Insider-Bedrohungen, Teil 3: Mittel und Gelegenheit

Wenn Sie schon die letzten Blog-Einträge aus dieser Serie gelesen haben, dann wissen Sie bereits, dass die psychologischen Motive von Insidern so komplex sind, dass man zu ihrer Erklärung ein...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Wenn Sie schon die letzten Blog-Einträge aus dieser Serie gelesen haben, dann wissen Sie bereits, dass die psychologischen Motive von Insidern so komplex sind, dass man zu ihrer Erklärung ein Flussdiagramm benötigt. Im letzten Blog-Eintrag habe ich mich bereits auf eine Ereignisketten-Grafik bezogen wie sie von Forschern verwendet wird.

Insider, die sich der dunklen Seite zuwenden, haben gegenüber externen Angreifern einen entscheidenden Vorteil: Sie verfügen über Zugriffsrechte für Dateien, Anwendungen, Softwarecode und sensible Daten. Wenn sie in dem für sie zugelassenen Datenbereich bleiben, ist es schwierig, sie zu stoppen – aber nicht unmöglich, wie wir später noch sehen werden.

Doch zurück zu unserem Krimi-Vergleich. Insider-Datenkriminalität ist das digitale Pendant zu „Der Butler war’s“ – ein Insider-Krimi, bei dem ein vertrauter Mitarbeiter zum Täter wird.

Die gefürchtete Logikbombe
Für Insider ist es weniger schwierig, die passende Gelegenheit zu finden. Sie haben die Sicherheitskontrollen bereits passiert und befinden sich im Gebäude. Planung und das richtige Timing sind die einzig verbleibenden Probleme.

Bringen wir zuerst die schlechten Nachrichten hinter uns. Etwa 30 Prozent der Technik-Freaks, die IT-Sabotage begangen haben, verfügten tatsächlich über Zugriffsrechte für die von ihnen manipulierten Dateien und Anwendungen. Die anderen 70 Prozent verschafften sich jedoch zunächst Zugang über das Konto eines weiteren Nutzers.

Diese zweite Art von Insider-Angriffen ließe sich mit Überwachungsmaßnahmen wesentlich leichter aufdecken und verhindern als die erste: Mit der richtigen Software zur Dateianalyse hätten Sie bereits ein Aktivitätsprofil des Nutzers. Sie würden ungewöhnliche Zugriffsaktivitäten also bemerken, sobald der Insider das Konto hackt.

Wahrscheinlich gab es in beiden Fällen Vorboten – seien es Verhaltensänderungen oder technische Aktivitäten.

Wenn Sie IT-Sabotage oder Datendiebstahl durch Insider wirklich unterbinden wollen, müssen Sie auf bestimmte Vorfälle in verschiedenen Abteilungen achten. Personalentscheidungen, Enttäuschung über nicht gezahlte Boni oder erwartete Gehaltserhöhungen, die dann doch nicht eintrafen und natürlich Kündigungen. Das sind gegebenenfalls Anzeichen für einen drohenden Insider-Vorfall. Hier sollte ein Unternehmen bereits erste Maßnahmen zur Überwachung einleiten.

Eins ist klar: Sobald Insider Zugriff auf Code oder sensible Daten haben, ist Sabotage für sie ein Kinderspiel. Sie benötigen dafür nicht einmal Schadsoftware!

Technisch versierte Insider legen häufig Logikbomben, um Dateien zu löschen oder sie hinterlassen Hintertüren im Code, die später benutzt werden. Und natürlich sind Insider in der idealen Position, um Daten zu stehlen.

Aus den Fallakten
Um ein besseres Gefühl für die Sache zu bekommen, habe ich mir einen Fall aus den Akten des CERT genauer angesehen.

Ein Mitarbeiter – nennen wir ihn Bob – war Programmierer mit befristetem Vertrag bei einem Hypothekenfinanzierer. Nachdem ihm das Unternehmen mitgeteilt hatte, dass es seinen Vertrag nicht verlängern würde, schrieb Bob ein Skript, um Überwachungswarnungen und Logins zu deaktivieren und anschließend Passwörter auf allen Unternehmensservern zu löschen.

Das Skript sollte erst drei Monate später aktiviert werden und die Administratoren eines Morgens mit einer ominösen E-Mail vorwarnen. Dr. Evil lässt grüßen!

Nachdem Bob das Unternehmen verlassen hatte, entdeckte glücklicherweise ein Mitarbeiter den Schadcode und löschte ihn.

Es liegen mir zwar keine genauen Zahlen des CERT vor, doch die massenhafte Löschung von Daten scheint eine beliebte Art der IT-Sabotage zu sein. Die Pläne der Täter sind nicht wahnsinnig ausgeklügelt – ihre Philosophie lautet in etwa „Ich gehe unter und du mit mir“.

Sichern Sie Ihre Daten!
In dieser Serie folgt noch ein letzter Beitrag wie man solche Insider-Angriffe verhindern oder doch wenigstens den Schaden begrenzen kann. Doch so viel schon vorab: Will man den Schaden durch Insider-Kriminalität begrenzen, liegt eine Methode auf der Hand, nämlich die ein effektives Backup- und Archivierungsprogramm zu verwenden.

Möglicherweise müssen Sie nicht alle Teile Ihres Dateisystems ständig sichern. Doch für Bereiche, die regelmäßig aktualisiert werden – Software-Repositories, E-Mails, bestimmte Systemkonfigurationsdateien – sind tägliche Backups durchaus sinnvoll und praktisch.

Das andere Problem, wie der jüngste Vorfall bei Sony gezeigt hat, liegt in dem Risiko, das Unternehmen eingehen, wenn sie alle Daten in einem einfach zugänglichen digitalen Format aufbewahren. Oder, wie Bruce Schneier es nennt, Sicherheit durch Datenlöschung.

Der Kompromiss besteht darin, Dateien, die für den täglichen Betrieb nicht unbedingt erforderlich sind, in Offline-Speichern zu archivieren. Um herauszufinden, welche Daten wirklich kritisch sind und welche selten oder nie verwendet werden, ist eine detailliertere Analyse des Dateisystems erforderlich.

Damit kann ein Unternehmen sein Risikoprofil deutlich reduzieren, denn Insider können keine Daten stehlen oder manipulieren, die nicht da sind!

The post Insider-Bedrohungen, Teil 3: Mittel und Gelegenheit appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

was-sie-wissen-sollten-bevor-sie-auf-office-365-umsteigen
Was Sie wissen sollten bevor Sie auf Office 365 umsteigen
Die Migration von Unternehmensdaten auf cloudbasierte Speicher ist ein aufwendiges Unterfangen. Um sicherzustellen, dass Office 365-Daten gut verwaltet, geschützt und zugänglich sind, sollten Sie auf einige Punkte besonders achten. Klicken...
und-immer-wieder-ransomware
Und immer wieder Ransomware
Ransomware ist die derzeit wohl größte Herausforderung für Sicherheitsverantwortliche. Kaum ein Tag vergeht, an dem nicht ein weiteres Unternehmen von Attacken betroffen ist. Was können Unternehmen tun, um sicherzustellen, dass sie nicht das nächste Opfer sind? Sind Angriffe unvermeidlich?
in-58-%-aller-unternehmen-sind-über-100.000-ordner-für-alle-mitarbeiter-zugänglich
In 58 % aller Unternehmen sind über 100.000 Ordner für alle Mitarbeiter zugänglich
Die überraschende und gleichzeitig traurige Wahrheit: Die meisten Unternehmen sind sich überhaupt nicht bewusst, dass einige ihrer sensibelsten Daten für viele Mitarbeiter zugänglich sind. Und mit „einige“ meinen wie eine...
die-eu-datenschutz-grundverordnung-im-fokus:-pseudonymisierung-als-alternative-zu-verschlüsselung
Die EU-Datenschutz-Grundverordnung im Fokus: Pseudonymisierung als Alternative zu Verschlüsselung
Dass die EU-Datenschutz-Grundverordnung (DS-GVO) ein relativ kompliziertes Gebilde ist, hatten wir bereits erwähnt. Es basiert zwar auf einigen Prinzipien wie Privacy by Design und anderen Konzepten, durch die das Ganze...