Blog

Wenn die Bedrohung im Unternehmen lauert – Insider Threat

/ Kategorie: Security Awareness

Ein hochaktuelles Thema, leider bei vielen Unternehmen ein wenig tabuisiert, da man nicht gerne darüber spricht. Teilweise sind es Peinlichkeiten oder auch der entlassene Mitarbeitende, welcher noch kurz vor seinem Abgang einen Schaden anrichtet. Verständlich, dass Unternehmen Insider Threat Vorfälle nicht in die breite Öffentlichkeit streuen möchten. Ein sehr menschliches Thema, welches mit besonderem Feingefühl angepackt werden sollte.

Unternehmen werden immer häufiger Opfer von Cyberangriffen, bei denen Einzelpersonen oder Gruppen Schwachstellen ausnutzen und sensible Datenbestände stehlen. Aber es gibt noch eine andere, häufig unterschätzte Bedrohung: Unternehmensmitarbeitende, Lieferanten oder andere Personen aus dem Inneren des Unternehmens. Ein Insider Threat kann sowohl absichtlich als auch unabsichtlich entstehen. Beispiele für absichtliche Insider Threats sind Industriespionage oder Sabotage. Unabsichtliche Insider Threats entstehen hingegen durch Fehler oder unachtsames Verhalten, zum Beispiel durch das Öffnen einer Phishing-E-Mail. Insider Threats sind ein ernstes Sicherheitsproblem, da sie oft schwer zu erkennen und zu verhindern sind. Viele Unternehmen haben jedoch keine Strategie, um mit diesem Risiko umzugehen. Es ist wichtig, dass Unternehmen ihre Mitarbeitenden über die Gefahren von Insider Threats informieren und Massnahmen ergreifen, um das Risiko zu minimieren.

Die Arten von Insider Threat

 

  • Fahrlässigkeit
    Fahrlässigkeit ist kein böswilliger Akt. Dennoch kann die Unvorsichtigkeit von Mitarbeitenden dazu führen, dass Social Engineering oder Phishing Angriffe erfolgreich sind. Diese Art von Insider Threat lässt sich leicht mit der Schaffung einer hohen Awareness unter den Mitarbeitenden, effizienten Spamfiltern, guter Endpoint Security und Incident Response lösen.
     
  • Böswilligkeit
    Böswillige Handlungen haben in der Regel unterschiedliche Gründe. Dies kann ein Rachebedürfnis nach einer Kündigung sein. Es kann sich aber auch um den Wunsch handeln, sich finanziell zu bereichern, etwa durch den Verkauf von Daten oder Systemzugängen. Unabhängig von der Motivation kann der Schaden für das betroffene Unternehmen enorm ausfallen.
     
  • Wenn Passwörter zur Falle werden
    Nehmen wir an, Sie mussten Ihrem System Engineer kündigen, welcher über sämtliche Passwörter für Root-Zugänge und Administratorenrechte verfügt. Das sind alles privilegierte Zugänge, mit denen allerhand Schabernack getrieben werden kann. Darum sollte Sie in solchen Fällen sämtliche Root- und Admin-Konten mit neuen Passwörtern versehen. Bei vielen Passwörtern und Zugängen kann das recht schwierig werden. Hier hilft eine zentrale Zugriffskontrolle, welche unkompliziert angepasst werden kann. Multifaktorauthentifizierung (zum Beispiel via Smartcard oder Smartphone) kann ebenfalls gut helfen, denn damit kann der zweite Faktor relativ problemlos gesperrt werden.
     
  • Malwareangriff
    Böswillige Mitarbeitende können Malware in das Unternehmen reinschmuggeln. So reicht teilweise ein USB-Stick oder der Zugang zu einer File-Transferplattform. Vorgesorgt werden kann dagegen, indem der USB-Port der einzelnen Clients und der Server gesperrt wird. Allerdings kann der Angriff auch über eine externe Quelle erfolgen. Diesbezüglich sollte überlegt werden, welche Seiten oder Filesharing-Plattformen dem Benutzer zugänglich sein sollen.
     
  • Abfluss von Daten
    USB-Sticks und externe File Transportplattformen wie Dropbox oder private OneDrive sind einfache Mittel, Unternehmensdaten aus dem Unternehmen zu stehlen. Bei Geschäftsgeheimnissen oder Kundendaten wird das sehr heikel. Vor allem beim Zweitgenannten kommt ein Risiko in Sachen Datenschutz dazu. Aber natürlich will das Unternehmen mit einem Abgang eines Mitarbeitenden keine Kunden verlieren, umso ärgerlicher, wenn dann die gesamte Kundenliste durch den abtretenden Mitarbeitenden zum neuen Arbeitgeber mitgenommen wurde. Um das zu verhindern, sollten USB-Ports bei den Clientgeräten gesperrt werden. Ebenso sollte der Zugriff auf die entsprechenden privaten Clouddienste unterbunden werden.

Prinzipien umsetzen und gezielte Kontrollen statt Kontrollwahn

Es bringt nichts, die Mitarbeitenden wie wild überwachen zu wollen. Vielmehr sollten gezielt Kontrollen implementiert werden, die dabei helfen, die Gefahr einzudämmen. Nebst dem beschriebenen technischen Ansatz macht es Sinn, einen Leaver-Prozess zu implementieren, welcher genaue Schritte und Szenarien beinhaltet, wenn ein Mitarbeitender das Unternehmen verlässt. Es gilt, möglichst an alle Probleme zu denken, wie etwa Zutritt zum Gebäude, Passwörter, Dokumente und Kundendaten. Präventiv hilft sicher auch das need-to-know-Prinzip. Hierbei geht es darum, dass ein Mitarbeitender nur so viel wissen soll, wie er für seine Arbeit benötigt. Je weniger Zugriff ein Mitarbeitender hat, desto weniger Informationen kann er aus dem Unternehmen abfliessen lassen. Bezüglich Berechtigungen bedeutet dies klar, nur so viel Berechtigung wie er braucht. Sprich: ein System Engineer, welcher nur zwei Systeme betreut, braucht nur diese beiden Admin-Passwörter. Er benötigt nicht standardmässig alle Passwörter für alle Server.

Die Anzeichen erkennen

Es gibt einige Anzeichen, die darauf hindeuten können, dass ein Angestellter oder ein externer Partner ein Sicherheitsrisiko darstellen. Dazu gehören verdächtige Aktivitäten wie ungewöhnliche Arbeitszeiten, unerklärliche Abwesenheiten oder eine veränderte Arbeitsmoral. Auch wenn sich ein Mitarbeitender plötzlich für Sicherheitsfragen interessiert oder versucht, Zugang zu sensiblen Bereichen zu erhalten, ohne dafür berechtigt zu sein, kann dies ein Hinweis auf Insider-Gefahr sein. Typische Indikatoren sind:

  1. Ungewöhnliche Anmeldungen
    Auf den ersten Blick mag es vielleicht harmlos erscheinen, doch Unternehmen, die ihre Authentifizierungsprotokolle nicht regelmässig checken, laufen Gefahr Opfer von Hackerangriffen zu werden. Denn häufig füllen sich diese Protokolle mit sogenannten "Test"- oder "Admin"-Benutzernamen, die eigentlich gar nicht den Anforderungen entsprechen. Auch wenn Anmeldungen von ungewöhnlichen Orten oder zu ungewöhnlichen Zeiten erfolgen, kann dies ein Indiz für Probleme sein. Kurzum: alles was Ihnen ungewöhnlich vorkommt, sollte dringend untersucht werden!
     
  2. Verwendung oder versuchte Verwendung von nicht autorisierten Anwendungen
    Wenn Sie Ihre Zugriffsrechte richtig strukturieren, haben Sie bestimmte Personen oder Rollen, die Zugriff auf die erforderlichen Anwendungen erhalten. Wenn sich Unbefugte jedoch Zugang zu diesen Anwendungen und den darin enthaltenen sensiben Daten verschaffen, kann dies für Ihr Unternehmen eine Verletzung von katastrophalem Ausmass bedeuten. Eine Zunahme der Versuche, in diese Systeme einzuloggen, ist daher ein klares Alarmzeichen.
     
  3. Zunahme der erweiterten Zugriffsrechte
    Der Zugriff auf erweiterte Systemrechte ist eine ernsthafte Bedrohung für Ihr Unternehmen, da er Zugang zu sensiblen Informationen gewährt, die niemals in die falschen Hände gelangen sollten. Es kommt vor, dass Personen mit administrativen Rechten Privilegien an andere vergeben, die sie nicht haben sollten. Eine steigende Zahl von Personen mit dieser Art von erweiterten Zugriffsrechten könnte bedeuten, dass sie ungehindert auf Ihren Servern umherwandern und genau die richtigen Daten suchen, um sie im Dark Web zu verkaufen.
     
  4. Übermässiges Herunterladen von Daten
    Wenn Ihr IT-Team die Bandbreitennutzung und das Herunterladen von Daten aus dem internen Netzwerk oder der Cloud-Infrastruktur im Griff hat, ist es wahrscheinlich normal, dass das Vertriebsteam grosse Marketingdateien herunterlädt oder die Personalabteilung regelmässig grosse Mitarbeitenden- oder Gehaltslistendatenbanken speichert. Wenn Sie jedoch feststellen, dass in erheblichem Umfang Daten heruntergeladen werden, die sich nicht erklären lassen, oder die zu ungewöhnlichen Tageszeiten oder von seltsamen Orten heruntergeladen werden, an denen Sie normalerweise keine Geschäfte tätigen, ist etwas nicht in Ordnung.
     
  5. Ungewöhnliches Verhalten der Mitarbeitenden
    Achten Sie darauf, wie sich Ihre Mitarbeitenden verhalten. Normalerweise ist ein Verhaltensindikator ein guter Weg, um zu erkennen, ob etwas nicht stimmt. Wenn also jemand, der sonst ein tadelloser Mitarbeitender ist und gut mit anderen klarkommt, plötzlich anders agiert, sollten Sie hellhörig werden. Es kann natürlich sein, dass im Hintergrund mildernde persönliche Umstände vorliegen, aber unerklärlich schlechte Leistungen oder Streitigkeiten mit Kollegen oder Vorgesetzten über Richtlinien könnten bedeuten, dass Sie diese Person in naher Zukunft besonders genau beobachten sollten. Vor allem, wenn sie oder er auf eine finanzielle Notlage oder einen unerklärlichen finanziellen Gewinn hindeutet oder unerwartet kündigt, hat sie oder er möglicherweise vor, Ihr Unternehmensvermögen missbräuchlich zu verwenden.

Die Wichtigkeit von Security Awareness

Aber kommen wir auf einen besonders wichtigen Punkt zurück: die Fahrlässigkeit. Hier hilft klar die Schulung der Mitarbeitenden. Awareness-Schulungen sollten ein stetiger Prozess sein und nicht eine Pflichtübung. Am besten schaltet man Kampagnen über zwei bis drei Jahre mit längeren Pausen von Übungen dazwischen.

Personenzertifizierung

Eine Personenzertifizierung bei der Einstellung kann helfen, über vergangene Straftaten oder auch Betreibungen informiert zu sein. Leider ist es oft so, dass Menschen mit Geldproblemen ein einfaches Ziel für Erpresser darstellen. Wichtig hierbei ist es jedoch, nicht generell zu kriminalisieren. Gewisse Straftaten haben nichts mit dem Job zu tun und können irrelevant sein.

Zusammen. Sicher.

Haben Sie Angst vor Insider Threat? Wir helfen Ihnen, gegen Insider Threat Szenarien gewappnet zu sein. Ein Telefonanruf oder E-Mail reichen aus und Ihre Sorgen um Insider Threats gehören der Vergangenheit an. Wir haben das Know-how und die Technologien, um Sie wirksam zu unterstützen.
Kontaktieren Sie uns, unsere Cybersecurity-Experten berate Sie gerne.

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.