Da Regierungen und Organisationen als Reaktion auf bundesweite Whistleblower-Fälle den Schutz von Daten und Infrastrukturen verstärken, stellt sich die Frage, welche Gefahr von böswilligen und fahrlässigen Insidern ausgeht und welche Arten von Insider-Bedrohungen existieren? Wie kann man den Unterschied erkennen?
Definition von böswillig und fahrlässig
Laut dem Computer Emergency Response Team(CERT) der Carnegie Mellon University ist ein böswilliger Insider ein aktueller oder ehemaliger Angestellter oder Auftragnehmer, der absichtlich den autorisierten Netzwerk-, System- oder Datenzugriff in einer Weise ausnutzt oder überschreitet, die die Sicherheit der Daten, Systeme oder täglichen Geschäftsabläufe des Unternehmens beeinträchtigt.
Nur ein Bruchteil der Insider-Vorfälle wird vorsätzlich geplant und ausgeführt. Viele Vorfälle werden durch Fahrlässigkeit verursacht. Dabei kann es sich um einen Mitarbeiter handeln, der unbeabsichtigt die zulässigen Zugriffsrechte überschreitet und damit möglicherweise anderen ermöglicht, in seinem Namen zu handeln und so dem Unternehmen zu schaden. Eine externe oder böswillige interne Partei kann dann der Schuldige hinter dem endgültigen Vorfall sein. In einer Umfrage von Forrester Research aus dem Jahr 2019 führten 57 % der Befragten ihre internen Angriffe auf böswillige Absichten zurück, 35 % auf unbeabsichtigten Missbrauch und 7 % auf eine Kombination aus diesen Faktoren.
In jüngster Zeit gab es Fälle, in denen Außenstehende versuchten, Insider durch Bestechung und andere Mittel auszunutzen [und scheiterten]. Mitte 2020 bot ein russischer Staatsangehöriger einem Tesla-Mitarbeiter 1 Million Dollar an, um malware in das IT-Netzwerk des Werks des Unternehmens für die Montage von Elektrofahrzeugen in der Nähe von Reno, Nevada, einzuschleusen.
Nach Angaben des FBI planten der russische Staatsangehörige und seine Komplizen, nachdem die malware platziert worden war, auf die internen Dateien von Tesla zuzugreifen, Daten zu exfiltrieren und das Unternehmen zur Zahlung eines Lösegelds zu erpressen. Berichten zufolge gaben die Täter dem Mitarbeiter sogar ein Wegwerfhandy und wiesen ihn an, es im Flugzeugmodus zu lassen, bis das Geld überwiesen sei. Der Mitarbeiter, der direkten Zugang zum Unternehmensnetzwerk hatte, wandte sich jedoch stattdessen an das FBI, um die mutmaßlichen Täter dingfest zu machen.
Böswillige Insider
Bei böswilligen Insidern ist das Ziel sehr oft Zerstörung, Korruption oder Diebstahl. Während Diebstahl oft einen finanziellen Nutzen hat, können Zerstörung und Korruption von verärgerten Mitarbeitern ausgehen und sich gegen das Unternehmen als Ganzes oder gegen bestimmte Mitarbeiter richten. Kurz gesagt, es kommt auf die Absicht an.
Ein verärgerter Insider beschließt beispielsweise, die Anmeldedaten eines Mitarbeiters zu stehlen und sich mit diesen Daten auf fragwürdigen Websites anzumelden. Ziel ist es, den Mitarbeiter zu diskreditieren, indem die IT-Abteilung die Verstöße bemerkt und sie der Personalabteilung oder dem Vorgesetzten des Mitarbeiters meldet. So einfach dieses Beispiel auch zu sein scheint, es enthält eine Reihe gemeinsamer Vorbereitungs- und Ausführungsmuster, die in vielen Fällen von Insider-Bedrohungen zu finden sind. Sie werden oft durch den Einsatz von Technologie aufgedeckt und beobachtet.
Die erste Phase ist die Erkundungs- und Experimentierphase, in der der verärgerte Insider herausfindet, wie er die Anmeldedaten stehlen kann, z. B. durch Google-Websuchen. Anschließend probiert der Insider verschiedene Extraktionsmethoden aus, um sicherzustellen, dass sie in der lokalen Umgebung funktionieren.
Nachdem eine praktikable Methode gewählt wurde, geht der Insider in den Ausführungsmodus über, indem er die Anmeldedaten des Mitarbeiters stiehlt und verwendet. Der letzte Schritt ist die Flucht oder Umgehung durch das Löschen von Beweisen, die auf den verärgerten Insider zurückführen könnten. Der gesamte Prozess sieht dem Vorgehen eines externen Bedrohungsakteurs erschreckend ähnlich.
Fahrlässige Insider
Das nächste Beispiel zeigt, dass ein verärgerter Insider im Namen einer außenstehenden Partei handeln und einem Unternehmen erheblichen Schaden zufügen kann.
Ein Außenstehender bittet den Systemadministrator eines kleinen Technologieunternehmens, gegen Geld eine Überwachungssoftware im Netzwerk des Unternehmens zu installieren. Der kürzlich degradierte Systemadministrator beschließt, die Software zu installieren, bevor er das Unternehmen für eine andere Stelle verlässt.
Auch hier erforscht und experimentiert der Insider zunächst, indem er die Software auf einem Testcomputer installiert, um ihren Netzwerk-Fußabdruck und ihre Entdeckbarkeit im Netzwerk abzuschätzen. In der Überzeugung, dass die Software nicht leicht entdeckt oder zurückverfolgt werden kann, installiert der Insider sie über das Konto eines Mitarbeiters und löscht die Beweise.
Der fahrlässige Insider stiehlt nicht aktiv Informationen und wird nicht direkt von seinen Handlungen profitieren, während der böswillige Insider dies tut.
Wie ernst ist die Bedrohung, die von innerhalb von Organisationen ausgeht?
Interessanterweise handelte es sich bei den häufigsten Kategorien von Insider-Vorfällen um die unbeabsichtigte Offenlegung sensibler Daten durch einen fahrlässigen Insider und den Diebstahl geistigen Eigentums durch einen böswilligen Insider.
Wenn Sie angesichts dieser Zahlen immer noch glauben, dass Ihr Unternehmen sicher ist, sollten Sie bedenken, dass 87 % aller Büroangestellten ihre Daten mitnehmen, wenn sie den Arbeitsplatz wechseln, und dass Unternehmen in der Regel eine jährliche Fluktuationsrate von etwa 3 % haben.
Laut einer Umfrage von Forrester Research im Jahr 2019 gaben 52 % der Entscheidungsträger für Netzwerksicherheit in Unternehmen an, dass in ihren Unternehmen in den letzten 12 Monaten mindestens eine Verletzung sensibler Daten stattgefunden hat. Und fast die Hälfte der Verletzungen sensibler Daten ging auf das Konto interner Akteure, entweder durch schlechte Entscheidungen oder böswillige Absicht. Sicherheitsteams bereiten sich in der Regel auf Insider-Bedrohungen vor, indem sie den Zugriff überwachen und prüfen, in der Hoffnung, dass sie, wenn die proaktive Erkennung fehlschlägt, zumindest in der Lage sind, eine forensische Analyse durchzuführen, wenn ein Vorfall eintritt.
Offensichtlich verschafft dieser Ansatz den Sicherheitsteams selten die nötige Vorlaufzeit, um den Schaden abzuwenden, bevor er entsteht. Der heilige Gral der Resilienz gegen Insider-Bedrohungen besteht in der Fähigkeit, eine Bedrohung zu erkennen, noch bevor sie auftritt, was sowohl durch private Investitionen als auch durch die Forschung der US-Regierung belegt wird. Aber die Pathologie eines böswilligen Insiders ist sehr komplex. Ein Insider trifft in der Regel Vorkehrungen, um sich der Entdeckung zu entziehen. Wie also könnte eine Softwarelösung zuverlässig erkennen, was eine Bedrohung darstellt und was nicht?
Jüngste technologische Fortschritte haben erhebliche Fortschritte bei der Vorhersage oder Antizipation dessen gezeigt, was bisher als unlösbar galt - menschliche Vorlieben, Neigungen und vielleicht sogar Verhalten. Systeme wie Alexa, Siri und Cortana scheinen sogar regelmäßig die Bedürfnisse des Nutzers zu antizipieren, bevor dieser sie überhaupt geäußert hat.
Es ist der Monat der Sensibilisierung für Insider-Bedrohungen. Wenn Sie erfahren möchten, wie Vectra helfen kann, können Sie eine Demo vereinbaren.