Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Insider-Bedrohungen, Teil 3: Mittel und Gelegenheit

Geschrieben von Michael Buckbee | Feb 23, 2015 11:07:00 AM

Wenn Sie schon die letzten Blog-Einträge aus dieser Serie gelesen haben, dann wissen Sie bereits, dass die psychologischen Motive von Insidern so komplex sind, dass man zu ihrer Erklärung ein Flussdiagramm benötigt. Im letzten Blog-Eintrag habe ich mich bereits auf eine Ereignisketten-Grafik bezogen wie sie von Forschern verwendet wird.

Insider, die sich der dunklen Seite zuwenden, haben gegenüber externen Angreifern einen entscheidenden Vorteil: Sie verfügen über Zugriffsrechte für Dateien, Anwendungen, Softwarecode und sensible Daten. Wenn sie in dem für sie zugelassenen Datenbereich bleiben, ist es schwierig, sie zu stoppen – aber nicht unmöglich, wie wir später noch sehen werden.

Doch zurück zu unserem Krimi-Vergleich. Insider-Datenkriminalität ist das digitale Pendant zu „Der Butler war’s“ – ein Insider-Krimi, bei dem ein vertrauter Mitarbeiter zum Täter wird.

Die gefürchtete Logikbombe
Für Insider ist es weniger schwierig, die passende Gelegenheit zu finden. Sie haben die Sicherheitskontrollen bereits passiert und befinden sich im Gebäude. Planung und das richtige Timing sind die einzig verbleibenden Probleme.

Bringen wir zuerst die schlechten Nachrichten hinter uns. Etwa 30 Prozent der Technik-Freaks, die IT-Sabotage begangen haben, verfügten tatsächlich über Zugriffsrechte für die von ihnen manipulierten Dateien und Anwendungen. Die anderen 70 Prozent verschafften sich jedoch zunächst Zugang über das Konto eines weiteren Nutzers.

Diese zweite Art von Insider-Angriffen ließe sich mit Überwachungsmaßnahmen wesentlich leichter aufdecken und verhindern als die erste: Mit der richtigen Software zur Dateianalyse hätten Sie bereits ein Aktivitätsprofil des Nutzers. Sie würden ungewöhnliche Zugriffsaktivitäten also bemerken, sobald der Insider das Konto hackt.

Wahrscheinlich gab es in beiden Fällen Vorboten – seien es Verhaltensänderungen oder technische Aktivitäten.

Wenn Sie IT-Sabotage oder Datendiebstahl durch Insider wirklich unterbinden wollen, müssen Sie auf bestimmte Vorfälle in verschiedenen Abteilungen achten. Personalentscheidungen, Enttäuschung über nicht gezahlte Boni oder erwartete Gehaltserhöhungen, die dann doch nicht eintrafen und natürlich Kündigungen. Das sind gegebenenfalls Anzeichen für einen drohenden Insider-Vorfall. Hier sollte ein Unternehmen bereits erste Maßnahmen zur Überwachung einleiten.

Eins ist klar: Sobald Insider Zugriff auf Code oder sensible Daten haben, ist Sabotage für sie ein Kinderspiel. Sie benötigen dafür nicht einmal Schadsoftware!

Technisch versierte Insider legen häufig Logikbomben, um Dateien zu löschen oder sie hinterlassen Hintertüren im Code, die später benutzt werden. Und natürlich sind Insider in der idealen Position, um Daten zu stehlen.

Aus den Fallakten
Um ein besseres Gefühl für die Sache zu bekommen, habe ich mir einen Fall aus den Akten des CERT genauer angesehen.

Ein Mitarbeiter – nennen wir ihn Bob – war Programmierer mit befristetem Vertrag bei einem Hypothekenfinanzierer. Nachdem ihm das Unternehmen mitgeteilt hatte, dass es seinen Vertrag nicht verlängern würde, schrieb Bob ein Skript, um Überwachungswarnungen und Logins zu deaktivieren und anschließend Passwörter auf allen Unternehmensservern zu löschen.

Das Skript sollte erst drei Monate später aktiviert werden und die Administratoren eines Morgens mit einer ominösen E-Mail vorwarnen. Dr. Evil lässt grüßen!

Nachdem Bob das Unternehmen verlassen hatte, entdeckte glücklicherweise ein Mitarbeiter den Schadcode und löschte ihn.

Es liegen mir zwar keine genauen Zahlen des CERT vor, doch die massenhafte Löschung von Daten scheint eine beliebte Art der IT-Sabotage zu sein. Die Pläne der Täter sind nicht wahnsinnig ausgeklügelt – ihre Philosophie lautet in etwa „Ich gehe unter und du mit mir“.

Sichern Sie Ihre Daten!
In dieser Serie folgt noch ein letzter Beitrag wie man solche Insider-Angriffe verhindern oder doch wenigstens den Schaden begrenzen kann. Doch so viel schon vorab: Will man den Schaden durch Insider-Kriminalität begrenzen, liegt eine Methode auf der Hand, nämlich die ein effektives Backup- und Archivierungsprogramm zu verwenden.

Möglicherweise müssen Sie nicht alle Teile Ihres Dateisystems ständig sichern. Doch für Bereiche, die regelmäßig aktualisiert werden – Software-Repositories, E-Mails, bestimmte Systemkonfigurationsdateien – sind tägliche Backups durchaus sinnvoll und praktisch.

Das andere Problem, wie der jüngste Vorfall bei Sony gezeigt hat, liegt in dem Risiko, das Unternehmen eingehen, wenn sie alle Daten in einem einfach zugänglichen digitalen Format aufbewahren. Oder, wie Bruce Schneier es nennt, Sicherheit durch Datenlöschung.

Der Kompromiss besteht darin, Dateien, die für den täglichen Betrieb nicht unbedingt erforderlich sind, in Offline-Speichern zu archivieren. Um herauszufinden, welche Daten wirklich kritisch sind und welche selten oder nie verwendet werden, ist eine detailliertere Analyse des Dateisystems erforderlich.

Damit kann ein Unternehmen sein Risikoprofil deutlich reduzieren, denn Insider können keine Daten stehlen oder manipulieren, die nicht da sind!

The post Insider-Bedrohungen, Teil 3: Mittel und Gelegenheit appeared first on Varonis Deutsch.