Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Was ist eine Insider-Bedrohung? Definition und Beispiele

Geschrieben von Michael Buckbee | May 29, 2021 9:16:00 PM

Ein Insider-Risiko beschreibt ein Sicherheitsrisiko, das innerhalb des betroffenen Unternehmens verursacht wird. Das bedeutet nicht, dass der Täter ein aktiver Mitarbeiter oder eine Führungskraft im Unternehmen ist. Es könnte sich um einen Berater, einen ehemaligen Mitarbeiter, einen Geschäftspartner oder ein Vorstandsmitglied handeln. Laut dem Verizon Data Breach Investigations Report 2019 waren an 34 % aller Datenlecks interne Akteure beteiligt. Laut dem Varonis Data Risk Report 2019 waren 17 % aller sensiblen Dateien für jeden Mitarbeiter zugänglich. Was sagen uns also diese Statistiken? Insider haben die Möglichkeiten, Motivationen und Berechtigungen, die zum Diebstahl wichtiger Daten erforderlich sind – daher ist es Aufgabe des CISO, all diese Angriffsvektoren zu identifizieren und eine Verteidigung gegen sie aufzubauen. Jeder, der Insider-Wissen besitzt und/oder Zugriff auf vertrauliche Daten, die IT oder Netzwerkressourcen des Unternehmens hat, ist eine potenzielle Insider-Bedrohung.

Arten von Insider-Bedrohungen

 Um Ihre Organisation vor Insider-Bedrohungen zu schützen, ist es wichtig zu verstehen, wie genau Insider-Bedrohungen aussehen. Die beiden Haupttypen von Insider-Bedrohungen sind Turncloaks und Pawns (zu Dt. Doppelagenten und Bauernfiguren). Das sind böswillige Insider bzw. unfreiwillige Teilnehmer.

Turncloaks

Ein Turncloak ist ein Insider, der böswillig Daten stiehlt. In den meisten Fällen handelt es sich dabei um einen Mitarbeiter oder Vertragspartner – jemand, der im Netzwerk sein soll und über legitime Anmeldeinformationen verfügt, diesen Zugriff jedoch aus Spaß oder zum eigenen Nutzen missbraucht. Wir haben alle möglichen Arten von Motiven für solches Verhalten gesehen: bösartiges Verhalten wie der Verkauf von Geheimnissen an ausländische Regierungen oder auch die Mitnahme einiger weniger Dokumente zu einem Konkurrenten, nachdem man seinen alten Arbeitsplatz verlässt. Gregory Chung, ein Ingenieur bei Boeing, ist ein bekannter Fall eines Turncloaks. Chung wurde verurteilt, weil er seine Sicherheitsfreigabe bei Boeing genutzt hat, um Geschäftsgeheimnisse nach China zu schmuggeln – und im Gegenzug ein kleines Vermögen erhielt.

Pawns

Ein Pawn ist ein normaler Angestellter – er oder sie verhält sich ordnungsgemäß, macht jedoch einen Fehler, der von einem Übeltäter ausgenutzt wird oder anderweitig zu Datenverlust oder Kompromittierung führt. Ganz gleich, ob es sich um einen verlorenen Laptop, das versehentliche Versenden eines sensiblen Dokuments per E-Mail an die falsche Person oder die Ausführung eines bösartigen Word-Makros handelt – der Pawn ist ein unfreiwilliger Teil eines Sicherheitsvorfalls.

Entdecken von Insider-Bedrohungen

 Es gibt bestimmte gängige Verhaltensweisen, die auf ein Insider-Risiko hindeuten – ganz gleich, ob digital oder persönlich. Diese Indikatoren sind für CISOs, Sicherheitsarchitekten und ihre Teams wichtig, um potenzielle Bedrohungen von innen zu überwachen, zu erkennen und zu stoppen.

Allgemeine Anzeichen für eine Insider-Bedrohung

Nachstehend finden Sie die gängigsten digitalen und verhaltensbezogenen Anzeichen einer Insider-Bedrohung. Digitale Warnsignale

  • Herunterladen oder Zugreifen auf beträchtliche Datenmengen
  • Zugreifen auf sensible Daten, die nicht zu ihrer Tätigkeit gehören
  • Zugreifen auf Daten, die sich außerhalb ihres eindeutigen Verhaltensprofils befinden
  • Mehrere Anfragen für den Zugriff auf Ressourcen, die nicht zu ihrer Tätigkeit gehören
  • Nutzung nicht autorisierter Speichergeräte (z. B. USB-Laufwerke oder Disketten)
  • Netzwerk-Crawling und Suchen nach sensiblen Daten
  • Datenhorten, Kopieren von Dateien aus sensiblen Ordnern
  • Senden per E-Mail von sensiblen Daten außerhalb des Unternehmens

Verhaltensbezogene Warnsignale

  • Versuche, die Sicherheit zu umgehen
  • Häufige Anwesenheit im Büro außerhalb der Geschäftszeiten
  • Zurschaustellen von unzufriedenem Verhalten gegenüber Kollegen
  • Verletzung von Unternehmensrichtlinien
  • Gespräche über Kündigung oder neue Möglichkeiten

Verhaltenswarnzeichen können zwar auf potenzielle Probleme hinweisen, allerdings sind digitale Forensik und Analytik die effizientesten Methoden, um Insider-Bedrohungen aufzudecken. Die Analysen des Nutzerverhaltens (UBA=User Behavior Analytics) und Sicherheitsanalysen helfen, potenzielle Insider-Risiken zu erkennen, zu analysieren und Alarme auszugeben, sobald sich ein Benutzer verdächtig verhält oder entgegen seiner typischen Verhaltensweisen agiert.

Beispiele für Insider-Bedrohung

Hier sind einige aktuelle Beispiele von Insider-Bedrohungen aus den Nachrichten. Tesla: Ein böswilliger Insider sabotierte Systeme und schickte proprietäre Daten an Dritte. Facebook: Ein Sicherheitsingenieur missbrauchte seinen Zugang, um Frauen zu stalken. Coca-Cola: Ein böswilliger Insider stahl eine Festplatte voller Personaldaten. Suntrust Bank: Ein böswilliger Insider stahl die persönlichen Daten, einschließlich Kontoinformationen, von 1,5 Millionen Kunden, um sie einer kriminellen Organisation zur Verfügung zu stellen.

Bekämpfen von Insider-Bedrohungen

Ein Datenleck mit 10 Millionen Datensätzen kostet ein Unternehmen etwa 3 Millionen US-Dollar – wie das Sprichwort sagt: „Vorsicht ist die Mutter der Weisheit“. Da sich Insider immer innerhalb befinden, können Sie sich beim Schutz Ihres Unternehmen nicht auf herkömmliche Sicherheitsmaßnahmen auf Perimeterebene verlassen. Und da es sich um einen Insider handelt – wer ist hauptsächlich für solche Situationen zuständig? Ist es die IT, die Personalabteilung oder ist es gar ein rechtliches Problem? Oder betrifft es alle drei und das Team des CISO? Das Erstellen und Sozialisieren einer Richtlinie als Maßnahme bei potenziellen Insider-Risiken muss von der Unternehmensspitze kommen. Der richtige Ansatz ist das A und O, um Insider-Risiken auszumachen und zu beheben – zudem sind die richtigen Lösungen zum Erkennen und zum Schutz von Insider-Risiken erforderlich.

Plan zur Abwehr und Reaktion auf Insider-Bedrohungen

  1. Dateien, E-Mails und Aktivitäten in Ihren wichtigsten Datenquellen überwachen
  2. Identifizieren und Erkennen, wo sich Ihre sensiblen Daten befinden
  3. Bestimmen, wer Zugriff auf diese Daten hat und wer darauf Zugriff haben sollte
  4. Implementieren und verwalten eines Modells mit geringsten Rechten über Ihre Infrastruktur
    1. Löschen globaler Zugriffsgruppen
    2. Daten-Eigentümer für die Verwaltung von Berechtigungen für ihre Daten verantwortlich machen und temporären Zugriff rasch löschen
  5. Anwenden von Sicherheitsanalysen zur Warnung bei abnormalem Verhalten, einschließlich:
    1. Versuche, auf sensible Daten zuzugreifen, die nicht zur normalen Tätigkeit gehören
    2. Versuche, Zugang zu Berechtigungen auf sensible Daten außerhalb normaler Prozesse zu erhalten
    3. Erhöhte Dateiaktivität in sensiblen Ordnern
    4. Versuche, Systemprotokolle zu ändern oder große Datenmengen zu löschen
    5. Große Datenmengen per E-Mail aus dem Unternehmen versenden, gehört nicht zur normalen Tätigkeit
  6. Sozialisieren und schulen Sie Ihre Mitarbeiter, damit diese ein Datensicherheitsbewusstsein entwickeln

 Es ist ebenso wichtig, einen Reaktionsplan zu haben, um auf ein potenzielles Datenleck zu reagieren:

  1. Risiken erkennen und Maßnahmen ergreifen
    1. Benutzer bei verdächtigen Aktivitäten oder Verhalten deaktivieren und/oder abmelden
    2. Bestimmen, welche Benutzer und Dateien betroffen sind
  2. Präzision (und Schwere) der Bedrohung prüfen und entsprechende Teams (Rechtsabteilung, Personalabteilung, IT, CISO) warnen
  3. Gegenmaßnahmen
    1. Gelöschte Daten bei Bedarf wiederherstellen
    2. Alle weiteren Zugriffsrechte, die vom Insider verwendet wurden, entfernen
    3. Sämtliche Malware, die während des Angriffs genutzt wurde, scannen und entfernen
    4. Sämtliche umgangenen Sicherheitsmaßnahmen erneut aktivieren
  4. Genaue Untersuchungen über den Sicherheitsvorfall durchführen
  5. Im Bedarfsfall Compliance- und Regulierungsbehörden warnen

Das Geheimnis zum Schutz vor Insider-Risiken ist die Überwachung Ihrer Daten, das Sammeln von Informationen und das Auslösen von Warnsignalen bei abnormalem Verhalten.

FAQs zu Insider-Bedrohungen

Im folgenden Abschnitt finden Sie häufig gestellte Fragen zu Insider-Bedrohungen.

F: Was sind Anzeichen für Insider-Bedrohungen?

A: Insider-Bedrohungsindikatoren sind Hinweise, die Ihnen helfen könnten, einen Insider-Angriff zu stoppen, bevor daraus ein Datenleck wird. Menschliches Verhalten ist das wichtigste Anzeichen für potenzielle Insider-Bedrohungen. Schulen Sie Ihr Team darin, verschiedene anormale Verhaltensweisen zu erkennen, und verwenden Sie Varonis, um Aktivitäten zu erkennen, die auf eine potenzielle Insider-Bedrohung hindeuten. Ein Beispiel wäre ein Benutzer, der auf Daten zugreift, auf die er nie zuvor zugegriffen hat, oder große Datenmengen von einem Ort an einen anderen kopiert.

F: Was sind die Motive hinter einer Insider-Bedrohung?

A: Das Hauptmotiv für Insider-Angriffe ist Geld. 34 % der Datenlecks im Jahr 2019 waren Insider-Angriffe. 71 % der Datenlecks waren durch Geld motiviert. 25 % der Datenlecks waren durch Spionage oder den Versuch motiviert, einen strategischen Vorteil zu erlangen, das zweithäufigste Motiv. Die Mehrheit der Insider will mit den Daten, die sie gestohlen haben, schnelles Geld verdienen.

F: Wie erkennt man einen Insider, der legitimen Zugriff auf sensible Daten hat?

A: Benutzer müssen als Teil ihrer Arbeit auf sensible Daten zugreifen. Sie, der Sicherheitsexperte, müssen die Absicht dahinter erkennen, während diese Anwender ihre Arbeit ausführen. Sie können die Absicht nicht mit einer einzigen Eingabe bestimmen – Sie benötigen mehrere Datenpunkte. Fragen Sie sich: Greift der Benutzer regelmäßig auf diese Daten zu? Zeigt der Benutzer andere anormale Verhaltensweisen? Lädt er oder sie große Datenmengen per E-Mail hoch? Sie können auch Varonis verwenden, um das Benutzerverhalten zu analysieren und festzustellen, was normal ist und was nicht.

F: Sind schwellenwertbasierte Alarme anfällig für falsch-positive Ergebnisse? (z. B. ein Alarm, der durch eine einfache Neustrukturierung von Ordnern ausgelöst wird)

A: Schwellenwertbasierte Alarme sind schlecht geeignet, um die Absicht zu bestimmen, und können Sicherheitsprofis auf wilde Hexenjagden schicken oder in blinden Aktionismus verfallen lassen. Nehmen wir ein einfaches Szenario: ein Benutzer verschiebt einen Ordner mit sensiblen Daten an einen neuen Ort. Wenn Sie einen schwellenwertbasierten Alarm für „500 Dateioperationen an sensiblen Daten in einer Minute“ eingestellt haben, hat dieser Benutzer ihn gerade ausgelöst (lassen Sie uns nicht ins Detail darüber gehen, warum). Die Zeit Ihres Sicherheitsteams ist zu kostbar, um jede Ordneränderung zu verfolgen. Nutzen Sie stattdessen Sicherheitsanalysen für intelligentere Alarme.

F: Wie nützlich sind Beobachtungslisten?

A: Beobachtungslisten – Listen von Benutzern, die Sie im Auge behalten müssen – können hilfreich sein, aber sie haben auch eine dunkle Seite. Wenn Sie eingehend über Beobachtungslisten nachdenken, können Sie leicht erkennen, dass man schnell zu viele von ihnen benutzen kann. So gerät Ihr Sicherheitsteam in eine wirklich schwierige Situation gegenüber dem Rest Ihrer Benutzer. Auf der anderen Seite möchten Sie, dass Ihre Benutzer „sicherheitsbewusst“ sind und eine sichere Methode haben, verdächtige Aktivitäten zu melden. Sie müssen Best Practices für Ihre Beobachtungsliste entwickeln und einhalten. Untersuchen Sie Benutzer und streichen Sie sie schnell von der Beobachtungsliste. Stützen Sie sich außerdem auf Ihre Sicherheitsanalysen, um das anormale Verhalten selbst im Auge zu behalten. Nehmen Sie Insider-Bedrohungen ernst und, was am wichtigsten ist, überwachen Sie Ihre Benutzer und Ihre Daten. Varonis gibt Ihnen die Gewissheit, dass Ihre Daten und Ihre Benutzer jeweils in ihrer Spur bleiben. Und falls sie das nicht tun, erhalten Sie einen vollständigen Kontext-Alarme und die zugehörigen Protokolle, um eine gründliche Untersuchung einzuleiten. Sehen Sie sich die Video-Trainingsreihe „Der Feind im Innern: Insider-Bedrohungen verstehen“ von Troy Hunt an, um mehr zu erfahren.