Insider-Bedrohungen, Teil 1

In einem anderen Zusammenhang fiel in etwa diese Aussage: „Verschwende nie eine Krise.“ Zwar steht der eindeutige Beweis noch aus, doch spricht vieles dafür, dass beim Hacking-Angriff auf Sony Mitarbeiter...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

In einem anderen Zusammenhang fiel in etwa diese Aussage: „Verschwende nie eine Krise.“ Zwar steht der eindeutige Beweis noch aus, doch spricht vieles dafür, dass beim Hacking-Angriff auf Sony Mitarbeiter in irgendeiner Art und Weise beteiligt waren (siehe Did North Korea Really Attack Sony? von Bruce Schneier). Noch wichtiger ist, dass der Sicherheitsvorfall bei Sony eine öffentliche Debatte zum Thema „böswillig agierende Mitarbeiter“ in Gang gebracht hat. Ein Thema, das Unternehmen bisher eher weniger gerne diskutiert oder gar kommentiert haben. Doch lassen wir Sony vorerst beiseite, bis es konkrete Informationen gibt, und sehen wir uns stattdessen bereits belegte Fälle mit Insider-Beteiligung an.

Gute Idee – doch wo findet man solche Fälle?

Glücklicherweise sammelt das Computer Emergency Response Team (CERT) der Carnegie Mellon University in Pittsburgh (Pennsylvania) Informationen zu Insider-Vorfällen in Bezug auf Datendiebstähle. Die Daten stammen sowohl von den US-Geheimdiensten als auch aus der eigenen Beratungstätigkeit des Unternehmens. Im Laufe der Jahre ist eine Datenbank mit 700 gut dokumentierten Insider-Fällen entstanden, die das CERT im Rahmen seiner Forschungstätigkeit analysiert hat. Eine wichtige Erkenntnis: Insider und externe Angreifer haben unterschiedliche Motive. Eines sollte man dabei allerdings nicht vergessen: IT-Sicherheitsmaßnahmen gegen Angriffe von Innen sind auch wirksam gegen Attacken, die von Außen kommen.

Die Motive
Als Forschungseinrichtung hat das CERT eigene Theorien zum Thema Insider-Datenkriminalität entwickelt, die in den entsprechenden wissenschaftlichen Publikationen nachzulesen sind. Doch wie jeder Krimifan weiß, geht es bei der Schuldfrage immer um drei Aspekte: Mittel, Motiv und Gelegenheit.

In der Welt des Insider-Datendiebstahls ist es besonders spannend, sich die Motive anzusehen. Aus welchen Gründen entscheiden sich Mitarbeiter in Vertrauensstellungen, dieses in sie gesetzte Vertrauen zu missbrauchen? Mit dieser Frage haben sich das CERT ausgiebig beschäftigt. Von den 700 registrierten Fällen haben sie diejenigen analysiert, die tatsächlich vor Gericht verhandelt wurden. Dabei fand man vier unterschiedliche Kategorien zur Motivation (siehe Grafik). Finanzielle Bereicherung, geschäftliche Vorteile (wie durch den Diebstahl geistigen Eigentums), IT-Sabotage und eine Kategorie mit sonstigen, unklaren Motiven.

Insider Threat

Finanzielle Bereicherung ist zwar das offensichtlichste Motiv, trifft jedoch nur in weniger als der Hälfte aller Fälle zu. Das CERT-Team fand heraus, dass diese Art des Betrugs meist von Mitarbeitern in niedrigeren Unternehmenspositionen gewählt wurde, Mitarbeiter, die nicht zum technischen Bereich gehörten – und in der Regel in Zusammenarbeit mit Externen.

Dabei handelte es sich häufig um Mitarbeiter mit finanziellen Problemen, die ihre Zugriffsrechte als Datenerfasser oder Berater im Kunden-Support dazu missbrauchten, Finanzdaten zu manipulieren, Zahlungen an Arbeitnehmer anzupassen oder falsche Anmeldedaten zu generieren – gegen Gebühr, versteht sich.

Laut Informationen des CERT wurden diese Aktivitäten schließlich bei der Überprüfung von Aktivitätsprotokollen – insbesondere der Protokolle zu Systemänderungen und Dateizugriffen – bemerkt. Allerdings blieben die kriminellen Handlungen häufig vergleichsweise lange unentdeckt.

Sabotage!
Spätestens seit dem Sicherheitsvorfall bei Sony wissen wir, dass ein Diebstahl ohne finanzielle Motive genauso verheerende Folgen haben kann. Interessant an der Kategorie IT-Sabotage ist, dass die kriminellen Handlungen häufig Racheakte verärgerter Mitarbeiter waren.
Die Gründe? Die Analyse der CERT-Forscher ergab, dass die Auslöser „Kündigungen, Konflikte mit dem Arbeitgeber, neue Vorgesetzte, Versetzungen oder Degradierungen sowie Unzufriedenheit mit Gehaltserhöhungen oder Boni“ waren.

Dabei ist es wenig überraschend, dass IT-Sabotage in der Regel von – meist männlichen – technischen Mitarbeitern begangen wird, die wissen wie sie an die Zugangsdaten anderer Nutzer kommen. Im Endeffekt handelt es sich um Technik-Freaks, die Passwörter stehlen und dann virtuellen Sand ins IT-Getriebe streuen. Sie schreiben beispielsweise ein Skript oder Programm zur Löschung großer Datenmengen oder richten sogar ein Backdoor-Konto ein, um erst viel später einen Angriff auf das Unternehmen zu starten.

Letztendlich wurden die Saboteure durch die Überwachung der entsprechenden Protokolle für Remote- oder Dateizugriffe sowie der Anwendungs- und E-Mail-Protokolle überführt. Laut CERT sind diese Mitarbeiter allerdings raffinierter als die Insider-Diebe mit finanziellen Motiven. Und diese internen Angreifer sind technisch so versiert, dass sie ihre Spuren verwischen, indem sie Protokolle löschen oder manipulieren.

Motivation und äußere Faktoren
Das Thema Motivation ist so umfassend, dass es den Rahmen dieses Blog-Eintrags sprengen würde. Das CERT-Team hat einige provokante Thesen dazu aufgestellt, wie äußere Faktoren – zum Beispiel das Risiko erwischt zu werden oder die Unternehmenskultur – die Bereitschaft zu kriminellen Handlungen beeinflussen.

In einigen Fällen ist es sogar möglich, aus vorherigen Ereignissen auf potenzielle Datendiebe zu schließen. Denn es gibt Hinweise darauf, dass die Insider die Abwehrmechanismen der Unternehmen vor der Attacke über einen längeren Zeitraum auf Herz und Nieren prüfen.

Um dieses und andere Themen geht es im nächsten Blog-Eintrag zu Insider-Bedrohungen.

The post Insider-Bedrohungen, Teil 1 appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

diebstahl-geistigen-eigentums,-teil-2:-verzeichniskopien-finden
Diebstahl geistigen Eigentums, Teil 2: Verzeichniskopien finden
Einen Insider dingfest zu machen, bevor er Daten stiehlt, ist alles andere als leicht. Wie im letzten Blog-Eintrag dieser Serie beschrieben haben Insider bereits Zugriffsrechte für sensible Inhalte – es...
arbeiten-mit-lokalen-administratorkonten-unter-windows,-teil-ii
Arbeiten mit lokalen Administratorkonten unter Windows, Teil II
Bevor wir uns eingehender mit eingeschränkten Gruppen befassen, dachte ich, es könnte vielleicht nicht schaden, einen genaueren Blick darauf zu werfen, wie Hacker Administratorkennwörter ausnutzen. Pass-the-Hash-Fans werden hier erfahren, inwieweit...
diebstahl-geistigen-eigentums,-teil-4:-ambitionierte-insider
Diebstahl geistigen Eigentums, Teil 4: Ambitionierte Insider
Im letzten Blog-Eintrag dieser Serie möchte ich noch auf eine andere Art von Insidern eingehen. Über Mitarbeiter mit Anspruchsdenken habe ich schon geschrieben. Das sind Insider, wie wir sie uns...
rund-um-den-index:-vertiefende-infos,-teil-ii
Rund um den Index: Vertiefende Infos, Teil II
Im letzten Blog-Beitrag zum Thema Enterprise Search hatte ich schon einen kurzen Vorgeschmack darauf gegeben wie man Indizes so verwendet, dass ein Benutzer aussagekräftige Suchergebnisse erzielt. Man kann sogar sagen,...