Insider-Bedrohungen
Insider-Bedrohungen: Auf diese 4 Punkte kommt es an
Von Michael Scheffler, Country Manager DACH von Varonis Systems
Die Gefahr lauert im Inneren: Gemäß dem 2023 Insider Threat Report wurde mehr als jedes zweite Unternehmen im Jahr 2022 Opfer eines Insider-Angriffs. Unter einem Insider ist dabei aber nicht nur ein böswilliger Mitarbeitender zu verstehen, der beispielsweise für seinen nächsten Job vertrauliche Informationen stiehlt. Auch Angreifer, die über entsprechende Zugänge verfügen, die sie per Phishing erbeutet oder im Darknet gekauft haben, gelten als Insider.
Was macht diese Art von Angriffen so gefährlich? Haben Cyberkriminelle einen scheinbar legitimen Zugang, verfügen sie mit ihm auch über bestimmte Zugriffsrechte. Und die sind in aller Regel sehr weitgefasst: Gemäß dem aktuellen SaaS-Datenrisiko-Report ist in einem durchschnittlichen Unternehmen einer von 10 (auch sensitiven) Datensätzen für alle Mitarbeitende – und damit auch für Insider – zugänglich. Um diese Angriffe dennoch erkennen und abwehren zu können, sollten Sicherheitsverantwortliche besonders auf vier Bereiche achten:
Wichtige und schützenswerte Daten identifizieren
Nicht alle Daten eines Unternehmens sind gleich wichtig. Fällt der Kantinenplan in die falschen Hände, hat dies offensichtlich andere Auswirkungen als der Diebstahl sensitiver Produktions- oder Personaldaten. Entsprechend ist die Grundlage für alle Schutzmaßnahmen die Identifizierung und Klassifizierung der sensitiven und wertvollsten Daten, um so ihren Schutz im Rahmen einer Datensicherheitsstrategie zu priorisieren. Dies kann allein schon wegen der bloßen Menge an Dateien in einem Unternehmen nur automatisiert erfolgen.
Zugriffsrechte regulieren
Jeder Mitarbeitende sollte nur auf die Daten zugreifen können, die für die Arbeit auch tatsächlich benötigt werden. Auf diese Weise wird der Schaden, den ein kompromittiertes Konto anrichten kann, deutlich minimiert. HR-Manager benötigen keinen Zugriff auf Marketingpläne, Vertriebsmitarbeitende keinen auf die Buchführung. So plausibel dieser Least-Privilege-Ansatz auch ist, wird er in der Praxis doch zu selten umfassend umgesetzt. Die Cloud und die mit ihr verbundene Zusammenarbeit hat die Situation zudem deutlich verschärft. Hierdurch verantwortet nicht mehr die IT-Abteilung die Zugriffsrechte, sondern in erster Linie die User. Dies führt zu einem exzessiven Teilen von Daten. So verfügt ein durchschnittliches Unternehmen über mehr als 40 Millionen eindeutige Berechtigungen für SaaS-Anwendungen. Dadurch sind Sicherheitsverantwortliche kaum in der Lage, die Datenrisiken zu überwachen und entsprechend zu reduzieren. Vielmehr müssen sie über Transparenz in allen Datenspeichern (sowohl in der Cloud als auch lokal) verfügen und Zugriffsrechte korrelieren können, um diese zu kontrollieren.
Auffälliges Nutzerverhalten erkennen
Insider verraten sich (ausschließlich) durch ihr Verhalten. Sicherheitsverantwortliche müssen entsprechend in der Lage sein, „normales“ von „auffälligem“ Verhalten zu unterscheiden. Hierbei spielt der Kontext eine entscheidende Rolle. Greift etwa ein User plötzlich von einem anderen Standort auf Dateien zu, muss dies zunächst nichts bedeuten. Der Mitarbeitende könnte ja beispielsweise auf Geschäftsreise sein. Kommt dann aber der Zugriff auf Informationen hinzu, auf die normalerweise nie zugegriffen wird, ist höchste Vorsicht geboten, insbesondere, wenn dies in erheblichem Umfang geschieht. Hier sollten Sicherheitsverantwortliche in der Lage sein, dies nicht nur zu erkennen, sondern auch automatisiert zu stoppen.
Nicht mehr benötigte Konten deaktivieren
Im Durchschnitt verfügen Unternehmen über 1.197 inaktive Konten. Ganz ähnlich verhält es sich auch mit Gast-Zugängen: Von den durchschnittlich 1.322 Konten sind auch nach 90 Tagen Inaktivität noch 56 Prozent nutzbar, nach 180 Tagen immerhin noch 33 Prozent. Für Angreifer sind diese legitimen Konten ideal, da ihre Nutzung in aller Regel nicht weiter auffällt und sie über bestimmte Berechtigungen verfügen. Entsprechend können sie von Cyberkriminellen genutzt werden, um sich in aller Ruhe und ohne Aufmerksamkeit zu erzeugen umzuschauen, nach interessanten Daten zu suchen und diese zu entwenden. Aus diesem Grund müssen Unternehmen ihre Off-Boarding-Prozesse verbessern und so gewährleisten, dass ehemalige Partner und Mitarbeitende keinen Zugang mehr besitzen.
Jedes System, jedes Konto und jede Person kann ein potenzieller Angriffsvektor sein. Mit der zunehmenden Cloud-Nutzung hat sich die Angriffsfläche nochmals enorm vergrößert. Es kommt also nicht mehr darauf an, Cyberkriminelle „draußen“ zu halten, da es dieses „Draußen“ und damit auch den klassischen Perimeter nicht mehr gibt. Wichtig ist es, dafür zu sorgen, dass Angreifer in den eigenen Umgebungen keinen (größeren) Schaden anrichten können. Und dieser Schaden bezieht sich zumeist auf die Daten, da sie das Hauptziel der allermeisten Angriffe sind. Entsprechend sollten sie auch das Zentrum der Sicherheitsstrategie bilden. Mithilfe eines daten-zentrierten Sicherheitsansatzes sind Security-Teams in der Lage zu erkennen, wenn diese Risiken ausgesetzt sind, exfiltriert oder manipuliert werden – und können diese Angriffe automatisiert innerhalb kürzester Zeit stoppen.