Insider-Risiken: Anleitung für CISO

Gemäß des kürzlich erschienenen Verizon DBIR (Data Breach Investigations Report) sind Insider mitschuldig an 28 % der Datenverstöße im Jahr 2017. Aufgegliedert auf vertikale Märkte sind Insider verantwortlich für 54 % der Datenverstöße im Gesundheitswesen und 34 % in der öffentlichen Verwaltung. Hacken (48%) und Malware (30%) waren beim Datendiebstahl die beiden vorrangigsten Taktiken, während menschliches Versagen (17%) und Missbrauch von Privilegien (12%) auch den Cut überstehen.

Was bedeutet das alles? Insider haben Fähigkeiten und Privilegien, die entweder von ihnen selbst oder durch andere missbraucht werden können, um wichtige Daten zu stehlen.

Was ist ein Insider-Risiko?

Ein Insider-Risiko beschreibt einen Sicherheitsvorfall, der innerhalb des betroffenen Unternehmens verursacht wird. Das bedeutet nicht, dass der Täter ein aktiver Mitarbeiter oder eine Führungskraft im Unternehmen ist. Es könnte ein Berater, ein ehemaliger Mitarbeiter, ein Geschäftspartner oder ein Vorstandsmitglied sein.

Jeder, der Insider-Wissen besitzt und/oder Zugriff auf vertrauliche Daten, die IT oder Netzwerkressourcen des Unternehmens hat, sollte als potenzielles Insider-Risiko betrachtet werden.

Insider-Risikotypen

Wer also sind mögliche Täter bei einer Insider-Bedrohung?

Als erstes haben wir den Verräter: Das ist ein Insider, der böswillig Daten stiehlt. In den meisten Fällen handelt es sich dabei um einen Mitarbeiter oder Vertragspartner – jemand, der im Netzwerk sein soll und über legitime Anmeldeinformationen verfügt, diesen Zugriff jedoch aus Spaß oder aus eigenem Nutzen missbraucht. Wir haben alle möglichen Arten von Motiven gesehen, die ein solches Verhalten steuern.

Als nächstes haben wir den Unbedarften: Das ist nur ein normaler Mitarbeiter, der einen Fehler macht, der von einem Übeltäter ausgenutzt wird: ganz gleich, ob es sich dabei um einen verloren gegangenen Laptop oder das versehentliche Senden eines sensiblen Dokuments per E-Mail an die falsche Person handelt.

Und schließlich haben wir den Betrüger: Während sich der Verräter vom legitimen Insider zum Schurken entpuppt, handelt es sich bei dem Betrüger in Wirklichkeit um einen Outsider, der die Anmeldeinformationen eines Insiders übernommen hat. Er ist in Ihrem Netzwerk und verhält sich wie ein legitimer Mitarbeiter. Sein Ziel ist es, die größtmögliche Menge an Informationen zu finden, auf die sein „Host“ Zugriff hat und unbemerkt Daten exfiltriert.

Übliche Verhaltensindikatoren einer Insider-Bedrohung

Wie identifizieren Sie eine Insider-Bedrohung? Es gibt häufige Verhaltensweisen, die eine Insider-Bedrohung nahelegen – ganz gleich, ob digital oder leibhaftig. Diese Indikatoren sind wichtig für CISOs, Sicherheitsbeauftragte und ihre Teams bei der Überwachung, Nachverfolgung und Analyse, damit sie potenzielle Insider-Risiken identifizieren können.

Digitale Warnsignale

• Herunterladen oder Zugreifen auf beträchtliche Datenmengen
• Zugreifen auf sensible Daten, die nicht zur eigentlichen Tätigkeit gehören
• Zugreifen auf Daten, die sich außerhalb des Verhaltensprofils befinden
• Mehrere Anfragen für den Zugriff auf Ressourcen, die nicht zur eigentlichen Tätigkeit gehören
• Nutzung nicht autorisierter Speichergeräte (z. B. USB-Sticks oder Disketten)
• Netzwerk-Crawling und Suchen nach sensiblen Daten
• Datenhorten, Kopieren von Dateien aus sensiblen Ordnern
• Senden von sensiblen Daten per E-Mail außerhalb des Unternehmens

Menschliche Warnsignale

• Versuche, die Sicherheitsmaßnahmen zu umgehen
• Häufige Anwesenheit im Büro außerhalb der Geschäftszeiten
• Zurschaustellen von unzufriedenem Verhalten gegenüber Kollegen
• Verletzung von Unternehmensrichtlinien
• Gespräche über Kündigung oder neue berufliche Möglichkeiten

Solange die menschlichen Warnsignale ein Anzeigen für potenzielle Probleme sein können, sind digitale Untersuchungen und Analysen der effektivste Weg zum Schutz vor Insider-Risiken. Die Analysen des Nutzerverhaltens  (UBA=User Behavior Analytics) und Sicherheitsanalysen helfen, potenzielle Insider-Bedrohungen zu erkennen, zu analysieren und Warnmeldungen auszugeben, sobald sich ein Benutzer verdächtig verhält oder entgegen seiner typischen Verhaltensweisen agiert.

Bekämpfung von Insider-Bedrohungen

Ein Datenverstoß mit 10 Millionen Datensätzen kostet ein Unternehmen etwa 3 Millionen US-Dollar – und Vorsicht die Mutter der Porzellankiste.

Da sich Insider immer innerhalb befinden, können Sie sich beim Schutz Ihres Unternehmen nicht auf herkömmliche Sicherheitsmaßnahmen auf Perimeterebene verlassen. Und da es sich um einen Insider handelt: Wer ist in erster Linie für den Umgang mit der Situation verantwortlich? Ist es die IT, die Personalabteilung oder ist es gar ein rechtliches Problem? Oder betrifft es alle drei und das Team des CISO? Die Erstellung und Umsetzung einer Richtlinie als Maßnahme bei potenziellen Insider-Risiken muss von der Unternehmensspitze kommen.

Ein richtiger Ansatz ist das A und O, um Insider-Bedrohungen auszumachen und zu beheben – zudem sind die richtigen Lösungen zum Erkennen und zum Schutz von Insider-Bedrohungen erforderlich.

Schritte für einen Vorsorgeplan gegen Insider-Bedrohungen:

1. Dateien, E-Mails und Aktivitäten in Ihren wichtigsten Datenquellen überwachen
2. Identifizieren und Erkennen, wo sich Ihre sensiblen Daten befinden
3. Bestimmen, wer Zugriff auf diese Daten hat und wer darauf Zugriff haben sollte
4. Implementieren und Umsetzen eines Privilegienmodells auf Basis der minimalen Rechtevergabe innerhalb Ihre Infrastruktur
   1. Löschen globaler Zugriffsgruppen
   2. Einsatz von Daten-Verantwortlichen (data owners), die die Berechtigungen für ihre Daten verwalten und temporären Zugriff rasch löschen
5. Anwenden von Sicherheitsanalysen zur Warnung bei abnormalem Verhalten, einschließlich:
   1. Versuche, auf sensible Daten zuzugreifen, die nicht zur normalen Tätigkeit gehören
   2. Versuche, Zugang zu Berechtigungen auf sensible Daten außerhalb normaler Prozesse zu erhalten
   3. Erhöhte Dateiaktivität in sensiblen Ordnern
   4. Versuche, Systemprotokolle zu ändern oder große Datenmengen zu löschen
   5. Große Datenmengen außerhalb der normalen Tätigkeit per E-Mail aus dem Unternehmen versenden
6. Sensibilisieren und schulen Sie Ihre Mitarbeiter, damit sie in Richtung Datensicherheit denken

Es ist gleichermaßen wichtig, einen Reaktionsplan bereitzustellen, um auf einen potenziellen Datenverstoß reagieren zu können:

1. Risiken erkennen und Maßnahmen ergreifen
   1. Benutzer bei verdächtigen Aktivitäten oder Verhalten deaktivieren und/oder abmelden
   2. Bestimmen, welche Benutzer und Dateien betroffen sind
2. Präzision (und Schwere) der Bedrohung prüfen und entsprechende Teams (Rechtsabteilung, Personalabteilung, IT, CISO) warnen
3. Gegenmaßnahmen
   1. Gelöschte Daten bei Bedarf wiederherstellen
   2. Alle weiteren Zugriffsrechte, die vom Insider verwendet wurden, entfernen
   3. Sämtliche Malware, die während des Angriffs genutzt wurde, scannen und entfernen
   4. Sämtliche umgangene Sicherheitsmaßnahmen erneut aktivieren
4. Genaue Untersuchungen über den Sicherheitsvorfall durchführen
5. Im Bedarfsfall Compliance- und Regulierungsbehörden informieren

Das Geheimnis zum Schutz vor Insider-Bedrohungen ist die Überwachung Ihrer Daten, das Sammeln von Informationen und das Auslösen von Warnsignalen bei abnormalem Verhalten.

Die Varonis Datensicherheitsplattform identifiziert, wer Zugriff auf Ihre Daten hat, klassifiziert Ihre sensiblen Daten, warnt Ihre Teams vor potenziellen Bedrohungen und hilft bei der Verwaltung eines Privilegienmodells auf Basis der minimalen Rechtevergabe. Mit den richtigen Ressourcen können CISOs/CIOs Transparenz in hochriskante Benutzer sowie die Informationen erhalten, die sie zur Vorbeugung von Insider-Risiken benötigen.