15. August 2024

Wie sich Unternehmen vor Insiderbedrohungen schützen

Hacker sind nicht die einzigen Sicherheitsbedrohungen, denn interne Bedrohungen stecken hinter etwa einem Viertel der Sicherheitsvorfälle. PureStorage gibt Tipps, wie sich Unternehmen davor schützen können. [...]

Laut Forrester ist schätzungsweise ein Viertel aller Cybersicherheitsvorfälle in Unternehmen auf die Aktivitäten von Insidern zurückzuführen. (c) stock.adobe.com/leowolfert

Mitte Juli 2024 stellte das Sicherheitsunternehmen KnowBe4 einen Softwareingenieur ein – so dachte man jedenfalls. Der neue Mitarbeiter bestand alle üblichen Hintergrund- und Sicherheitsüberprüfungen und konnte seine Arbeit am neuen Firmencomputer aufnehmen. Dann begann er jedoch, Unmengen von Malware und ausführbarer Software herunterzuladen. Wie KnowBe4 erklärte, benutzte der neue Mitarbeiter eine gestohlene Identität. Das Sicherheitsteam des Unternehmens untersuchte die Daten über die Aktivitäten des Hackers und sperrte den Zugriff auf das Firmengerät. „Wenn es uns passieren kann, kann es fast jedem passieren“, war aus dem Unternehmen zu hören.

Die Erfahrung von KnowBe4 ist ein Paradebeispiel dafür, dass Bedrohungen nicht auf professionelle Cyberkriminelle und Ransomware-Angriffe beschränkt sind. Laut Forrester ist schätzungsweise ein Viertel aller Cybersicherheitsvorfälle in Unternehmen auf die Aktivitäten von Insidern zurückzuführen. 40 Prozent gaben an, dass es sich um ein Versehen handelte, 47 Prozent stellten böswillige Absichten fest, und 13 Prozent waren der Meinung, dass es sich um eine Mischung aus beidem handelte. Was können CISOs und IT-Leiter tun, um dieses Risiko zu minimieren?

Was steckt hinter internen Sicherheitsbedrohungen?

Die Identität ist der neue Perimeter. Identitäten, einschließlich Unternehmensinsider, sind häufig Ziele für Hacker, die Social-Engineering-Taktiken anwenden und eine Vielzahl von Endpunkt-Schwachstellen außerhalb der vier Wände eines Netzwerks schaffen. Aus einer traditionellen Sicherheitsperspektive lässt sich nur sehr begrenzt dagegen vorgehen, außerdem ist eine spezifische Verwaltung der Zugriffsrechte von entscheidender Bedeutung.

Hinzu kommt die rasante Verbreitung räumlich verteilt arbeitender Teams und Cloud-basierter Arbeitsumgebungen, die Benutzer und Daten über die vier Wände der geschützten Netzwerke eines Büros hinaus verstreuen. Mitarbeiter, egal wo sie arbeiten, können eine Vielzahl von Risiken darstellen, die von den Datenschutzstrategien der Unternehmen berücksichtigt und entschärft werden müssen: Mitarbeiter, die von zu Hause aus tätig sind, verwenden möglicherweise ein gemeinsam genutztes WLAN-Netzwerk mit schwacher Sicherheit. Hacker, die diese Schwachstelle ausnutzen, könnten sich in die Verbindung einklinken, um unbefugt auf digitalen Ressourcen zuzugreifen. Dies öffnet die Tür für Datendiebstahl, möglicherweise in Form eines kostspieligen Ransomware-Angriffs. Mitarbeiter, die an Flughäfen, Hotels, Einkaufszentren oder anderen Orten mit öffentlichen Ladestationen arbeiten, laufen jetzt Gefahr, dass ihre Geräte über die USB-Anschlüsse mit Malware infiziert werden.

Was sind Beispiele für Sicherheitsbedrohungen durch Insider?

  • Betrügerische Administratoren oder verärgerte Mitarbeiter mit Zugang zu sensiblen Informationen könnten Daten stehlen, um sie gewinnbringend im Dark Web zu verkaufen. Sie könnten ihre Anmeldedaten nutzen, um aus Rache Dateien zu sabotieren oder zu löschen. Böswillige Akteure treten auch an Mitarbeiter heran und bieten hohe Geldsummen im Austausch für Zugangsdaten oder Daten an.
  • Non-Human Accounts, die nicht überwacht werden, können als Angriffsvektoren dienen. Wenn diese Konten nach dem Ausscheiden eines Mitarbeiters aufgegeben oder nicht überwacht werden, kann es schwierig sein, den Zugang wiederzuerlangen oder festzustellen, wenn Anmeldeversuche stattfinden.
  • Schlechte Datenhygiene ist ein weiteres Problem. Softwareadministratoren könnten versehentlich ein Programm falsch konfigurieren, ein Update verpassen oder einen Patch übersehen. Techniker, die Hintertüren erstellen, könnten unwissentlich eine Schwachstelle in der Abwehr Ihres Unternehmens schaffen.
  • Menschliches Versagen kommt immer wieder vor. Ein Mitarbeiter könnte versehentlich wichtige Dateien löschen.
  • Fehler gibt es auch bei der Zugriffsverwaltung auf höchster Ebene – sei es die unwissentliche Nutzung von unsicherem Open-Source-Code oder die absichtliche Umgehung von Protokollen. Bei einem kürzlich abgehaltenen CISO Roundtable stellte ein CISO fest: „Vieles, was Entwickler verwenden, ist Open Source. Die Integrität, Qualität und Authentizität dieses Codes ist äußerst wichtig“. Testen und die Möglichkeit eines sicheren Rollbacks sind hier der Schlüssel. Ein anderer merkte an: „Ingenieure neigen dazu, sehr kreativ zu sein. Selbst wenn ich alle möglichen Sicherheitskontrollen einführe, finden sie eine Umgehung, eine Hintertür oder einen Server, der ihnen das Leben leichter macht – oder leichter als die strengen Kontrollen, die eingeführt wurden.“
  • Ein Phishing- oder Social-Engineering-Betrug könnte einen Mitarbeiter dazu verleiten, Passwörter oder andere sensible Informationen preiszugeben. Dabei könnte sich jemand per E-Mail oder Telefon als legitime Quelle ausgeben. Die weitergegebenen Informationen könnten dann für schändliche Zwecke verwendet werden, z. B. zum Hacken von Konten, zum Diebstahl anderer vertraulicher Informationen, zum Identitätsbetrug oder für einen Ransomware-Angriff.

Zehn Maßnahmen zur Abwehr von Insiderbedrohungen

Vorbeugende Maßnahmen tragen viel dazu bei, Cyberangriffe und Datendiebstahl in Schach zu halten, aber der Schlüssel ist die Resilienz, also Widerstandsfähigkeit. Damit das Eindringen nicht zu einer Katastrophe, sondern zu einem „Nicht-Ereignis“ wird, müssen Unternehmen in der Lage sein, kritische Systeme schnell wieder online zu bringen:

  • Sich Einblick in die Daten verschaffen. Sicherheitsverantwortliche müssen wissen, was vor sich geht, und im Fall des Falles forensisch gerüstet sein.
  • Automatisierung von Software-Patches (d. h. eine gute Datenhygiene) und Updates. Dies trägt dazu bei, menschliche Fehler zu minimieren.
  • Kontinuierliche, aktualisierte Schulungen über die Unternehmensrichtlinien und bewährte Verfahren für die Sicherheit. Diese Maßnahmen sind ebenfalls unerlässlich, allerdings sollten sie rollenbasiert und relevant sein. Unternehmen müssen ihren Mitarbeitern klarmachen, welche Macht sie ausüben, wenn sie etwas Schlimmes zulassen. Mitarbeiter sollten sich fragen: „Wie werde ich zum Angriffsvektor?“, um zu verstehen, welche Verhaltensweisen für das Unternehmen akzeptabel sind und wie Social-Engineering-Versuche (Phishing) aussehen.
  • Zugang aus Ländern beschränken, in denen Unternehmen nicht tätig sind oder die als Länder mit hoher Bedrohung oder hohem Risiko gelten. Empfehlenswert ist es, eine Kombination von Kontrollen einzusetzen. Idealerweise führen Unternehmen ein einseitiges, mehrschichtiges System von Tools in der gesamten Umgebung ein, so dass im Falle des Versagens einer Kontrolle eine andere Kontrolle dies ausgleichen kann. Persönliche E-Mails lassen sich beispielsweise sperren, um das Senden von Daten auf der E-Mail-Ebene zu verhindern. Das Gleiche kann auf der Netzwerkebene erfolgen. Auf der Speicherebene gilt es den Datenzugriff der Mitarbeiter auf unternehmenseigene oder verwaltete Geräte zu beschränken.
  • Ein robustes System für das Asset-Management und die Klassifizierung von Daten. Dies ermöglicht es, zu verstehen, wo sich die Daten befinden. Hierzu gehört die Durchführung von Datenerkennungen und die Anpassung der Sicherheitskontrollen auf der Grundlage der Ergebnisse. Dies kann Unternehmen dabei helfen, das Sicherheitsniveau zu verstehen, das für jede spezifische Datenklasse erforderlich ist, um zu vermeiden, dass alle Daten auf dem maximalen Niveau gesichert werden, was kostspielig sein kann. Sinnvoll ist es, die Sicherheitsmaßnahmen für Daten, die als Verschlusssache eingestuft sind (egal, ob es sich um persönliche, kritische oder industrielle Daten handelt) zu erhöhen, etwa über Verschlüsselungen oder andere Techniken.
  • Verstärkte Sicherheitsmaßnahmen und rollenbasierte Kontrollen für sensible Daten. Die Einführung eines Zero-Trust-Ansatzes für die Sicherheit ist ein weiteres empfehlenswertes Verfahren. Zero Trust beschränkt den Anwendungszugriff auf Benutzer, Systeme und Prozesse, die als sicher eingestuft sind, und verhindert, dass böswillige Akteure Schaden anrichten. Die Multi-Faktor-Identifikation kann die Abhängigkeit von Vertrauen oder Authentifizierung verringern.
  • Benutzer mit hohem Zugriffsrecht in die Sicherheitsdiskussion einbeziehen. Hier geht es darum, die Verantwortung zu teilen unter Ingenieuren mit höheren Privilegien oder höherem Zugriffsrecht auf verschiedene Systeme. Diese gilt es zu fragen: „Erzählen Sie mir, was Sie normalerweise tun. Was ist der normale Tagesablauf für Sie?“ Auf der Grundlage dessen, was sie im Moment tun, können Sicherheitsverantwortliche Kontrollen einführen und mit den Beteiligten an der Umsetzung arbeiten.
  • Protokolldaten für die Verhaltensanalyse überwachen. Unternehmen kommen ohne Sicherheitsprotokolle nicht aus. Diese sind nutzbar, um bei ungewöhnlichen Mitarbeiteraktivitäten Alarm zu schlagen. Durch die Erstellung einer Basislinie für das typische Verhalten jedes Benutzers machen es Verhaltensanalyseprogramme einfacher, Anomalien (wie z. B. Änderungen des Geo-Standorts) als potenzielle Kompromittierungen zu erkennen.
  • Überwachung der Bedrohungsabwehr und Erkennung von Anomalien. Den Datenverkehr gilt es kontinuierlich auf anomale Signaturen, die auf das Vorhandensein von Malware oder die Überflutung von Host-Computern zur Verursachung eines Denial-of-Service (DoS)- oder verteilten DoS-Angriffs hinweisen könnten, zu analysieren.
  • Benutzer müssen wissen, wie sie Probleme melden können. Unternehmen müssen die interne Sicherheit zu einer Aufgabe machen. Manche Unternehmen ziehen sogar ein formelleres „Consequence Management“ in Erwägung: Wenn Benutzer die Richtlinien und Standards kennen und sie dennoch umgehen, müssen sie mit Konsequenzen rechnen.

Resilienz: Sicherheitsvorfälle zu Nicht-Ereignissen machen

Trotz aller Bemühungen sind sich Sicherheitsexperten einig, dass jedes Unternehmen irgendwann an der Reihe ist. So können beispielsweise interne Fehler oder Fehlkonfigurationen eine Unternehmensumgebung für einen Ransomware-Angriff öffnen, bei dem ein Hacker Dateien verschlüsselt, die Originale löscht und eine Zahlung für die Entschlüsselung verlangt. Es sei denn, die Anwendungen sind in einem Format gesichert, das nach dem Schreiben nicht mehr geändert werden kann. Mit anderen Worten: Sie sind „unveränderlich“.

Das Wichtigste ist die Resilienz: Wie gut Unternehmen vorbereitet sind, entscheidet letztlich darüber, inwieweit sich der Schaden minimieren und die Wiederherstellung beschleunigen lässt. Ein erfolgreicher Angriff kann mit unveränderlichen Backups wie SafeMode-Snapshots verhindert werden. SafeMode hebt die Unveränderlichkeit auf die nächste Stufe, indem es eine Out-of-Band-Multifaktor-Authentifizierungsschicht auf unveränderbare Snapshots anwendet. Selbst ein Administrator kann diese schreibgeschützten Snapshots nicht ändern, verschlüsseln oder löschen, ohne den Out-of-Band-Authentifizierungsprozess zu durchlaufen. Versuche, SafeMode-Snapshots zu löschen, schlagen fehl, da sie gesperrt sind. Dieser Ansatz trägt maßgeblich zu einer insgesamt hohen Resilienz – auch gegen Insiderbedrohungen – bei.


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*