Herkömmliche Cybersicherheitsstrategien konzentrieren sich hauptsächlich auf die Verteidigung eines Netzwerks vor Angriffen von außen. Doch das kann zu einem blinden Fleck führen, nämlich wenn die Bedrohung von Innen kommt.
In diesem Artikel erläutern wir Ihnen, was es mit sogenannten Insiderbedrohungen auf sich hat und wie Sie Ihr Unternehmen davor schützen können.
Was sind Insiderbedrohungen?
Ein Insider ist in diesem Zusammenhang jede Person, die über die Ressourcen des Unternehmens informiert ist oder sogar auf diese zugreifen darf. Folglich handelt es sich bei Insiderbedrohungen um mögliche Schäden, die ein Insider aufgrund dieses Wissens oder Zugriffs anrichten kann.
Insider können in eine von drei Kategorien fallen:
- Nachlässig: Nachlässige Insider bringen das Unternehmen unabsichtlich in Gefahr. Sie sind nicht aktiv darauf aus, Schaden anzurichten, aber ihr Verhalten kann ungewollt zu einer Sicherheitslücke werden. Nachlässigkeit ist der Grund für über die Hälfte aller Insiderbedrohungen.
- Bösartig: Bösartige Insider wollen dem Unternehmen absichtlich Schaden zufügen, indem sie in der Regel Daten stehlen oder Dritten Zugriff auf das System geben. Typische Motivationsfaktoren dafür sind finanzieller Profit, mangelnde Anerkennung am Arbeitsplatz oder Verlust der Anstellung. Einige stehlen auch intellektuelles Eigentum, um die eigene Karriere voranzubringen.
- Firmenfremd: Firmenfremde Insider sind Personen, die dem Unternehmen nicht vollständig angehören, aber denen auf einer gewissen Ebene Zugriff auf dessen Betriebsmittel gegeben wurde. Hier besteht die Gefahr einer Insiderbedrohung darin, dass diese Betriebsmittel entweder direkt beschädigt oder bösartigen Dritten zugänglich werden.
Aktive Rekrutierung von Insidern durch Ransomware-Gangs
Der schwierigste Teil für Ransomware-Gangs bei einem Angriff besteht darin, sich Zugriff auf das Ziel zu verschaffen. Daher agieren viele Gruppen nach dem Ransomware-as-a-Service-Modell. Dabei suchen sich die Ransomware-Entwickler Partner, die das Netzwerk für sie infiltrieren und im Gegenzug einen Anteil am Lösegeld erhalten.
Einige Ransomware-Gruppen haben diesen Zwischenschritt komplett abgeschafft und nutzen stattdessen Insider, um Zugriff auf Unternehmensnetzwerke zu erhalten. Kurz gesagt, sie bezahlen Mitarbeiter großer Unternehmen dafür, dass sie ihnen eine Hintertür öffnen.
Im März 2022 gab Lapsus$ (eine für hochrangige Angriffe auf Samsung, Nvidia, Ubisoft und weitere verantwortliche Ransomware-Gang) bekannt, dass sie Insider in großen Technikkonzernen wie Microsoft, Apple, EA und AT&T rekrutiert hatten, die ihnen Zugriff auf das Firmen-VPN, Citrix oder AnyDesk geben konnten. Derartige Fernzugriffstools werden von Angreifern häufig als erster Einstiegspunkt ins Netzwerk genutzt. Anschließend ist es relativ einfach, die restliche Angriffskette ins Laufen zu bringen.
Lapsus$ ist nicht die erste Ransomware-Gruppe, die mit Insidern arbeitet. 2021 hatte LockBit denjenigen Unternehmensinsidern „Millionen von Dollar“ angeboten, die ihnen Zugriff auf firmeninterne RDP-, VPN- und E-Mail-Konten geben würden.
Wie können Sie Ihr Netzwerk vor Insiderbedrohungen schützen?
Da große Unternehmen häufig Hunderte oder Tausende Mitarbeiter mit den unterschiedlichsten Berechtigungen, Zugriffsrechten und Geräten haben, kann die Überwachung jedes einzelnen Betriebsmittels schnell zu einer Sisyphusarbeit werden.
Stattdessen sollten sich Unternehmen darauf konzentrieren, den Zugriff auf diese Betriebsmittel einzuschränken. Im folgenden finden Sie einige hilfreiche Maßnahmen, um das Risiko durch Insiderbedrohungen zu minimieren.
- Risikobewertung durchführen
Bevor Sicherheitsmaßnahmen umgesetzt werden können, muss ein Unternehmen zunächst erst einmal verstehen, was genau es zu schützen gilt. Mit einer umfangreichen Risikobewertung werden Betriebsmittel und Vermögenswerte sowie deren Schwachstellen und mögliche Gefahren für sie identifiziert und dokumentiert.
Besonders anfällig für Insiderbedrohungen sind Hardware, Software und Kommunikationssysteme sowie Daten, wozu geistiges Eigentum, Kundeninformationen, firmeneigene Software und betriebsinterne Abläufe zählen.
Dieser Leitfaden für Asset-Management (auf Englisch) wurde vom US-Ministerium für Innere Sicherheit bereitgesellt und soll Unternehmen dabei helfen, ihre Vermögenswerte zu bestimmen und zu dokumentieren. - Zugriff beschränken
Unternehmen sollten unbedingt den Zugriff ihrer Mitarbeiter nur auf die Systeme, Anwendungen, Prozesse und Datenträger beschränken, die sie zum Durchführen ihrer jeweiligen Rolle benötigen. Dieses Konzept ist als Prinzip der geringsten Berechtigungen bekannt. Durch Beschränkung des Zugriffs werden die Auswirkungen eines Angriffs begrenzt und damit das Risiko minimiert, dass vertrauliche Daten in die falschen Hände geraten. Laut der Agentur der Europäischen Union für Cybersicherheit (ENISA) wurden im Jahr 2021 34 Prozent der Unternehmen Opfer von Identitätsdiebstahl oder unterbrochenen Versorgungsketten, weil Insider ihre Berechtigungen missbraucht hatten.
Die Zugriffsberechtigungen sollten regelmäßig überprüft werden, um sicherzustellen, dass diese immer noch den jeweiligen Anforderungen der Arbeitskräfte entsprechen, da sich deren jeweilige Verantwortungsbereiche innerhalb des Unternehmens ändern können. Sobald ein Mitarbeiter den Zugriff auf eine Ressourcen nicht länger benötigt, sollte die entsprechende Berechtigung unbedingt entzogen werden.
Das gleiche gilt für Konten von Mitarbeitern, die nicht länger für das Unternehmen arbeiten. Auch sie sollten so schnell wie möglich deaktiviert oder mit einem neuen Passwort gesichert werden. Idealerweise ist die Deaktivierung von Konten ein formeller Schritt beim Offboarding, um die Unternehmensdaten auch beim Ausscheiden eines Mitarbeiters zu schützen. - Anwenderverhalten überwachen
Indem sie das Verhalten der Anwender im Netzwerk überwachen, können Unternehmen leichter verdächtige Netzwerkaktivitäten erkennen und folglich frühzeitig eingreifen, um die Auswirkungen eines Insiderangriffs zu minimieren.
UEBA-Tools (User and Entity Behavior Analytics; Benutzer- und Entitätsverhaltensanalyse), die das Grundverhalten von Menschen und Geräten innerhalb eines Netzwerks nachstellen, können eingesetzt werden, um ungewöhnliche Muster zu erkennen und automatisch IT-Sicherheitskräfte zu benachrichtigen. Ähnlich wirksam kann ein Intrusion Detection System (IDS) – also ein Angriffserkennungssystem – sein, um strategische Punkte innerhalb des Netzwerks zu überwachen und im Falle von bösartigen Aktivitäten oder Richtlinienverletzungen die Administratoren zu informieren.
Einem Informationsbericht von IBM X-Force zu Sicherheitsbedrohungen zufolge werden 40 Prozent der mutmaßlichen Insiderbedrohungen dank Warnmeldungen erkannt, die von internen Überwachungstools ausgegeben wurden. - Cybersicherheitssysteme absichern
Selbst die fortschrittlichsten Cybersecurity-Lösungen sind nutzlos, wenn ein Insider über genügend Berechtigungen verfügt, um diese Sicherheitssysteme schlicht deaktivieren zu können. Um dieses Risiko zu verringern, müssen Unternehmen sicherstellen, dass alle Sicherheitssteuerungen angemessen mit einem Administratorkennwort und/oder mehrstufiger Authentisierung abgesichert sind. Das ist insbesondere für Firmen wie MSPs unerlässlich, die die Cybersicherheit anderer Unternehmen verwalten.
Emsisoft Management Console beispielsweise verfügt über mehrstufige Authentisierung (MFA). Darüber hinaus lässt sich die Emsisoft-Schutzsoftware durch das Einrichten eines Administratorpassworts absichern. Auf diese Weise wird sichergestellt, dass ein Insider, selbst wenn er sich Zugriff auf Emsisoft Management Console verschaffen und in den Besitz eines MFA-Codes gelangen konnte, dennoch die Schutzsoftware weder deaktivieren noch löschen kann.
Um ein Administratorpasswort festzulegen, gehen Sie zu: MyEmsisoft > Workspace > Schutzrichtlinien > Passwort > Ein > Administratorpasswort.Durch diesen Schritt stellen Sie sicher, dass nur Anwender mit Administratorberechtigungen die Emsisoft-Schutzeinstellungen ändern können. Nachdem Sie das Administratorpasswort festgelegt haben, beschränken Sie die Anzahl der Benutzer mit Administratorberechtigungen, indem Sie den Zugriff auf Geräteebene auf „Basiszugriff“ setzen:
MyEmsisoft > Berechtigungsrichtlinien > Gruppe „Administratoren“ > Stufe > BasiszugriffIn diesem Blogartikel erhalten Sie weitere Informationen, wie Sie Ihre Antivirus-Software absichern können. - Netzwerk in Subnetze unterteilen
Bei einer Netzwerksegmentierung wird das Netzwerk in mehrere Teile bzw. Subnetze aufgeteilt, die jeweils selbst wie ein eigenes kleines Netzwerk funktionieren.
Der Datenverkehr zwischen den einzelnen Segmenten lässt sich genau überwachen und steuern, wodurch sich unnötiges Lateral Movement (Seitwärtsbewegung) beschränken lässt. Die Entwicklungsabteilung eines Unternehmens benötigt beispielsweise keinen Zugriff auf Anwendungen, Dateien oder Netzwerkfreigaben des Marketingteams und umgekehrt.
Durch das Abschotten vom restlichen Netzwerk können Insider nicht auf angrenzende Umgebungen zugreifen, wodurch sich folglich die Ausmaße eines Angriffs minimieren lassen. - Physischen Zugriff beschränken
Auch der physische Zugriff auf wichtige Betriebsmittel muss beschränkt werden. Verriegelungen, Sicherheitstore und Vereinzelungsanlagen lassen sich beispielsweise mit Kartenschließsystemen, PIN-Codes, Kennwörtern oder biometrischen Lesegeräten kombinieren, um Insider daran zu hintern, an wichtige IT-Anlangen wie Serverräume zu gelangen.
In relevanten Bereichen sind Videoüberwachungssysteme mit Bewegungssensoren empfehlenswert. Auch Geofencing (also eine virtuelle Begrenzung) ist ein nützliches Hilfsmittel, um zu erkennen, wenn ein vordefinierter Bereich (z. B. das Gelände, das Gebäude oder ein Bereich davon) von einer Person betreten oder verlassen wird.
Alte Geräte und Unterlagen müssen auf sichere Art so gelöscht oder wiederverwertet werden, sodass sich die vormaligen Daten nicht wiederherstellen lassen. Alte Festplatten und andere IT-Geräte, auf denen besonders vertrauliche Informationen gespeichert waren, sollten komplett vernichtet werden, damit die Daten zweifelsfrei unwiederbringlich zerstört wurden. - Bewusstsein für Insiderbedrohung auch bei Mitarbeiterschulungen vermitteln
Unternehmen sollten regelmäßig Schulungen bereitstellen, in denen dem Personal beigebracht wird, wie es potenziell bösartige Aktivitäten im Unternehmen erkennen kann. Häufige Anzeichen für bösartiges Insiderverhalten sind beispielsweise:- Wiederholte Versuche, auf vertrauliche Daten zuzugreifen oder diese herunterzuladen
- Versuche, bestehende Sicherheitsverfahren zu umgehen
- Fernzugriff auf das Netzwerk außerhalb der regulären Arbeitszeiten
- Verschieben oder Kopieren von Dateien an ungewöhnliche Speicherorte
- Zugriffsanfragen auf Ressourcen, die nichts mit der eigentlichen Rolle im Unternehmen zu tun haben
- Datenübertragungen außerhalb der Standardkommunikationskanäle des Unternehmens
- Arbeit außerhalb der regulären Zeiten ohne entsprechende Genehmigung
- Unangemessenes Interesse an Angelegenheiten, die mit dem eigentlichen Aufgabenfeld nichts zu haben
- Genaue Beobachtung des Bildschirms von Kollegen über deren Schulter hinweg
- Mithören von Gesprächen oder Besprechungen
- Ungewöhnliche Anfragen
- Zusammen mit Personalabteilung Cybersecurity-Prozesse gegen Insiderbedrohungen entwickeln
Unternehmen sollten eine positive Berichtskultur fördern und sicherstellen, dass jedes Teammitglied genau weiß, an wen es sich im Falle eines mutmaßlichen Zwischenfalls wenden kann.
Die IT- und Personalabteilung müssen eng zusammenarbeiten, um starke Entlassungs- und Offboarding-Prozesse zu entwickeln. Nur so lässt sich sicherstellen, dass beim Ausscheiden eines Mitarbeiters aus dem Unternehmen sofort alle Konten gesperrt und sämtliche firmeneigenen Geräte übergeben werden.
Je nach Unternehmensgröße und Personalverfügbarkeit ist möglicherweise auch der Aufbau eines Teams zum Bedrohungsmanagement empfehlenswert, das mögliche Insiderbedrohungen überprüft und bei Bedarf eingreift.
Bitte beachten Sie, dass dieser Artikel nicht als umfassende Anleitung zu Insiderbedrohungen gedacht ist, sondern lediglich einen Überblick geben soll. Ausführlichere Informationen zu vorbeugenden Maßnahmen finden Sie auf der Website der Cybersecurity and Infrastructure Security Agency (auf Englisch).
Übersetzung: Doreen Schäfer