Insider Threats – Der Feind in den eigenen Reihen

Insider Threats – Der Feind in den eigenen Reihen

09/2020

 

Keep your enemies close, but your friends closer

 

Gefahr von Insider-Attacken

Die Rolle der Mitarbeiter in Bezug auf Informationssicherheit ist kontrovers. Mitarbeiter können sich als eine große Stütze für das Informationssicherheitskonzept erweisen, stellen jedoch auch eine der größten Bedrohungen für sensible Informationen und Informationstechnik in Organisationen dar. Eine einzelne Person kann großen Schaden anrichten, wenn sie mit den nötigen Rechten und dem Wissen über Prozesse und Strukturen ausgestattet die eigene Organisation angreift. Die Konsequenzen von Insider-Attacken reichen von Reputationsverlust und Datenschutzverletzungen, über finanzielle Einbußen und Schäden an der IT-Infrastruktur bis zum Verlust geistigen Eigentums.

Laut einer Studie werden weltweit mehr Cyberattacken auf Unternehmen durch Angestellte oder Dritte mit Systemzugriff durchgeführt (60 %) als durch externe Angreifer (40 %). Etwa ein Sechstel der Angriffe sind auf Anwenderfehler oder unbedachte Mitarbeiter zurückzuführen. Fast die Hälfte der Angriffe wurde jedoch absichtlich, also mit einem böswilligen Motiv, durch sogenannte Malicious Insider durchgeführt. Weitere Studien kommen zu ähnlichen Ergebnissen: Von den befragten Sicherheitsexperten gab über die Hälfte an, in den vergangenen zwölf Monaten versuchten oder erfolgreichen Datendiebstahl sowie Korruption durch Unternehmensinsider erlebt zu haben.

Die Gefahr durch böswillige Insider ist für Unternehmen deshalb so groß, weil die meisten Sicherheitsmaßnahmen keinen Schutz bieten. Selbst starke Verschlüsselungen sind machtlos, wenn die Täter aufgrund ihrer Position über legale Zugriffsrechte verfügen und diese missbräuchlich verwenden.

Dieser Artikel beschäftigt sich mit Malicious Insidern und den durch sie ausgehenden Gefahren. Damit Organisationen frühzeitig böswillige Insider entdecken und sich erfolgreich gegen diese wehren können, müssen mögliche Motive der Insider bekannt sein. Daher legt dieser Artikel im ersten Teil den Fokus auf die Beschreibung unterschiedlicher Insider-Typen und deren Motive für ihre schadhaften Handlungen. Das folgende Kapitel erläutert anhand verschiedener Ansätze den Begriff Insider und grenzt ihn von Malicious Insidern ab. Das darauffolgende Kapitel beschreibt dann die verschiedenen Typen solcher böswilligen Insider und führt Vorfälle der jüngeren Vergangenheit zu Malicious Insidern als Beispiele an. Das abschließende Kapitel zeigt, wie sich Organisationen mit erkennenden, präventiven und reaktiven Maßnahmen gegen Malicious Insider schützen können.

Insider

Aus Sicht des Information Security Managements kann der Grad der Beteiligung eines Akteurs an der Informationsverarbeitung und -speicherung einer Organisation als „Insiderness“ bezeichnet werden. Ein Insider überschreitet demnach eine bestimmte logische oder physische Begrenzung einer Organisation und kennt dadurch deren innere Umgebung. Insider können also bspw. Mitarbeiter, Vertragspartner, Kunden, Lieferanten oder Berater sein. Einem Insider wird meist erweiterter Zugang zu Informationen gewährt. Von diesem Akteur wird erwartet, dass er sich in einer bestimmten Weise verhält: ihm wird im Umgang mit Informationen vertraut. Die individuelle Motivation des Akteurs ist ausschlaggebend, damit er sich wie erwartet verhält.

Auf ein IT-System bezogen ist ein Insider eine Person mit privilegiertem Zugang zu diesem System. Als Insider können demnach Personen bezeichnet werden, die Wissen über ein IT-System besitzen – also auch Personen, die am Design und an der Implementierung des Systems beteiligt waren, aber nicht mehr Teil der Organisation sind.

Unter einem betriebswirtschaftlichen Ansatz definiert sich ein Insider dadurch, dass er die Fähigkeit besitzt, eine Organisation gegenüber Außenstehenden zu repräsentieren. Ein Insider hat auch das Recht auf Vermögenswerte der Organisation zuzugreifen und diese entsprechend seiner Tätigkeit einzusetzen.

Insider können auch anhand der von ihnen ausgehenden Bedrohungen für eine Organisation definiert werden. Insider werden als eines der schwierigsten Probleme für die Informationssicherheit angesehen, weil diese Personen Informationen und Möglichkeiten besitzen, die externe Angreifer nicht besitzen. In diesem Zusammenhang können zwei Insider-Bedrohungen unterschieden werden:

 

  • Insider, die dem Unternehmen ohne Absicht und ohne ihre Kenntnis Schaden zufügen – Unintentional oder Accidential Insider.
  • Insider, die ihrer Organisation mit abweichendem Verhalten bewusst und gewollt Schaden zufügen – Intentional oder Malicious Insider.

 

Das Erkennen und die Abwehr von Accidential und Malicious Insiders unterscheiden sich erheblich. Das Abstellen von unabsichtlichem Fehlverhalten kann durch Sensibilisierungsmaßnahmen erreicht werden und fällt in den Bereich der Information Security Awareness. Im Folgenden wird nur noch Bezug auf Malicious Insider genommen.

Malicious Insider sind sich bewusst, dass ihre Handlungen Schaden verursachen. Ihre Handlungen sind also böswillig. Ihre Absichten können hingegen aus ihrer Sicht gutwillig sein. Doch sobald die Personen mit ihren bewussten Handlungen Schaden anrichten, können sie als Malicious Insider angesehen werden.

Ein Malicious Insider kann als ein aktueller oder ehemaliger Mitarbeiter, Vertragspartner oder Geschäftspartner angesehen werden, der Zugriff auf das Netzwerk, Systeme oder Daten hat oder gehabt hat. Dieser Zugriff wird absichtlich missbraucht, sodass die Integrität, Vertraulichkeit oder Verfügbarkeit der Informationen oder Informationssysteme der Organisation, die den Zugang gewährt, beeinträchtigt wird.

Aufgrund der Tatsache, dass Insider die Organisation kennen, kann es schwierig sein, deren Angriffe zu erkennen. Dies liegt unter anderem daran, dass sie ihre Spuren leicht entfernen bzw. so agieren können, dass keine Spuren entstehen.

Typen von Malicious Insidern

Dieses Kapitel stellt verschiedene Typen von Malicious Insidern vor. Die Gliederung erfolgt anhand der Motivation eines Insiders, der eigenen Organisation Schaden zuzufügen.

Whistleblowing

Whistleblowing bezeichnet im Allgemeinen Personen, die geheime Dokumente oder aus ihrer Sicht unmoralische Praktiken einer Organisation offenlegen. Aus Sicht der Geschädigten führen Whistleblower böswillige Handlungen durch und verfolgen dabei schlechte Absichten. Die Absicht der Whistleblower ist, aus ihrer eigenen Sicht, gutwillig, auch wenn sie sich bewusst sind, dass ihre Handlungen für die Organisation schlecht sind.

Den Whistleblowern fehlt die Macht, die Prozesse einer Organisation selbst oder auf einem anerkannten Weg zu ändern. Sie ziehen deshalb andere Instanzen, meist die Öffentlichkeit, hinzu. Die größte Motivation der Whistleblower, die Informationen zu veröffentlichen, ist, dadurch Einfluss auf Prozesse oder Praktiken der Organisation zu nehmen.

Einer der bekanntesten Whistleblower ist Edward Snowden. Er war ein US-amerikanischer IT-Sicherheitstechniker, der als Subunternehmer für die National Security Agency (NSA) und die Central Intelligence Agency (CIA) tätig war. Später wechselte Snowden zur Beratungsfirma Booz Allen Hamilton, die ihn als IT-Berater in eine NSA-Einrichtung entsandte. Durch seine Tätigkeit erhielt Snowden erneut Zugriff auf streng geheime Dokumente, welche er nun in großen Mengen kopierte.

Nachdem Snowden große Mengen geheimer Dokumente zusammengestellt hatte, veröffentlichte er seit 2013 über The Guardian und The Washington Post eine Flut von geheimen Dokumenten der geheimdienstlichen Überwachungen. In einem Interview gab Snowden als seine Motivation an: „Ich will nicht in einer Gesellschaft leben, die solche Dinge tut. Ich will nicht in einer Welt leben, in der alles, was ich tue und sage, aufgezeichnet ist. Das ist nichts, was ich unterstützen oder mit dem ich leben will.“.

Datendiebstahl

In der Regel wird der Diebstahl von Daten von Ingenieuren, Wissenschaftlern, Programmieren oder Vertriebsmitarbeitern durchgeführt. Also von genau den Mitarbeitern, die Zugriff auf sensible Informationen einer Organisation besitzen bzw. diese erzeugen.

Die Art, wie der Diebstahl erfolgt, kann sehr unterschiedlich sein. Physische Dokumente können aus Unternehmensgebäuden entwendet oder Daten auf einem Datenträger an einen anderen Ort befördert werden. Elektronische Prozesse, wie zum Beispiel das Versenden einer E‑Mail oder der Upload auf Cloud-Speicher, erleichtern das unberechtigte Entwenden von Daten.

Sowohl Handlung als auch Absicht sind als böswillig einzustufen. Im Gegensatz zu Whistleblowern verfolgen diese Malicious Insider persönliche Ziele. Sie möchten zum Beispiel mit den Informationen und Daten, die sie gestohlen haben, eigene Unternehmen gründen, in einem neuen Job von den Daten profitieren oder diese gegen die ehemalige Organisation einsetzen. Auch die Daten, die gestohlen werden, sind sehr unterschiedlich. Häufig werden proprietärer Software- und Source-Code, strategische Unternehmenspläne oder Produkt- und Kundeninformationen entwendet.

Ein spektakulärer Datendiebstahl wurde von Anthony Levandowski begangen. Levandowski war Mitarbeiter bei Google und Mitbegründer von Otto, einer Firma, die selbstfahrende Trucks entwickelt und von Uber übernommen wurde. Levandowski arbeitete in mehreren Projekten von Google, unter anderem Street View, Kitty Hawk und Googles fahrerlose Autos (später Waymo). Waymo verklagte Uber, weil Uber proprietäre Technologien gestohlen und die Patente der Firma Waymo verletzt haben soll. In der Klage wird Levandowski beschuldigt, wenige Wochen vor seinem Rücktritt bei Google mehr als 14.000 höchst vertrauliche Dateien auf ein externes Laufwerk heruntergeladen und somit gestohlen zu haben. Die Daten sollen Informationen über Techniken enthalten, die sowohl Waymo als auch Uber für ihre selbstfahrenden Testfahrzeuge verwenden.

Spionage

Spione möchten zugunsten einer anderen Organisation oder eines Staates bedeutsame Informationen oder geschütztes Wissen erbeuten, damit die Auftraggeber diese für ihre Zwecke nutzen können. Spionage kann sowohl von technisch versierten als auch technisch nicht versierten Mitarbeitern ausgeführt werden. In der Regel findet Spionage über einen längeren Zeitraum statt.

Im Gegensatz zu den meisten Whistleblowern zeichnen sich Spione dadurch aus, dass sie im Geheimen operieren. Der Unterschied zum Datendiebstahl besteht darin, dass Spione in der Regel im Auftrag anderer Personen handeln. Auch die Gründe lassen Unterschiede zum Datendiebstahl erkennen. Das Kürzel MICE zeigt die Motive von Spionen: Spione handeln entweder aus finanziellen Gründen (Money), wegen ihrer Überzeugung oder einer Ideologie (Ideology), weil sie dazu gezwungen sind (Coercion) oder aufgrund der daraus resultierenden Selbstwahrnehmung und um sich von anderen Personen abzuheben (Ego).

Ein aus China stammender Ingenieur wurde in den Vereinigten Staaten von Amerika wegen Wirtschaftsspionage zu 15 Jahren Gefängnis verurteilt. In den späten 1970er Jahren, nachdem er vom damals führenden Konzern für Luft- und Raumfahrt Rockwell-International angeheuert wurde, begannen seine Spionage-Aktivitäten für die Volksrepublik China. Der Täter hielt Präsentationen in China, schickte Informationen über seine Arbeit per Diplomatengepäck nach China und sammelte über 300.000 geheime Dokumente über Raumfahrt- und Militärprogramme der USA in seinem Keller. Der Täter sah die Möglichkeit, durch seine Spionage-Aktivitäten einen Teil zum wirtschaftlichen Fortschritt seines Heimatlandes China zu leisten. 2006 entdeckten Staatsanwälte in den USA bei der Untersuchung eines Spionagefalls eine Spur, die schließlich zum Täter führte.

Sabotage

Besonders technisch versierte Mitarbeiter können der eigenen Organisation durch die Sabotage von Systemen einen erheblichen Schaden zufügen. Im Gegensatz zu Spionen versuchen Saboteure der Organisation aus persönlichen Gründen zu schaden. Sowohl die Handlungen als auch die Absichten eines Saboteurs sind böswillig.

Studien belegen, dass die meisten Saboteure gerade die Systeme sabotieren, die sie täglich nutzen – obwohl es deren Aufgabe ist, diese am Laufen zu halten. Typische Motive für Sabotage sind Frustration, Rache, mangelnde Wertschätzung und das Gefühl der Machtlosigkeit gegenüber einer vermeintlich ungerechten Behandlung.

Die meisten Sabotage-Aktionen werden vorbereitet, während die Mitarbeiter noch Teil der Organisation sind. Die Ausführung erfolgt kurz bevor oder sobald die Insider die Organisation verlassen.

Ein Beispiel für einen Sabotageakt liefert ein ehemaliger IT-Mitarbeiter einer kanadischen Eisenbahngesellschafft, der von seinem Arbeitgeber entlassen wurde. Bevor er seinen Laptop und seinen Ausweis zurückgab, verschaffte er sich Zugriff zu zentralen und kritischen Switches der Firma. Er sabotierte die Netzwerk-Geräte, entfernte Konten auf administrativer Ebene und änderte die Zugangsdaten für die verbliebenen Administrator-Konten. Nur durch einen riskanten Neustart konnten die Administratoren den Zugriff auf die Geräte zurückerlangen. Die Racheaktion an seinem ehemaligen Arbeitgeber durch Insiderwissen brachte dem Täter eine einjährige Gefängnisstrafe wegen absichtlicher Sabotage des Computernetzwerkes ein.

Betrug

Unter Betrug wird vorsätzliche Täuschung verstanden, um einen rechtswidrigen oder unberechtigten Nutzen zu erwirken. Betrug nimmt viele Formen an, u. a. Identitätsdiebstahl, Wirtschaftskriminalität und Marktmanipulation. Betrug findet häufig über einen längeren Zeitraum statt und wird von finanziellen Anreizen oder Gier getrieben. Eine weitere Motivation besteht darin, die eigene Position innerhalb einer Organisation auf Kosten anderer oder auf Kosten der Organisation zu verbessern. So könnten Mitarbeiter ihre Personalakte ändern, um höhere Chancen auf eine Beförderung zu haben.

Ein ehemaliger Angestellter einer Sicherheitsfirma, der nach seinem freiwilligen Rücktritt verschiedene Angriffe auf seinen ehemaligen Arbeitgeber durchführte, beging dabei Betrug und Sabotage. Mithilfe einer Fernzugriffssoftware, die er während seiner aktiven Zeit installierte, verschaffte sich der Angestellte nach seinem Austritt Zugriff auf den Computer des Betriebsleiters und erbeutete Passwörter sowie weitere Zugangsdaten. Er löschte unter anderem Dateien, wie zum Beispiel Personalakten und Zeitpläne sowie Kundeninformationen, er verschickte vom Account des Betriebsleiters böswillige E‑Mails an Kunden der Firma und lenkte alle Besucher der Website der Firma auf die Website eines Konkurrenten um. Als Grund für seine Taten konnten ein starkes Alkohol- und Drogenproblem und eine schwierige Kindheit ausgemacht werden. Der Täter wurde zu sieben Jahren Haft verurteilt.

Malicious Enabling

Mitarbeiter führen Angriffe nicht immer selbst durch. Wenn sie die Voraussetzungen dafür schaffen, dass externe Angreifer Attacken durchführen, wird diese Begünstigung eines Angriffs als Malicious Enabling bezeichnet. Neben der bewussten Weitergabe von Zugangsdaten oder der Offenlegung von Netzwerkarchitekturen, kann auch das bewusste Implementieren einer Hintertür als Malicious Enabling angesehen werden. Diese Hintertür nutzt der Angreifer, um die Zugangskontrollen der Organisation zu umgehen.

Ein Beweggrund für Enabling kann die grundsätzliche Bereitschaft, aber fehlendes technisches Knowhow für einen Angriff sein. Somit nutzen die Insider ihre Stellung aus, um die Möglichkeit Schaden anzurichten, an jemand anderen weiterzugeben. Gleichzeitig kann der Antrieb, als Malicious Enabler unentdeckt zu bleiben, eine wichtige Rolle spielen. Ein Insider kann zudem von einer Person außerhalb der Organisation dazu beauftragt worden sein, Enabling-Aktionen durchzuführen.

Im Allgemeinen kann die Handlung, die ein Malicious Enabler durchführt, als böswillig und bewusst angesehen werden. Die Absicht eines Enablers kann aber auch unfreiwillig sein. Damit könnten jene Fälle bezeichnet werden, in denen Mitarbeiter von externen Personen oder Organisationen erpresst werden, Angriffe auf die eigene Organisation zu ermöglichen.

Maßnahmen gegen Malicious Insider

Absolute Informationssicherheit für eine Organisation gibt es nicht. Das gilt auch für den Schutz vor Malicious Insidern. Im Folgenden werden Maßnahmen gezeigt, die den Schaden nach einem Angriff oder das Risiko durch Malicious Insider angegriffen zu werden, reduzieren. Solche Maßnahmen können in erkennende, präventive und reaktive Aktivitäten unterteilt werden. Zudem sollten die Maßnahmen als Teil des übergeordneten Informationssicherheitsmanagements (ISM) verstanden werden. Im Rahmen des ISM sollten Verantwortlichkeiten für diese Maßnahmen definiert und sich wiederholende, kontinuierlich verbessernde Prozesse aufgesetzt werden.

Aufgrund der Besonderheiten und je nach Größe der Organisation empfiehlt es sich, ein speziell geschultes Team aus ein bis drei Mitgliedern zur Bekämpfung von Bedrohungen durch Malicious Insider aufzubauen.

Erkennende Maßnahmen

„Gefahr erkannt, Gefahr gebannt“ heißt ein gängiges Sprichwort, das seine Wahrheit auch im Kontext von Malicious Insider unter Beweis stellt. Wird die Gefahr erkannt, bevor der Schadensfall eingetreten ist, können die Folgen für die Organisation geringgehalten werden. Potentielle Indikatoren, um Malicious Insidern zu erkennen, umfassen persönliche Eigenschaften, verdächtige Verhaltensweisen oder besondere berufliche Ereignisse. Um von diesen Indikatoren auf einen Malicious Insider schließen zu können, sind leistungsfähige Computerprogramme, sensibilisierte Mitarbeiter und ein verantwortungsvoller Umgang mit Indikatoren und Hinweisen notwendig.

Bestimmte persönliche Eigenschaften eines Mitarbeiters eignen sich als Indikatoren zur Identifizierung eines potentiellen Malicious Insiders. Laut NCCIC sind Introversion, Gier, ethische Flexibilität, fehlende Loyalität, rebellisches und aggressives Verhalten, Narzissmus, fehlende Empathie, Kritikunfähigkeit, Frustration und Unzufriedenheit einige der potentiellen Merkmale eines Malicious Insiders – insbesondere der durch Anspruchsrecht, Ärger oder Ideologie motivierten Insider.

Malicious Insider können aber auch über verdächtige Verhaltensweisen identifiziert werden. Außergewöhnliche Arbeitszeiten oder Netzwerkzugriffe zu auffälligen Zeiten (während des Urlaubs, nachts) können beispielsweise auf ein schädliches Verhalten hinweisen. Auffällig ist auch, wenn sich Personen plötzlich stark für Angelegenheiten außerhalb ihres Zuständigkeitsbereiches interessieren, unnötigerweise sensible Dokumente und Unterlagen kopieren oder ihre Unzufriedenheit über Richtlinien äußern. Auch Mitarbeiter mit einem auffälligen Lebenswandel können als Malicious Insider aktiv werden. Drogen- oder Alkoholmissbrauch, finanzielle Probleme, illegale Aktivitäten, ungewöhnliche Reiseziele, plötzlicher Reichtum, unerwartete Abwesenheiten, psychische Probleme oder feindseliges Verhalten können Warnzeichen sein. Diese Verhaltensweisen treffen insbesondere auf Insider zu, die in finanzieller Notlage sind oder unter äußerem Einfluss stehen.

Bestimmte berufliche Ereignisse können Mitarbeiter in Malicious Insider verwandeln. Kündigungen, schlechte Leistungsbewertungen oder Meinungsverschiedenheiten mit Kollegen können Menschen so verärgern, dass sie zum Täter werden.

Die genannten Indikatoren weisen nicht zwingend auf Malicious Insider hin. Nur weil Mitarbeiter introvertiert sind, eine schwierige Zeit durchmachen oder unzufrieden sind, werden sie nicht zwangsläufig zu Tätern. Daher empfiehlt sich eine sensible Vorgehensweise. Neben der Einhaltung von Datenschutz und Arbeitsrecht muss auch darauf geachtet werden, keine Kultur der Überwachung zu schaffen. Verdächtige Mitarbeiter sollten nur bei bewiesenem oder berechtigtem Verdacht hinzugezogen werden. Außerdem sollten die erhobenen Daten über das Nutzerverhalten wirklich ausschließlich dem Schutz der Informationssicherheit dienen.

Zunächst einmal muss aber geklärt sein, was abweichendes Verhalten ist. Eine typische organisatorische Maßnahme ist daher, Richtlinien zu definieren, die gewünschtes und unerwünschtes Verhalten beschreiben. Aus diesen Richtlinien lassen sich Parameter ableiten, die als Basis für eine Verhaltensanalyse dienen können. Erst mit der Festlegung und der Kommunikation des richtigen Verhaltens an die Mitarbeiter, kann ein bestimmtes Verhalten auch als falsch identifiziert werden.

Erkennende Maßnahmen müssen nun die genannten Indikatoren verknüpfen und Heuristiken entwickeln, um Schlüsse auf ein potentiell schadhaftes Verhalten zu ziehen. Anschließend müssen Möglichkeiten zur Messung der Indikatoren und des abweichenden Verhaltens etabliert werden. So kann z. B. der Zugriff auf Daten oder die Wege, wie Daten ausgetauscht werden, überprüft werden. Unter Zuhilfenahme von Machine Learning oder Behavioral Analytics können Nutzerverhalten und Logfiles analysiert werden. Für die Sammlung, Aggregation, Korrelation und Analyse der großen Datenmenge werden leistungsfähige Tools benötigt, wie z. B. Security Information and Event Management (SIEM). Diese können zudem Heuristiken abbilden und auf potentielle Malicious Insider hinweisen.

Zudem können gezielt Fallen ausgelegt werden. Falsche Objekte, wie etwa strategisch bedeutsame Informationen oder Nutzerkennwörter, die das Interesse von Insidern erregen, könnten zugänglich gemacht werden. Sobald der Zugriff eines Malicious Insiders auf die Objekte erfolgt, wird Alarm ausgelöst.

Aber auch die Belegschaft und das Management sollte dazu angehalten werden, wachsam zu sein und gegebenenfalls (anonym) Alarm zu schlagen. Das ist besonders hilfreich, um die Kategorie der verärgerten Mitarbeiter zu identifizieren. Hier kommt Security Awareness ins Spiel. Die Mitarbeiter müssen für die Gefahren von Malicious Insidern und für informationssicherheitskonformes Verhalten sensibilisiert werden.

Abb. 1 zeigt den Weg auf, wie Mitarbeiter zu Malicious Insidern werden können. Erkennbar sind die Zusammenhänge zwischen persönlicher Veranlagung (oben genannte Indikatoren), Stressfaktoren (berufliche Ereignisse) und auffälligem Verhalten. Weitere Faktoren beeinflussen die Wahrscheinlichkeit für böswilliges Verhalten, z. B. der politische Kontext (vgl. Spionage, Whistleblowing). Zu jedem der genannten Zeitpunkte kann eine erfolgreiche Intervention stattfinden und der „Angriff“ gestoppt werden.

 

Abb. 1

 grafik

Der kritische Pfad zum Malicious Insider.

 

Präventive Maßnahmen

Mit „Vorsicht ist besser als Nachsicht“ liefert der Volksmund ein passendes Sprichwort für die präventiven Maßnahmen gegen die Gefahren von Malicious Insidern. Solche vorbeugenden Maßnahmen erschweren die Möglichkeit für einen Angriff von Innen bereits im Vorfeld oder verhindern ihn gänzlich. Hierfür sind technische und organisatorische Maßnahmen gleichermaßen entscheidend.

Diese präventiven Maßnahmen werden in Unternehmen häufig in sogenannten Insider Threat Programmen koordiniert. Firmen, die bereits ein solches Programm implementiert haben, setzen dabei vor allem auf folgende Maßnahmen:

 

  • Erkennen von Insidern durch Technologie bzw. mit speziellen Tools,
  • Durchführen von Security Trainings und Awareness Kampagnen für Mitarbeiter und Management,
  • Erstellen von Richtlinien,
  • Definieren von Verantwortlichkeiten für die Behandlung von Sicherheitsvorfällen,
  • Überprüfen von Mitarbeitern vor der Einstellung sowie
  • Definieren von Prozessen für das Ausscheiden von Mitarbeitern aus der Organisation.

 

Dabei zeigt sich, dass viele der organisatorischen Schritte generell Teil eines funktionierenden Informationssicherheitsmanagements sein sollten und nur speziell für die Gefahren von Malicious Insidern angepasst werden müssen.

Für die richtige Auswahl präventiver Maßnahmen müssen Organisationen zuerst verstehen, welche Daten für Malicious Insider überhaupt als potentielles Angriffsziel interessant sind. Im Rahmen des Risikomanagements werden Daten anhand ihres Werts bzw. ihres Risikos bewertet. Das Risiko wird anhand der Auswirkungen bei ungewolltem Abfluss (Bsp. Spionage), Veränderung (Bsp. Betrug) oder Nichtverfügbarkeit (Bsp. Sabotage) eingestuft. Im Fokus stehen bspw. besonders schützenswerte personenbezogene Daten oder Daten, die Organisationen einen Wettbewerbsvorteil verschaffen können. Je nach Wert bzw. Risiko der kritischen Vermögenswerte sind individuelle Schutzmaßnahmen im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) zu definieren. Dabei sollte der Blick explizit nach innen gerichtet und überlegt werden, welchen Vorteil die verschiedenen Typen potentieller Täter durch den Zugriff auf diese Daten haben können.

Grundsätzlich sollte eine effektive Aufgabentrennung erfolgen. So sollte bspw. ein Datenbank-Administrator in keinem Fall derjenige sein, der die Backups für diese Datenbank verwaltet. Das Need-to-Know-Prinzip besagt, dass Personen oder Gruppen nur so viele Zugriffsrechte bekommen, wie für die jeweilige Aufgabe notwendig sind. Nicht nur der Umfang der Rechte, sondern auch die Dauer, wie lange ein solches Zugriffsrecht vergeben wird, sollte bedacht werden. Vor allem sollten nicht länger benötigte Berechtigungen zeitnah gelöscht werden, bspw. auch bei einem Wechsel innerhalb der Organisation.

Mit Data Redaction können sensible Daten maskiert werden. Mit der Maskierung ist nur ein kleiner Teil der Daten sichtbar, der aber ausreicht, um sie zu nutzen. Data Redaction wird bspw. auf Kassenbelegen angewandt, auf denen nur ein Teil der zur Zahlung verwendeten Kartennummer angezeigt wird. Der kleine Teil reicht aus, um später zuzuordnen, welche Karte verwendet wurde – würde aber möglichen Kreditkartenbetrügern, die den Zettel finden, nicht die gesamte Nummer präsentieren.

Weitere präventive Maßnahmen sollten verhindern, dass Mitarbeiter überhaupt zu Malicious Insidern werden. Den Mitarbeitern sollte die Gelegenheit gegeben werden, ihren Frust loszuwerden. Vorgesetzte sollten sensibel mit persönlichen Problemen der Mitarbeiter umgehen und das Gespräch suchen. Mitarbeiter, die sich als Teil des Teams und ernstgenommen fühlen, wollen dem Team keinen Schaden zufügen. In der Organisation sollte eine Kultur herrschen, in der die Mitarbeiter sich gegenseitig helfen und unterstützen.

Noch früher setzt die Maßnahme an, Mitarbeiter vor deren Einstellung, je nach Zugang zu kritischen Informationen, entsprechend zu überprüfen. Je nach Art der Organisation gibt es dafür verschiedene rechtlich zulässige Möglichkeiten, wie z. B. Hintergrundüberprüfung, Sicherheitsüberprüfung, Kreditwürdigungsprüfung, Interviews, Sammeln und Auswerten von öffentlich verfügbaren Informationen aus sozialen Medien, Drogentests oder Lügendetektortests. Diese Maßnahmen würden insbesondere Insider enttarnen, die unter äußerem Einfluss stehen, in finanzieller Notlage sind oder unpassende ideologische Ansichten haben.

Reaktive Maßnahmen

„Durch Schaden wird man klug“ heißt eine Redewendung, welche die reaktiven Maßnahmen in diesem Zusammenhang charakterisiert. Haben die erkennenden und präventiven Maßnahmen keine Wirkung gezeigt und der Organisation wurde durch Malicious Insider geschadet, ist es wichtig, richtig zu reagieren. Organisationen stehen dann vor der Aufgabe, Angriffe auf die IT-Systeme oder Informationen des Unternehmens zu analysieren, aufzuklären und den angerichteten Schaden zu beheben. Um einen böswilligen Angriff von innen zu untersuchen, können die Vorgehensweisen der IT-Forensik angewendet werden.

Die Antwort auf einen Angriff von innen muss sehr sorgfältig und wohl überlegt durchgeführt werden. Falsche Anschuldigungen können viele schädliche Auswirkungen auf die Kultur einer Organisation haben. In vielen Fällen kann es durchaus sinnvoll sein, eine anhaltende Insider-Attacke zu dulden und zu beobachten. Oft ist es fataler, die Systeme wegen einer Insider-Attacke abzuschalten, als die Verluste zu akzeptieren und durch die gewonnenen Beweise den Angriff strafrechtlich zu verfolgen. Da gegen eigene Mitarbeiter vorgegangen wird, ist außerdem wichtig, dass diese Beweise wirklich eindeutig sind. Hierfür eignet sich beispielsweise der Einsatz digitaler Wasserzeichen, mit denen elektronische Dokumente forensisch markiert werden können.

Ein weiterer wichtiger Punkt ist, die Gründe und das Entstehen des Schadens zu reflektieren und den Schadensfall genau zu analysieren. Dabei werden die erkennenden, präventiven und reaktiven Maßnahmen genau überprüft und nach möglichen Schwachstellen und nach Verbesserungspotential in den Abwehrmaßnahmen gesucht. Ebenfalls muss sorgfältig geprüft werden, ob der Vorfall gemäß DSGVO gegenüber den Aufsichtsbehörden meldepflichtig ist. Das wäre bspw. dann der Fall, wenn der Datendiebstahl personenbezogene Daten umfasst.

Wurden im Vorfeld geeignete Maßnahmen zur Wiederherstellung vorbereitet, können diese nach einem Angriff genutzt werden, um wieder zum Normalbetrieb zurückzukehren. Beispiel war hier der Angriff auf das kanadische Eisenbahnunternehmen (vgl. 3.4). Als die Administratoren erkannten, dass ein Angriff stattgefunden hatte, konnten die Zugriffsrechte nur durch einen Neustart wiederhergestellt werden. Wäre dieser schiefgelaufen, wäre eine Rückkehr zum Normalbetrieb nicht mehr möglich gewesen. Daher sollten wiederherstellende Maßnahmen immer rechtzeitig vorbereitet und getestet werden.

Fazit

Insider erhalten das Vertrauen ihrer Organisation, das allerdings auch ausgenutzt werden kann. Missbrauchen Insider dieses Vertrauen selbst oder ermöglichen externen Angreifern die Schutzmaßnahmen zu umgehen, kann das weitreichende Folgen für die Verfügbarkeit, Vertraulichkeit und Integrität der Informationen einer Organisation haben.

Nicht alle Malicious Insider sind gleich. Sollen effektive Maßnahmen zum Erkennen von Insidern, zur Prävention und Reaktion von böswilligen Angriffen ergriffen werden, müssen die Gründe der verschiedenen Typen von Malicious Insidern und Motivationen für einen Angriff bekannt sein. Beispielsweise werden verärgerte Mitarbeiter gar nicht erst tätig werden, wenn deren Ärger ernst genommen wird und sie in der Organisation offen darüber sprechen können. Sechs charakteristische Typen von Malicious Insidern sind Whistleblower, Saboteure, Spione, Betrüger, Datendiebe und Enabler. Der Artikel zeigt, dass Organisationen vor allem in erkennende Maßnahmen investieren sollten. Durch Erkennen und rechtzeitiges Eingreifen kann Insider-Attacken vorgebeugt werden.

Die Identifikation von Malicious Insidern muss allerdings behutsam durchgeführt werden. Die einzelnen Maßnahmen können schnell für eine Überwachung der Mitarbeiter missbraucht werden, weshalb diese gezielt und nur bei vorliegendem Verdacht eingesetzt werden sollten. Zusätzlich zu den technischen Identifikationsmaßnahmen eignet sich die Mithilfe der Belegschaft. Durch zielgerichtete Awareness-Kampagnen lässt sich die Aufmerksamkeit der Mitarbeiter steigern, wodurch auffälliges Verhalten schneller bemerkt werden kann. Bevor dieses Verhalten dann zu einem Angriff führt, kann die Organisation gezielt auf die Probleme des Verdächtigen eingehen. Notfalls kann dann auch mit Hilfe von technischen Maßnahmen eine Kontrolle des Verdachts stattfinden.

 

Zur einfacheren Lesbarkeit wurden die Verweis- und Quellangeben entfernt.

HMD Praxis der Wirtschaftsinformatik; Kristin Weber, Andreas E. Schütz, Tobias Fertig; 16.04.2020

https://link.springer.com/article/10.1365/s40702-020-00616-9

http://creativecommons.org/licenses/by/4.0/deed.de

 

 

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung