Insider Threats: Die Gefahr von innen

Insider Threats: Die Gefahr von innen

Beitrag teilen

Die meisten Unternehmen fokussieren sich im Kampf gegen Cyberkriminalität auf externe Angreifer. Doch auch in den eigenen Reihen lauert eine wachsende Bedrohung. 33 Prozent aller Sicherheitsvorfälle werden 2021 auf Insider Threats zurückgehen, prognostizieren die IT-Sicherheitsexperten von FireEye Mandiant. Was können Unternehmen tun, um sich zu schützen?

Ein legitimer Zugang ist das A und O – die Mitarbeiter haben ihn und die Angreifer wollen ihn. Das beste Sicherheitsschloss an der Tür bringt nichts, wenn der Kriminelle bereits im Haus ist. Das weiß jeder Krimi-Fan. Ähnlich verhält es sich mit Cyberangriffen, die aus den eigenen Reihen kommen. Sie sind besonders gefährlich, weil die Täter Menschen sind, denen wir eigentlich vertrauen. Umso besorgniserregender ist es, dass die Zahl der Insider Threats signifikant steigt. 2019 und 2020 verzeichneten die Mandiant-Teams mehr Fälle denn je, bei denen Insider geschäftskritische Systeme kompromittierten, vertrauliche Daten preisgaben oder ihre Arbeitgeber erpressten. Solche Vorfälle können erheblichen finanziellen Schaden anrichten und die Reputation gefährden.

Anzeige

Wer hinter Insider-Angriffen steckt

Die meisten Insider Threats sind auf fahrlässige Mitarbeiter zurückzuführen, die nichts Böses im Sinn haben, sondern aus Unachtsamkeit Hackern ein Einfallstor bieten. Es kommt jedoch auch zu gezielten Angriffen von Insidern. Genau wie Angriffe von externen Akteuren verlaufen diese häufig über einen längeren Zeitraum hinweg. Dabei versuchen die Angreifer in der Regel unbemerkt zu bleiben und ihre Aktivitäten zu vertuschen. In manchen Fällen nutzen sie sogar Konten anderer Mitarbeiter, um die Aufmerksamkeit von sich abzulenken.

Längst steckt hinter Insider-Angriffen nicht mehr nur der verärgerte Ex-Angestellte, der sich an seinem ehemaligen Arbeitgeber rächen oder ihn bestehlen will. Im Grunde stellt jeder, der Zugang zu Netzwerken, System und Daten hat, ein potenzielles Risiko dar. Das kann der eigene Mitarbeiter sein, ebenso wie der Geschäfts- oder Lieferkettenpartner. Organisationen mit bedeutendem geistigem Eigentum oder Unternehmen, die fusionieren oder übernommen werden oder wichtige Veränderungen und Herausforderungen durchlaufen, tragen ein erhöhtes Risiko Opfer böswilliger Insider zu werden.

Anders als vielleicht vermutet, handeln Akteure heutzutage oft nicht alleine, sondern in Gruppen, zu denen auch IT-Administratoren und Insider Threat Team-Mitglieder gehören, die Warnungen und Ermittlungen verhindern. Teilweise sind Mitglieder dieser Gruppe außerhalb der Unternehmen, wie kriminelle und sogar regierungsnahe Organisationen, die technische Aktivitäten durchführen, um Datenzugang und -diebstahl zu ermöglichen.

Die vier häufigsten Insider Threats

Die Mandiant-Ermittler haben in der Praxis verschiedene Arten von Insider-Angriffen untersucht. Dabei zeichnen sich vier Trends ab:

Digitale Erpressung

Der böswillige Insider droht damit, gestohlene Daten zu veröffentlichen und gibt möglicherweise vor, ein externer Hacker zu sein. Meist fordert der Insider ein Lösegeld in einer digitalen Währung wie Bitcoin.

Wirtschaftsspionage

In diesem Szenario stiehlt der böswillige Insider geistiges Eigentum und gibt die Daten an Dritte weiter einschließlich staatlicher Akteure, um eine Entschädigung oder Job-Möglichkeit zu erhalten.

Asset-Destruction

Der böswillige Insider versucht, geschäftskritische Systeme zu stören, einen Betriebsausfall zu verursachen oder wichtige Datenbestände zu vernichten.

Stalking

Jon Ford, Managing Director of Global Government Services & Insider Threat Security Solutions bei Mandiant (Bild: FireEye).

Der böswillige Insider verschafft sich Zugriff zu sensiblen Mitarbeiterdaten oder Nutzerkonten von Kollegen, um an persönliche Informationen zu gelangen.

Gerade bei Erpressungsversuchen stehen Unternehmen unter enormen Druck: Sollten sie den Forderungen nachkommen oder lieber versuchen, den Insider schnellstmöglich zu identifizieren? Was, wenn das nicht rechtzeitig gelingt? Angriffsszenarien nachzuvollziehen und Täter aufzuspüren ist komplex. Die Hauptherausforderungen für Sicherheitsteams bei einem Erpressungsversuch sind: 1) die Feststellung, ob tatsächlich Daten gestohlen wurden, und 2) die Unterscheidung zwischen einem Insider-Vorfall und einem Angriff durch eine böswillige dritte Partei. Das erfordert eine Kombination aus technischer Forensik, Threat Intelligence und traditionellen Ermittlungsmethoden. Externe Spezialisten liefern unabhängige Analysen und bedeutende Expertise hierfür.

So können sich Unternehmen vor Insider-Risiken schützen

Unternehmen müssen Technologie und Wachsamkeit kombinieren und ihre Mitarbeiter durch regelmäßige Schulungen über die Gefahren von Insider Threats aufklären, um so Insider Angriffe effizient zu erkennen. Damit es gar nicht erst so weit kommt, sollten Unternehmen sich der Gefahr durch Insider Threats bewusst werden und geeignete Schutzmaßnahmen ergreifen. Fünf Tipps, um Risiken zu minimieren:

  • Investieren Sie in eine Insider Threat Data Loss Prevention-Lösung. Sie erkennt bösartiges Verhalten, schlägt Alarm und kann Aktionen falls nötig blockieren. Die Lösung sollte sowohl mit als auch ohne Internet-Verbindung funktionieren.
  • Schützen Sie alle Umgebungen in Ihren Netzwerken durch Zugangskontrollen. Dabei sollte jeder Nutzer, Entwickler und Administrator nur die Rechte erhalten, die er unbedingt für seine tägliche Arbeit benötigt. Beschränken Sie die Zahl der Mitarbeiter, die neue Konten in On-Premises und Cloud-Umgebungen anlegen dürfen, auf ein Minimum.
  • Senden Sie Logdaten und Event Aggregation an ein SIEM (Security Information and Event Management). Das stellt die Authentizität von Logs sicher und verhindert, dass ein Angreifer sie löschen oder manipulieren kann.
  • Setzen Sie Netzwerksegmentierung um. Indem Sie Netzwerkbereiche durch Sicherheitskontrollen voneinander trennen, verhindern Sie, dass sich ein Angreifer uneingeschränkt ausbreiten kann. Außerdem sollten Sie unnötigen Datenverkehr zwischen hochsensiblen und weniger vertrauenswürdigen Umgebungen limitieren. Alle Systeme, die nicht unbedingt öffentlich erreichbar sein müssen, sollten vom öffentlichen Zugang getrennt werden.
  • Achten Sie auf ein sicheres Offboarding. Wenn ein Mitarbeiter das Unternehmen verlässt, sollten Sie seinen Netzwerkzugang sofort sperren. Alle SSH-Schlüssel, PEM-Dateien und Passwörter, auf die die Person Zugriff hatte, sollten für alle Umgebungen geändert werden. Auch die Multifaktor-Authentifizierung (MFA) sollte umgehend deaktiviert werden.

Regelmäßige Assessments sind wichtig

Um das Risiko für Insider-Bedrohungen zu minimieren, brauchen Unternehmen Data Loss Prevention-Prozesse, SIEM-Funktionalität, Verhaltensanalysen und ein dediziertes Team. Die drei Kern-Bereiche Mensch, Prozesse und Werkzeuge sollten hier berücksichtigt werden. Untersuchungen zu Insider Bedrohungen sollten auf Beweisen basieren, die eine Profilbildung widerlegen und einer rechtlichen Prüfung standhalten. Externe Spezialisten können die bestehenden Fähigkeiten überprüfen, um die Nutzung der Investitionen zu maximieren, die Erstellung eines neuen Programms für Insider-Bedrohungen zu beschleunigen oder ein bestehendes Programm auf der Grundlage jahrelanger Katalogisierung bewährter Verfahren in der gesamten Branche zu verbessern. Da sich Voraussetzungen schnell ändern können, ist es wichtig, Security Assessments regelmäßig durchzuführen. Sie ermöglichen es, Schwachstellen aufzudecken und die Sicherheitsaufstellung kontinuierlich zu verbessern. So erhalten Unternehmen einen individuellen Fahrplan, um sich effektiv vor Insider-Angriffen und ihren Auswirkungen zu schützen.

Mehr bei FireEye.com

 


Über Trellix

Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen