Insider Threats: Die Gefahr von innen

Insider Threats: Die Gefahr von innen
Anzeige

Beitrag teilen

Die meisten Unternehmen fokussieren sich im Kampf gegen Cyberkriminalität auf externe Angreifer. Doch auch in den eigenen Reihen lauert eine wachsende Bedrohung. 33 Prozent aller Sicherheitsvorfälle werden 2021 auf Insider Threats zurückgehen, prognostizieren die IT-Sicherheitsexperten von FireEye Mandiant. Was können Unternehmen tun, um sich zu schützen?

Ein legitimer Zugang ist das A und O – die Mitarbeiter haben ihn und die Angreifer wollen ihn. Das beste Sicherheitsschloss an der Tür bringt nichts, wenn der Kriminelle bereits im Haus ist. Das weiß jeder Krimi-Fan. Ähnlich verhält es sich mit Cyberangriffen, die aus den eigenen Reihen kommen. Sie sind besonders gefährlich, weil die Täter Menschen sind, denen wir eigentlich vertrauen. Umso besorgniserregender ist es, dass die Zahl der Insider Threats signifikant steigt. 2019 und 2020 verzeichneten die Mandiant-Teams mehr Fälle denn je, bei denen Insider geschäftskritische Systeme kompromittierten, vertrauliche Daten preisgaben oder ihre Arbeitgeber erpressten. Solche Vorfälle können erheblichen finanziellen Schaden anrichten und die Reputation gefährden.

Anzeige

Wer hinter Insider-Angriffen steckt

Die meisten Insider Threats sind auf fahrlässige Mitarbeiter zurückzuführen, die nichts Böses im Sinn haben, sondern aus Unachtsamkeit Hackern ein Einfallstor bieten. Es kommt jedoch auch zu gezielten Angriffen von Insidern. Genau wie Angriffe von externen Akteuren verlaufen diese häufig über einen längeren Zeitraum hinweg. Dabei versuchen die Angreifer in der Regel unbemerkt zu bleiben und ihre Aktivitäten zu vertuschen. In manchen Fällen nutzen sie sogar Konten anderer Mitarbeiter, um die Aufmerksamkeit von sich abzulenken.

Längst steckt hinter Insider-Angriffen nicht mehr nur der verärgerte Ex-Angestellte, der sich an seinem ehemaligen Arbeitgeber rächen oder ihn bestehlen will. Im Grunde stellt jeder, der Zugang zu Netzwerken, System und Daten hat, ein potenzielles Risiko dar. Das kann der eigene Mitarbeiter sein, ebenso wie der Geschäfts- oder Lieferkettenpartner. Organisationen mit bedeutendem geistigem Eigentum oder Unternehmen, die fusionieren oder übernommen werden oder wichtige Veränderungen und Herausforderungen durchlaufen, tragen ein erhöhtes Risiko Opfer böswilliger Insider zu werden.

Anzeige

Anders als vielleicht vermutet, handeln Akteure heutzutage oft nicht alleine, sondern in Gruppen, zu denen auch IT-Administratoren und Insider Threat Team-Mitglieder gehören, die Warnungen und Ermittlungen verhindern. Teilweise sind Mitglieder dieser Gruppe außerhalb der Unternehmen, wie kriminelle und sogar regierungsnahe Organisationen, die technische Aktivitäten durchführen, um Datenzugang und -diebstahl zu ermöglichen.

Die vier häufigsten Insider Threats

Die Mandiant-Ermittler haben in der Praxis verschiedene Arten von Insider-Angriffen untersucht. Dabei zeichnen sich vier Trends ab:

Digitale Erpressung

Der böswillige Insider droht damit, gestohlene Daten zu veröffentlichen und gibt möglicherweise vor, ein externer Hacker zu sein. Meist fordert der Insider ein Lösegeld in einer digitalen Währung wie Bitcoin.

Wirtschaftsspionage

In diesem Szenario stiehlt der böswillige Insider geistiges Eigentum und gibt die Daten an Dritte weiter einschließlich staatlicher Akteure, um eine Entschädigung oder Job-Möglichkeit zu erhalten.

Asset-Destruction

Der böswillige Insider versucht, geschäftskritische Systeme zu stören, einen Betriebsausfall zu verursachen oder wichtige Datenbestände zu vernichten.

Stalking

Jon Ford, Managing Director of Global Government Services & Insider Threat Security Solutions bei Mandiant (Bild: FireEye).

Der böswillige Insider verschafft sich Zugriff zu sensiblen Mitarbeiterdaten oder Nutzerkonten von Kollegen, um an persönliche Informationen zu gelangen.

Gerade bei Erpressungsversuchen stehen Unternehmen unter enormen Druck: Sollten sie den Forderungen nachkommen oder lieber versuchen, den Insider schnellstmöglich zu identifizieren? Was, wenn das nicht rechtzeitig gelingt? Angriffsszenarien nachzuvollziehen und Täter aufzuspüren ist komplex. Die Hauptherausforderungen für Sicherheitsteams bei einem Erpressungsversuch sind: 1) die Feststellung, ob tatsächlich Daten gestohlen wurden, und 2) die Unterscheidung zwischen einem Insider-Vorfall und einem Angriff durch eine böswillige dritte Partei. Das erfordert eine Kombination aus technischer Forensik, Threat Intelligence und traditionellen Ermittlungsmethoden. Externe Spezialisten liefern unabhängige Analysen und bedeutende Expertise hierfür.

So können sich Unternehmen vor Insider-Risiken schützen

Unternehmen müssen Technologie und Wachsamkeit kombinieren und ihre Mitarbeiter durch regelmäßige Schulungen über die Gefahren von Insider Threats aufklären, um so Insider Angriffe effizient zu erkennen. Damit es gar nicht erst so weit kommt, sollten Unternehmen sich der Gefahr durch Insider Threats bewusst werden und geeignete Schutzmaßnahmen ergreifen. Fünf Tipps, um Risiken zu minimieren:

  • Investieren Sie in eine Insider Threat Data Loss Prevention-Lösung. Sie erkennt bösartiges Verhalten, schlägt Alarm und kann Aktionen falls nötig blockieren. Die Lösung sollte sowohl mit als auch ohne Internet-Verbindung funktionieren.
  • Schützen Sie alle Umgebungen in Ihren Netzwerken durch Zugangskontrollen. Dabei sollte jeder Nutzer, Entwickler und Administrator nur die Rechte erhalten, die er unbedingt für seine tägliche Arbeit benötigt. Beschränken Sie die Zahl der Mitarbeiter, die neue Konten in On-Premises und Cloud-Umgebungen anlegen dürfen, auf ein Minimum.
  • Senden Sie Logdaten und Event Aggregation an ein SIEM (Security Information and Event Management). Das stellt die Authentizität von Logs sicher und verhindert, dass ein Angreifer sie löschen oder manipulieren kann.
  • Setzen Sie Netzwerksegmentierung um. Indem Sie Netzwerkbereiche durch Sicherheitskontrollen voneinander trennen, verhindern Sie, dass sich ein Angreifer uneingeschränkt ausbreiten kann. Außerdem sollten Sie unnötigen Datenverkehr zwischen hochsensiblen und weniger vertrauenswürdigen Umgebungen limitieren. Alle Systeme, die nicht unbedingt öffentlich erreichbar sein müssen, sollten vom öffentlichen Zugang getrennt werden.
  • Achten Sie auf ein sicheres Offboarding. Wenn ein Mitarbeiter das Unternehmen verlässt, sollten Sie seinen Netzwerkzugang sofort sperren. Alle SSH-Schlüssel, PEM-Dateien und Passwörter, auf die die Person Zugriff hatte, sollten für alle Umgebungen geändert werden. Auch die Multifaktor-Authentifizierung (MFA) sollte umgehend deaktiviert werden.

Regelmäßige Assessments sind wichtig

Um das Risiko für Insider-Bedrohungen zu minimieren, brauchen Unternehmen Data Loss Prevention-Prozesse, SIEM-Funktionalität, Verhaltensanalysen und ein dediziertes Team. Die drei Kern-Bereiche Mensch, Prozesse und Werkzeuge sollten hier berücksichtigt werden. Untersuchungen zu Insider Bedrohungen sollten auf Beweisen basieren, die eine Profilbildung widerlegen und einer rechtlichen Prüfung standhalten. Externe Spezialisten können die bestehenden Fähigkeiten überprüfen, um die Nutzung der Investitionen zu maximieren, die Erstellung eines neuen Programms für Insider-Bedrohungen zu beschleunigen oder ein bestehendes Programm auf der Grundlage jahrelanger Katalogisierung bewährter Verfahren in der gesamten Branche zu verbessern. Da sich Voraussetzungen schnell ändern können, ist es wichtig, Security Assessments regelmäßig durchzuführen. Sie ermöglichen es, Schwachstellen aufzudecken und die Sicherheitsaufstellung kontinuierlich zu verbessern. So erhalten Unternehmen einen individuellen Fahrplan, um sich effektiv vor Insider-Angriffen und ihren Auswirkungen zu schützen.

Mehr bei FireEye.com

 


Über FireEye

FireEye ist Anbieter von Intelligence-basierten Sicherheitslösungen. Die FireEye-Plattform vereint innovative Sicherheitstechnologien, Threat Intelligence auf staatlichem Niveau und die weltbekannten Mandiant® Beratungsservices – und ist damit die nahtlose und skalierbare Erweiterung der IT-Sicherheitsvorkehrungen seiner Kunden. Mit diesem Ansatz entfernt FireEye die Komplexität von und die Belastung durch Cyber-Sicherheit für Unternehmen und unterstützt diese, sich auf Cyber-Angriffe besser vorzubereiten, diese zu verhindern oder darauf zu reagieren. FireEye hat über 8.500 Kunden in 103 Ländern, darunter mehr als 50 Prozent der Forbes Global 2000.


 

Passende Artikel zum Thema

Aktuelle BSI-Studie: 5G hat Sicherheitsrisiken 

Das BSI hat eine Studie in Auftrag gegeben zur 5G Sicherheit: Die Open RAN Studie (Open Radio Access Network) zeigt ➡ Weiterlesen

Kosten: Ransomware trifft Finanzdienstleister besonders hart

Mehr als 1,7 Millionen Euro Wiederherstellungskosten – wenn Ransomware einen Finanzdienstleister trifft. Die internationale Sophos Ransomware-Studie zeigt: Finanzdienstleister trifft Ransomware ➡ Weiterlesen

Darknet: Angebot gestohlener Daten 11-mal höher als 2015

Wie eine Bitglass-Studie zeigt, ist die Verbreitung gestohlener Daten im Darknet 11-mal höher als 2015. „Where's My Data“-Experiment 2021 zeigt, ➡ Weiterlesen

KRITIS: Schlecht geschützte industrielle Steuerungssysteme

Industrielle Steuerungssysteme sind oft unzureichend gegen Cyberattacken gesichert, wie Sicherheitsforscher von CloudSEK berichten. Das betrifft auch Unternehmen der Kritischen Infrastruktur. ➡ Weiterlesen

Zu viele Security-Lösungen im Unternehmen überfordern SOCs 

Wie eine Studie von Trend Micro zeigt: Große Anzahl an Security-Tools treibt Outsourcing von Detection und Response voran. Aber ein ➡ Weiterlesen

Trend Micro untersucht Angriffswege bei Connected Cars

Neue Studie hilft bei Minimierung von Cyber-Risiken über aktuelle WP.29-Vorgaben hinaus. Trend Micro untersucht Angriffswege und -szenarien bei Connected Cars in ➡ Weiterlesen