Die unterschätzte Gefahr: Innentäter-Angriffe - und wie sich Ihr Unternehmen davor schützen kann
von Svenja Koch
Zahlen und Fakten zum Innentäter-Angriff
Insider-Bedrohungen zählen zu den stärksten Gefährdungen der Integrität von Unternehmen. Entgegen der oft vertretenen Meinung, „Gefahren kommen immer von außen, daher müssen die Systeme auch primär von außen abgesichert werden“, birgt die interne IT-Infrastruktur erfahrungsgemäß das deutlich größere Risiko.
Typischerweise befinden sich in internen Netzen oft zu wenig wirksame Kontrollmechanismen, nachlässig gewartete oder sogar nicht dokumentierte Systeme und eine riskante Berechtigungsvergabe. Daher ist es einem Angreifer aus dieser Perspektive sehr häufig möglich, in kurzer Zeit die Kontrolle über die gesamte IT-Umgebung zu erlangen. Tatsächlich muss es sich bei einem Innentäter nicht einmal um einen eigenen Mitarbeiter handeln, sondern auch externe Dienstleister oder gekaperte interne PCs können zu Innentäter-Angriffen führen.
Mangelnde Sicherheitsstandards in der Organisation sowie unzureichend implementierte Sicherheitsvorkehrungen machen es Innentätern leicht, an sensible Daten zu gelangen und sich diese zu ihren Zwecken zunutze zu machen.
Wissenswertes aus dem Insider Threats Report*
- Im Rahmen einer Studie des Insider Threats Report gaben fast 90 % der befragten Unternehmen an, sich von einem potenziellen Innentäterangriff bedroht zu fühlen. Dabei schätzten sie Nutzer mit erweiterten Zugriffsberechtigungen als größtes Risiko ein (37 %). Ähnlich relevant ordneten sie Bedrohungen ein, die von der steigenden Zahl von Endgeräten ausgehen, mit denen man auf vertrauliche Daten zugreifen kann (36 %). Auch eine zunehmend komplexer werdende IT-Infrastruktur bietet ihrer Ansicht nach eine vielschichtige Angriffsfläche für Insider-Bedrohungen (35 %).
- 53 % der Befragten gaben an, allein in den zurückliegenden zwölf Monaten Opfer eines Insider-Vorfalls geworden zu sein. 27 % waren überzeugt davon, dass Insider-Angriffe zugenommen haben.
- 64 % der Unternehmen bestätigten, ihre IT-Sicherheitsvorkehrungen zwecks Erkennung von Insider-Bedrohungen erhöht zu haben. Eine der wichtigsten Methoden ist hierbei die technische Überwachung des Benutzerverhaltens, z.B. mit Hilfe von User Behaviour Analytic Tools.
Das Risiko, Opfer von Know-how-Abfluss durch einen internen Hackerangriff zu werden, wird von den meisten Unternehmen stark unterschätzt. Gelangen Informationen wie Kundenverträge oder vertrauliche Daten in falsche Hände, drohen dem betroffenen Unternehmen empfindliche Bußgelder und langfristige Imageschäden.
Definition eines Innentäters
Generell ist zwischen zwei Gruppen von Innentätern zu unterscheiden: Der bewusst agierenden Gruppe und der Gruppe, die aus mangelndem Wissen, Gedankenlosigkeit oder unvorsichtigem Handeln die Unternehmenssicherheit ihres Arbeitgebers riskieren.
Bei der vorsätzlich handelnden Gruppe von Innentätern spielen destruktive Motive oftmals eine wichtige Rolle: Frust und Rachegefühle gegenüber ihren Arbeitgebern lassen Mitarbeiter dann zu Tätern werden. Eine ausgesprochene Kündigung oder ein als ungerecht empfundenes Verhalten des Vorgesetzten sind mögliche Auslöser.
Bei der zweiten Gruppe zeigt sich die Innentäter-Problematik nicht nur beim unvorsichtigen Öffnen von anonymen E-Mails oder voreiligem Einspielen von unerlaubter Software und Anhängen. Diese Gruppe steht auch im Fokus sogenannter Social Engineering Angriffe. Dabei versucht ein Dritter, über verschiedene Wege das Vertrauen eines Mitarbeiters zu erlangen, um idealerweise dessen persönliche Daten zu erlangen. Hat der Angreifer diese Hürde genommen, kann er sich im nächsten Schritt Zutritt zum Unternehmensnetzwerk verschaffen und sich für administrative Rechte legitimieren. Selbst der loyalste Mitarbeiter wird somit durch sein Unwissen zum (unbewussten) Innentäter.
Gefährdungspotential durch Innentäter
Die Erfahrung unserer Experten aus bisher durchgeführten IT-Sicherheitsaudits bestätigt: Die Voraussetzungen für einen erfolgreichen Innentäter-Angriff sind derzeit in der Mehrzahl der Unternehmen gegeben.
Die internen Überwachungs- und Protokollierungsmaßnahmen reichen in vielen Unternehmen (noch) nicht aus, um auffälliges Verhalten von Mitarbeitern frühzeitig zu erkennen oder einen erfolgten Innentäter-Angriff zeitnah aufzudecken. In den wenigsten Fällen wird im internen Unternehmensnetz verschlüsselt und wichtige Systemkomponenten ausreichend abgesichert.
Die Wahrscheinlichkeit, dass der Innentäter über volle physische und virtuelle Zugangsmöglichkeiten zu Räumlichkeiten, Netzwerken und Datenbanken in Ihrem Unternehmen hat bzw. sich verschaffen kann, ist damit hoch. So sind Innentäter in der Lage, möglicherweise unbemerkt zu agieren und vorhandene IT-Schwachstellen zu ihren Gunsten auszunutzen.
Charakteristischer Ablauf eines Innentäter-Angriffs
Der Innentäter-Angriff, unter IT-Sicherheitsexperten auch als Insider Threat** definiert, läuft üblicherweise in 4 Phasen ab:
- Der Angreifer verschafft sich System- bzw. Netzwerkzugriff.
- Er untersucht die Architektur bzw. Struktur des Unternehmensnetzwerks (Netzwerkanalyse), um vorhandene Schwachstellen aufzudecken und herauszufinden, an welcher Stelle er einen höchstmöglichen Schaden mit geringstem Aufwand erreichen kann.
- Der Angreifer manipuliert entsprechende Netzwerkdaten, um die Berechtigung anderer Benutzer (bestenfalls von Administratoren) auszunutzen.
- Als Innentäter schleust er schließlich schadhafte Software, wie z.B. Ransomware oder Trojaner, in das Unternehmensnetz ein, um vertrauliche Informationen, Unternehmensdaten oder monetäre Mittel abzuziehen.
Indikatoren für einen Innentäter-Angriff
Stellen Mitarbeiter bzw. die IT-Verantwortlichen Ihres Unternehmens einen oder mehrere der nachfolgenden Indikatoren fest, kann damit angezeigt sein, dass ein Innentäter in Ihrem Unternehmensnetz agiert und ein Insider Threat stattgefunden hat:
- Interne vertrauliche Unternehmensdaten tauchen beispielsweise in Angeboten von Wettbewerbs-Unternehmen auf. Durch erfolgten Datenabfluss können im schlimmsten Fall Patente gestohlen oder Produktpiraterie betrieben werden.
- Es ist ein erhöhtes Datenaufkommen an Client-PCs festzustellen, bedingt durch das Umleiten der Anfragen über den Angreifer-PC.
- Bei der Software-Inventur werden Abweichungen am Client-PC festgestellt: Es ist darauf Software vorhanden, die nicht von der unternehmenseigenen IT verteilt bzw. eingespielt wurde.
- Nicht freigegebene Hardware wird im internen Netz entgegengenommen.
- Es treten neue WLAN-SSIDs auf, die vorher nicht vorhanden waren und somit unbekannt sind.
- Die Proxy-Einstellungen Ihres Unternehmens werden manipuliert.
- User greifen auf Daten bzw. Ressourcen zu, wofür sie keine Berechtigung haben.
Die Innentäter-Simulation als IT-Sicherheitsüberprüfung
Eine Innentäter-Simulation liefert Ihnen das Know-How, wie Sie sich wirksam gegen Angriffe aus den eigenen Reihen schützen.
Bei dieser Form der IT-Sicherheitsüberprüfung erhalten unsere IT Security Consultants von Ihnen einen repräsentativen Arbeitsplatzrechner inklusive Standard-Benutzerzugang. Ausgehend von diesem System versuchen sie, ihre Berechtigungen so weit wie möglich auszuweiten und in andere Netzbereiche vorzudringen – häufig mit dem Ergebnis, dass sogar die Kontrolle über vermeintlich isolierte Produktionsnetze übernommen wird und keine interne Überwachung Alarm schlägt.
Im Rahmen dieser IT-Sicherheitsüberprüfung werden z.B. folgende sicherheitsrelevante Fragen beantwortet:
- Wann fällt es Ihrer IT-Abteilung auf, ob eine Sicherheitslücke in Ihrem Netzwerk von einem Innentäter ausgenutzt und einer Ihrer Clients gehackt wird?
- Verhindern Ihre implementierten Sicherheitsprozesse, dass sich der Innentäter Administrator-Rechte verschaffen und auf Ihre unternehmenskritischen Server zugreifen kann?
- Sind die sicherheitstechnischen Normen und Prozesse in Ihrem Unternehmen passgenau implementiert und werden diese auch von allen Mitarbeitern korrekt umgesetzt?
Die Ergebnisse unserer Innentäter-Simulation umfassen nicht nur die exakte Dokumentation der Schwachstellen und Behebungsmaßnahmen, sondern gehen in der Qualität der Informationen deutlich über Branchenstandards hinaus. Wir ordnen beispielsweise alle Befunde spezifischen Schwachstellenkategorien zu und analysieren ihre Verteilung, wodurch wir Rückschlüsse auf deren Ursprung ziehen können.
Auf Basis aller Informationen formulieren wir zusätzlich strategische Maßnahmenempfehlungen mit dem Ziel, das erneute Auftreten ähnlicher Schwachstellen dauerhaft zu verhindern.
Handlungsempfehlungen zum Schutz vor Innentäter-Angriffen
Zum Schutz von Innentäter-Angriffe zu schützen, empfehlen unsere IT-Sicherheitsexperten die Beachtung folgender grundlegender Aspekte:
- Unterzeichnung einer Geheimhaltungserklärung durch Ihre Mitarbeiter
§5 des Bundesdatenschutzgesetzes (BDSG) beinhaltet, dass Unternehmen und Behörden verpflichtet sind, ihre Mitarbeiterinnen und Mitarbeiter bei der Aufnahme ihrer Tätigkeit auf Einhaltung des Datengeheimnisses zu verpflichten. Dies ist insbesondere dann angezeigt, wenn sie bei ihrer Tätigkeit mit personenbezogenen Daten arbeiten. Die Personalabteilung Ihres Unternehmens sollte daher neue Mitarbeiter mit einer sogenannten Geheimhaltungserklärung auf Wahrung von Geschäftsgeheimnissen verpflichten. Darüber hinaus sollten Sie auch Mitarbeiterinnen und Mitarbeiter von Fremdfirmen, die als Externe für Ihr Unternehmen arbeiten, schriftlich an die Geheimhaltungspflicht binden.
- Regelung des Zugriffs auf sensible Daten(-bereiche) Ihres Unternehmens
Um sensible Unternehmensdaten vor Innentäter-Angriffen zu sichern, empfehlen unsere Experten vor allem, die Zugriffsberechtigungen von Mitarbeitern sensibel festzulegen. Die Definition von Zugriffberechtigungen betrifft die Freigabe der Kommunikation zwischen Mitarbeiter, PC und Ressourcen der schützenswerten Daten (i.d.R. Server).
Nach dem Bundesdatenschutzgesetz ist als Konsequenz aus Punkt 1. nur denjenigen Mitarbeitern Ihres Unternehmens der Zugriff auf vertrauliche Unternehmensdaten gestattet, die eine entsprechende Geheimhaltungserklärung unterschrieben haben.
Die Regelung zur Zugriffsberechtigung sorgt dafür, dass bestimmte Mitarbeiter aufgrund der vorhandenen Netzwerk-Architektur nicht die Möglichkeit besitzen bzw. erhalten, Ressourcen von sensiblen Unternehmensdaten zu erreichen bzw. aufzurufen. Technisch wird dies mit Hilfe von Netzwerktrennung erreicht. Das betrifft auch die Erlaubnis für Mitarbeiter, Daten außerhalb des Unternehmens zu speichern, wie etwa auf mobilen Endgeräten, externen Datenträgern oder in der Cloud. Nur Mitarbeiter, die im Rahmen ihrer Tätigkeit eine besondere Flexibilität benötigen, sollten diese Berechtigung erhalten.
- Verschlüsselung als Fundament gegenüber Innentäter-Angriffen
Unsere Experten raten zu einer Festplattenverschlüsselung von allen Endgeräten, die zu Ihrem Unternehmen gehören. Dies betrifft sowohl feste als auch mobile Hardware. Zusätzlich sollten besonders schützenswerte bzw. sensible Daten mit einer Dateiverschlüsselung versehen werden. Die Kontrolle der Verschlüsselungs-Keys sollte in der Hand bei einem hierfür Verantwortlichen Ihres Unternehmens bleiben.
- Protokollierung, um Datenverluste nachvollziehbar zu machen
Wird der Verlust von internen Daten von den Unternehmensverantwortlichen festgestellt, gilt es, dies dem verdächtigen Mitarbeiter bzw. Innentäter nachzuweisen. Rechtlich ist hierfür eine organisatorische Regelung notwendig: Nur bei einem konkret vorliegenden Verdachtsfall dürfen die protokollierten Daten des betreffenden Mitarbeiters eingesehen werden. Um die Einhaltung dieses Vorgehen sicherzustellen, sollte das 4-Augen-Prinzip bei der Datenkontrolle gewahrt werden. Die für die Einsicht der gespeicherten Mitarbeiterdaten vergebenen Passwörter sollten grundsätzlich nur in gesplitteter Form vergeben werden. Somit können beispielsweise nur der Betriebsrat und die Geschäftsführung durch die gemeinsame Passworteingabe Zugriff auf die Daten nehmen.
Bei der Implementierung einer Protokollierungsmethode muss der Schutz der Privatsphäre beachtet werden: Die Mitarbeiter bzw. Arbeitnehmervertreter müssen zuvor einer Einsicht in die Protokollierung zustimmen.
*datensicherheit.de, April 2019: Insider Threats Report, Studie von Cybersecurity Insiders und Crowd Research Partners
**TechTarget Network, SearchSecurity: Definition insider threat by Margaret Rouse
Fazit:
Mangelnde Sicherheitsstandards in der Organisation sowie unzureichend implementierte Sicherheitsvorkehrungen machen es Innentätern leicht, an sensible Daten zu gelangen und sich diese zu ihren Zwecken zunutze zu machen. Eine Innentäter-Simulation liefert Ihnen das Know-How, wie Sie sich wirksam gegen Angriffe aus den eigenen Reihen schützen.