugang getrennt werden.
- Achten Sie auf ein sicheres Offboarding. Wenn ein Mitarbeiter das Unternehmen verlässt, sollten Sie seinen Netzwerkzugang sofort sperren. Alle SSH-Schlüssel, PEM-Dateien und Passwörter, auf die die Person Zugriff hatte, sollten für alle Umgebungen geändert werden. Auch die Multifaktor-Authentifizierung (MFA) sollte umgehend deaktiviert werden.
Regelmäßige Assessments sind wichtig
Um das Risiko für Insider-Bedrohungen zu minimieren, brauchen Unternehmen Data Loss Prevention-Prozesse, SIEM-Funktionalität, Verhaltensanalysen und ein dediziertes Team. Die drei Kern-Bereiche Mensch, Prozesse und Werkzeuge sollten hier berücksichtigt werden. Untersuchungen zu Insider Bedrohungen sollten auf Beweisen basieren, die eine Profilbildung widerlegen und einer rechtlichen Prüfung standhalten.
Externe Spezialisten können die bestehenden Fähigkeiten überprüfen, um die Nutzung der Investitionen zu maximieren, die Erstellung eines neuen Programms für Insider-Bedrohungen zu beschleunigen oder ein bestehendes Programm auf der Grundlage jahrelanger Katalogisierung bewährter Verfahren in der gesamten Branche zu verbessern.
Da sich Voraussetzungen schnell ändern können, ist es wichtig, Security Assessments regelmäßig durchzuführen. Sie ermöglichen es, Schwachstellen aufzudecken und die Sicherheitsaufstellung kontinuierlich zu verbessern. So erhalten Unternehmen einen individuellen Fahrplan, um sich effektiv vor Insider-Angriffen und ihren Auswirkungen zu schützen.