Ihr habt mich, aber der Plan geht weiter

Was ein Maulwurf beim Verfassungsschutz mit Insiderbedrohungen zu tun hat „M. ist ein gelernter Bankkaufmann, kam als Quereinsteiger zum Verfassungsschutz und war erst seit April für das BfV tätig. Hier...
Carl Groves
5 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Was ein Maulwurf beim Verfassungsschutz mit Insiderbedrohungen zu tun hat

„M. ist ein gelernter Bankkaufmann, kam als Quereinsteiger zum Verfassungsschutz und war erst seit April für das BfV tätig. Hier versah er seinen Dienst in einer Observationseinheit, die Islamisten beobachten soll. Zuvor war der Familienvater bei einer Bank beschäftigt. Wegen einer Umstrukturierung suchte er “nach einer neuen Herausforderung” – so jedenfalls erklärte es bei seinem Einstellungsgespräch. Die obligatorische Sicherheitsüberprüfung, die Bewerber beim Inlandsnachrichtendienst durchlaufen müssen, hatte M. offenbar problemlos durchlaufen. So verfügte er über einen guten Leumund, hatte sein Haus abbezahlt – und in seinem Umfeld wusste offenbar niemand, dass er zum Islam konvertiert war.“

Das meldete die dpa Anfang Dezember in Bezug auf den mutmaßlich islamistischen Maulwurf, der beim Verfassungsschutz aufgeflogen war. Im Rahmen seiner Tätigkeit sollte M. die islamistische Szene oberservieren. In einem einschlägigen Forum bot er dann selbst als Islamist Informationen zum Kauf an. Ausgerechnet einem anderen verdeckten Ermittler….

Eine der Fragen mit denen sich die Untersuchungskommission nachfolgend beschäftigte: Wie konnte es passieren, dass jemand, der den Plan hatte, das BfV gezielt zu unterwandern, überhaupt bei einer Sicherheitsbehörde eingestellt werden konnte. Der erste Background Check war ja offensichtlich „ohne Befund“.

Innentäter die unterschätzte Gefahr?

Daran schließen sich einige grundsätzliche Fragen an. Es gibt ein ganzes Motivationsbündel, warum Menschen zu Insidern oder besser zu Innentätern werden. Und so unterschiedlich die Entscheidung motiviert ist, so unterschiedlich sind die verschiedenen Typen von Insidern. Glaubt man Forschungsergebnissen und Studien, sieht es fast so aus als könne unter den geeigneten Umständen praktisch jeder zum Insider werden entsprechende Umstände und Möglichkeiten vorausgesetzt. Und wenn ja, was ist er dann aufgrund seiner Position in der Lage zu tun? Auf welche Informationen, Daten und Dateien kann er zugreifen? Was damit (möglicherweise über einen sehr langen Zeitraum unentdeckt) tun?

Bereits im Mai letzten Jahres widmeten BfV und ASW ihre eigene Sicherheitstagung dem Thema „Innentäter“ eine unterschätzte Gefahr in Unternehmen“. Ohne Fragezeichen im Übrigen. Die Liste der Vortragsthemen reicht über die Sicherheitsrisiken durch Insider und warum Innentäter als potenzielle Gefahrenquelle immer noch unterschätzt werden, welche Maßnahmen es gibt, um personelle Risiken und Recruiting besser zu steuern, warum Spionage durch Innentäter noch nie so einfach war wie jetzt, was man präventiv und in der Praxis gegen Insiderbedrohungen tun kann.

Für alles was mit Wirtschafts- und Industriespionage, Datenschutzvergehen und Know-how-Klau zu tun hat sehen Experten im Wesentlichen die sogenannten „3M’s“ als entscheidend an:

  1. Das Motiv
  2. Die Moral
  3. Möglichkeit

In etwa jedem zweiten identifizierten Fall geht die Wirtschaftsprüfungsgesellschaft KPMG von einem Innentäter aus. Und Innentäter sind es auch, die aufgrund ihrer physischen und virtuellen Zugangs- und Zugriffsmöglichkeiten potenziell den größten Schaden anrichten. Zu dieser Gruppe möglicher Innentäter zählen aber auch befristet im Unternehmen tätige Mitarbeiter, fremdes, temporär im Unternehmen tätiges Personal und externe Dienstleister. Sie alle erhalten Zutritts- und Zugangsberechtigungen, die oftmals nicht nur allzu weitreichend sind, sondern gerne bestehen bleiben. Auch, wenn ein Projekt bereits abgeschlossen ist oder der entsprechende Mitarbeiter Abteilung oder Unternehmen vielleicht schon verlassen hat. Aktuelle Sicherheitsstudien wie beispielsweise der Bitkom haben gezeigt, dass von den eigenen Beschäftigten und ehemaligen Mitarbeiter*innen eine große Gefahr ausgeht. Externe Dienstleistern werden in punkto Zugriffsrechte manchmal behandelt wie eigene Mitarbeiter und können sich vergleichsweise ungehindert im Netzwerk bewegen. Eine nicht zu unterschätzende Gefahr.

Insider die neue Malware?

Das Computer Emergency Response Team (CERT) der Carnegie Mellon University in Pittsburgh (Pennsylvania) sammelt systematisch Informationen zu Insidervorfällen in Bezug auf Datendiebstähle. Die Daten stammen sowohl von den US-Geheimdiensten als auch aus der eigenen Beratungstätigkeit des Unternehmens. Im Laufe der Jahre ist eine Datenbank mit 700 gut dokumentierten Insider-Fällen entstanden, die das CERT im Rahmen seiner Forschungstätigkeit analysiert hat. Mittel, Motiv und Gelegenheit sind die entscheidenden Aspekte bei einer Insiderbedrohung, wobei die Motivation besonders aufschlussreich ist.

Sie ist schließlich eng mit bestimmten auch technischen Vorboten verknüpft. So beginnt beispielsweise ein verärgerter Mitarbeiter damit, die IT-Infrastruktur zu sondieren und auszutesten. Vielleicht hat der Insider Zugangsdaten eines anderen Mitarbeiters gestohlen und dadurch umfassende Zugriffsrechte erhalten. Ein nicht unübliches Verhaltensmuster bei externen Angreifern, die sich mithilfe dieser Berechtigungen im Netzwerk verhalten wie legitime interne Nutzer.

Wenn sie dann innerhalb des für die vergebenen Berechtigungen gültigen Bereichs bleiben oder von sich von dort aus in den Besitz erweiterter Rechte wie die eines Administrators bringen, sind diese Aktivitäten nur sehr schwer aufzudecken. Technisch versierte Insider legen häufig sogenannte Logikbomben, um Dateien zu löschen oder sie hinterlassen Hintertüren im Code, die erst später benutzt werden. Und natürlich sind Insider in der idealen Position, um Daten zu stehlen und heraus zu schleusen.

Was unterschiedliche Forschungsergebnisse wie auch die des Computer Emergency Response Teams (CERT) der Carnegie Mellon University (CMU) zeigen, ist, dass Insider ihre Tat im Vorfeld nicht nur planen sondern sozusagen „proben“ und dabei die Sicherheitsvorkehrungen testen. Wenn Unternehmen und Institutionen besser einschätzen können, welche Netzwerkaktivitäten für bestimmte Nutzer normal sind, lassen sich solche Probeläufe von Insidern mithilfe einer Technologie zur Analyse des Nutzerverhaltens oftmals erkennen bevor größerer Schaden entsteht.

Die Dateiaktivitäten zu überwachen ist ein wesentlicher Punkt, um Insiderbedrohungen in den Griff zu bekommen. Außerdem sind die Analyse des Nutzerverhaltens sowie Korrelationsanalysen hilfreich. Fast immer legen Insider wahrnehmbare Verhaltensweisen an den Tag, die erkennbar sind, sobald Unternehmen oder Behörden Profile mit normalen (beziehungsweise als normal definierten) Verhaltensmustern erstellen, die helfen, Abweichungen zu identifizieren. Das gilt sowohl für vorsätzliche Taten als auch für deren billigende Inkaufnahme oder schlicht fahrlässiges Verhalten.

In diesem Zusammenhang rücken Präventivmaßnahmen innerhalb des Recruiting-Prozesses in den Fokus. Hier reicht die Palette des Dargebotenen von Urkundenfälschung über Betrug bis hin zum Missbrauch von Titeln, Berufsbezeichnungen und Abzeichen. Eckhard Neumann, Geschäftsführer der Signum-Consulting GmbH nennt in seinem Vortrag auf der genannten Tagung drei Beispiele:

  • DAX30-Unternehmen: Bewerbung als „IT Internal Auditor“, Ergebnis: Krimineller Background im Ausland
  • Deutsches Mittelstandsunternehmen: Bewerbung als „HR-Manager“, Ergebnis: Abschlüsse gefälscht
  • Chemiekonzern (ohnehin eine der Fokusbranchen für Wirtschafts-/Cyberkriminalität): Bewerbung als „Sicherheitsingenieur“, Ergebnis: Universität existiert nicht

Fälschung und Betrug hat es natürlich schon immer gegeben. Aber wie auch in anderen Bereichen  wirken sich die Veränderungen durch die Digitalisierung und die Internationalisierung des Arbeitsmarktes nicht nur vorteilhaft aus. Und die potenziellen Schäden sind erheblich, darunter Haftungsrisiken und Reputationsschäden.

Risiken senken – Metadaten helfen

Ein weiterer Schlüssel, um Insiderbedrohungen zu minimieren sind die Metadaten wie sie vielfach zwar zur Verfügung stehen, aber (noch) nicht ausreichend genutzt werden.

Das sind zum einen die Benutzer- und Gruppeninformationen (aus Active Directory, LDAP, NIS, SharePoint etc.) sowie die vergebenen Berechtigungen, damit ich weiß, wer auf bestimmte Daten und Informationen überhaupt zugreifen kann (und sollte).

Die Berechtigungen alleine sagen schon eine Menge aus. Hilfreich ist es dann aber vor allem die tatsächlichen Zugriffsaktivitäten zu kennen. Sprich, welcher Benutzer wann wie auf welche Dateien und Daten zugegriffen hat. Und schließlich sollten Unternehmen und Behörden genau wissen, wo die Dateien gespeichert sind, die sensible Daten und kritische Informationen enthalten. Kombiniert man anschließend dieses Wissen mit den Grundlagen der Verhaltensanalyse erhält man ein sehr viel genaueres Bild dessen, was im Netzwerk vor sich geht.  Verdächtige Aktivitäten sind beispielsweise ungewöhnliche Spitzen (in E-Mails, beim Zugriff auf Dateien oder auch Zugriffe, die verweigert wurden), das Zugreifen auf Daten, die für einen Benutzer oder auch bestimmte Konten untypisch sind, mehrere offene Events bei Dateien, die höchstwahrscheinlich Zugangsdaten enthalten, ein ungewöhnlicher Zugriff auf sensible oder veraltete Daten, kritische GPOs sind verändert oder Rechte erweitert worden.

Solche Analysen über mehrere Monate haben darüber hinaus den Vorteil, dass weniger irrelevante Meldungen oder False-Positives ausgegeben werden. Ein übliches Problem, wenn man verschiedene Sicherheitssensoren einsetzt.

Fazit

Insiderbedrohungen haben wie die weitaus meisten Cyberbedrohungen in den vergangenen Monaten weitere Spielarten entwickelt, immer entlang der Megatrends der Digitalisierung. Es wird immer deutlicher, dass Unternehmen, staatliche Stellen und Verbände enger zusammenarbeiten müssen. Nicht zuletzt weil mithilfe des Internets manche Informationen dauerhaft verfügbar bleiben. Dazu Thomas Haldewang, Vizepräsident Bundesamt für Verfassungsschutz im Rahmen der Tagung „Neue Gefahren für Informationssicherheit und Informationshoheit am 9.Juni 2016: „Diese können, losgelöst von der Herkunftsquelle, verändert, verkürzt, manipuliert oder in einem anderen Kontext zitiert oder genutzt werden, sodass der Rechteinhaber die Hoheit und Steuerbarkeit über seine eignen digitalen Inhalte und Informationen einbüßt.“ Wir Angriffe motiviert sind, lässt in vielen Fällen verschiedene Antworten zu:

– Spionage, Abschöpfen und Weiterverwenden von Informationen

– Die Funktionsfähigkeit von Unternehmen, Behörden/staatlichen Stellen und kritischen Infrastrukturen beeinträchtigen oder komplett lahmlegen

– Ein politisches Signal setzen, Institutionen, Behörden oder Unternehmen bloßstellen

Was die Wirtschaft anbelangt trägt die elektronische Vernetzung einerseits dazu bei, ganze Wertschöpfungsketten zu verbessern. Industrie 4.0 und das Internet der Dinge können gerade im industriellen Bereich zu einem enormen Wachstumsmotor werden. Allerdings erhöhen sich auch die damit verbundenen Risiken. Wirtschaftsschutz muss also immer konzertierte Aktion sein.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

aktuelle-bka-studie:-das-sind-die-täter-im-bereich-cyberkriminalität
Aktuelle BKA-Studie: Das sind die Täter im Bereich Cyberkriminalität
Bereits seit drei Jahren veröffentlicht das BKA Untersuchungen zum Thema „Hacktivismus“ an denen auch das Bundesamt für Verfassungsschutz, das Verteidigungsministerium und das „Nationale Cyber-Abwehrzentrum“ (NCAZ) beteiligt sind. Im Mittelpunkt der...
cloudpro:-ist-geheimhaltung-das-fehlende-glied-bei-der-cloud-sicherheit?
CLOUDPRO: IST GEHEIMHALTUNG DAS FEHLENDE GLIED BEI DER CLOUD-SICHERHEIT?
Davey Winder von CloudPro hat in dieser Woche einen interessanten Artikel verfasst, der auf einer der wichtigsten Erkenntnisse unserer jüngsten zu Informations-Entropie aufbaut. Wir haben herausgefunden, dass 44 % der Befragten...
ihre-daten-als-spiegel
Ihre Daten als Spiegel
von David Gibson Stellen Sie sich vor, die Verfassung der Vereinigten Staaten wäre in Microsoft Word geschrieben worden – mit aktivierter Funktion „Änderungen nachverfolgen“ und Kommentaren – und jede überarbeitete...
datanywhere-ab-sofort-für-bis-zu-fünf-nutzer-kostenfrei-downloaden
DatAnywhere ab sofort für bis zu fünf Nutzer kostenfrei downloaden
Wir haben es bereits letzte Woche angekündigt… und inzwischen steht DatAnywhere zum kostenlosen Download für bis zu 5 Nutzer zur Verfügung. DatAnywhere verwandelt die Filesharing-Infrastruktur eines Unternehmens in eine private...