Insider Threats: Die Gefahr von innen

Insider Threats: Die Gefahr von innen

Beitrag teilen

Die meisten Unternehmen fokussieren sich im Kampf gegen Cyberkriminalität auf externe Angreifer. Doch auch in den eigenen Reihen lauert eine wachsende Bedrohung. 33 Prozent aller Sicherheitsvorfälle werden 2021 auf Insider Threats zurückgehen, prognostizieren die IT-Sicherheitsexperten von FireEye Mandiant. Was können Unternehmen tun, um sich zu schützen?

Ein legitimer Zugang ist das A und O – die Mitarbeiter haben ihn und die Angreifer wollen ihn. Das beste Sicherheitsschloss an der Tür bringt nichts, wenn der Kriminelle bereits im Haus ist. Das weiß jeder Krimi-Fan. Ähnlich verhält es sich mit Cyberangriffen, die aus den eigenen Reihen kommen. Sie sind besonders gefährlich, weil die Täter Menschen sind, denen wir eigentlich vertrauen. Umso besorgniserregender ist es, dass die Zahl der Insider Threats signifikant steigt. 2019 und 2020 verzeichneten die Mandiant-Teams mehr Fälle denn je, bei denen Insider geschäftskritische Systeme kompromittierten, vertrauliche Daten preisgaben oder ihre Arbeitgeber erpressten. Solche Vorfälle können erheblichen finanziellen Schaden anrichten und die Reputation gefährden.

Anzeige

Wer hinter Insider-Angriffen steckt

Die meisten Insider Threats sind auf fahrlässige Mitarbeiter zurückzuführen, die nichts Böses im Sinn haben, sondern aus Unachtsamkeit Hackern ein Einfallstor bieten. Es kommt jedoch auch zu gezielten Angriffen von Insidern. Genau wie Angriffe von externen Akteuren verlaufen diese häufig über einen längeren Zeitraum hinweg. Dabei versuchen die Angreifer in der Regel unbemerkt zu bleiben und ihre Aktivitäten zu vertuschen. In manchen Fällen nutzen sie sogar Konten anderer Mitarbeiter, um die Aufmerksamkeit von sich abzulenken.

Längst steckt hinter Insider-Angriffen nicht mehr nur der verärgerte Ex-Angestellte, der sich an seinem ehemaligen Arbeitgeber rächen oder ihn bestehlen will. Im Grunde stellt jeder, der Zugang zu Netzwerken, System und Daten hat, ein potenzielles Risiko dar. Das kann der eigene Mitarbeiter sein, ebenso wie der Geschäfts- oder Lieferkettenpartner. Organisationen mit bedeutendem geistigem Eigentum oder Unternehmen, die fusionieren oder übernommen werden oder wichtige Veränderungen und Herausforderungen durchlaufen, tragen ein erhöhtes Risiko Opfer böswilliger Insider zu werden.

Anders als vielleicht vermutet, handeln Akteure heutzutage oft nicht alleine, sondern in Gruppen, zu denen auch IT-Administratoren und Insider Threat Team-Mitglieder gehören, die Warnungen und Ermittlungen verhindern. Teilweise sind Mitglieder dieser Gruppe außerhalb der Unternehmen, wie kriminelle und sogar regierungsnahe Organisationen, die technische Aktivitäten durchführen, um Datenzugang und -diebstahl zu ermöglichen.

Die vier häufigsten Insider Threats

Die Mandiant-Ermittler haben in der Praxis verschiedene Arten von Insider-Angriffen untersucht. Dabei zeichnen sich vier Trends ab:

Digitale Erpressung

Der böswillige Insider droht damit, gestohlene Daten zu veröffentlichen und gibt möglicherweise vor, ein externer Hacker zu sein. Meist fordert der Insider ein Lösegeld in einer digitalen Währung wie Bitcoin.

Wirtschaftsspionage

In diesem Szenario stiehlt der böswillige Insider geistiges Eigentum und gibt die Daten an Dritte weiter einschließlich staatlicher Akteure, um eine Entschädigung oder Job-Möglichkeit zu erhalten.

Asset-Destruction

Der böswillige Insider versucht, geschäftskritische Systeme zu stören, einen Betriebsausfall zu verursachen oder wichtige Datenbestände zu vernichten.

Stalking

Jon Ford, Managing Director of Global Government Services & Insider Threat Security Solutions bei Mandiant (Bild: FireEye).

Der böswillige Insider verschafft sich Zugriff zu sensiblen Mitarbeiterdaten oder Nutzerkonten von Kollegen, um an persönliche Informationen zu gelangen.

Gerade bei Erpressungsversuchen stehen Unternehmen unter enormen Druck: Sollten sie den Forderungen nachkommen oder lieber versuchen, den Insider schnellstmöglich zu identifizieren? Was, wenn das nicht rechtzeitig gelingt? Angriffsszenarien nachzuvollziehen und Täter aufzuspüren ist komplex. Die Hauptherausforderungen für Sicherheitsteams bei einem Erpressungsversuch sind: 1) die Feststellung, ob tatsächlich Daten gestohlen wurden, und 2) die Unterscheidung zwischen einem Insider-Vorfall und einem Angriff durch eine böswillige dritte Partei. Das erfordert eine Kombination aus technischer Forensik, Threat Intelligence und traditionellen Ermittlungsmethoden. Externe Spezialisten liefern unabhängige Analysen und bedeutende Expertise hierfür.

So können sich Unternehmen vor Insider-Risiken schützen

Unternehmen müssen Technologie und Wachsamkeit kombinieren und ihre Mitarbeiter durch regelmäßige Schulungen über die Gefahren von Insider Threats aufklären, um so Insider Angriffe effizient zu erkennen. Damit es gar nicht erst so weit kommt, sollten Unternehmen sich der Gefahr durch Insider Threats bewusst werden und geeignete Schutzmaßnahmen ergreifen. Fünf Tipps, um Risiken zu minimieren:

  • Investieren Sie in eine Insider Threat Data Loss Prevention-Lösung. Sie erkennt bösartiges Verhalten, schlägt Alarm und kann Aktionen falls nötig blockieren. Die Lösung sollte sowohl mit als auch ohne Internet-Verbindung funktionieren.
  • Schützen Sie alle Umgebungen in Ihren Netzwerken durch Zugangskontrollen. Dabei sollte jeder Nutzer, Entwickler und Administrator nur die Rechte erhalten, die er unbedingt für seine tägliche Arbeit benötigt. Beschränken Sie die Zahl der Mitarbeiter, die neue Konten in On-Premises und Cloud-Umgebungen anlegen dürfen, auf ein Minimum.
  • Senden Sie Logdaten und Event Aggregation an ein SIEM (Security Information and Event Management). Das stellt die Authentizität von Logs sicher und verhindert, dass ein Angreifer sie löschen oder manipulieren kann.
  • Setzen Sie Netzwerksegmentierung um. Indem Sie Netzwerkbereiche durch Sicherheitskontrollen voneinander trennen, verhindern Sie, dass sich ein Angreifer uneingeschränkt ausbreiten kann. Außerdem sollten Sie unnötigen Datenverkehr zwischen hochsensiblen und weniger vertrauenswürdigen Umgebungen limitieren. Alle Systeme, die nicht unbedingt öffentlich erreichbar sein müssen, sollten vom öffentlichen Zugang getrennt werden.
  • Achten Sie auf ein sicheres Offboarding. Wenn ein Mitarbeiter das Unternehmen verlässt, sollten Sie seinen Netzwerkzugang sofort sperren. Alle SSH-Schlüssel, PEM-Dateien und Passwörter, auf die die Person Zugriff hatte, sollten für alle Umgebungen geändert werden. Auch die Multifaktor-Authentifizierung (MFA) sollte umgehend deaktiviert werden.

Regelmäßige Assessments sind wichtig

Um das Risiko für Insider-Bedrohungen zu minimieren, brauchen Unternehmen Data Loss Prevention-Prozesse, SIEM-Funktionalität, Verhaltensanalysen und ein dediziertes Team. Die drei Kern-Bereiche Mensch, Prozesse und Werkzeuge sollten hier berücksichtigt werden. Untersuchungen zu Insider Bedrohungen sollten auf Beweisen basieren, die eine Profilbildung widerlegen und einer rechtlichen Prüfung standhalten. Externe Spezialisten können die bestehenden Fähigkeiten überprüfen, um die Nutzung der Investitionen zu maximieren, die Erstellung eines neuen Programms für Insider-Bedrohungen zu beschleunigen oder ein bestehendes Programm auf der Grundlage jahrelanger Katalogisierung bewährter Verfahren in der gesamten Branche zu verbessern. Da sich Voraussetzungen schnell ändern können, ist es wichtig, Security Assessments regelmäßig durchzuführen. Sie ermöglichen es, Schwachstellen aufzudecken und die Sicherheitsaufstellung kontinuierlich zu verbessern. So erhalten Unternehmen einen individuellen Fahrplan, um sich effektiv vor Insider-Angriffen und ihren Auswirkungen zu schützen.

Mehr bei FireEye.com

 


Über Trellix

Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen