Was ist eine Insider-Bedrohung?
Eine Insider-Bedrohung ist eine böswillige Aktivität gegen eine Organisation, die von Benutzern mit legitimem Zugriff auf das Netzwerk, die Anwendungen oder Datenbanken einer Organisation ausgeht. Bei diesen Benutzern kann es sich um aktuelle Mitarbeiter, ehemalige Mitarbeiter oder Dritte wie Partner, Auftragnehmer oder Zeitarbeiter mit Zugriff auf die physischen oder digitalen Vermögenswerte der Organisation handeln. Sie können sogar in Form kompromittierter Dienstkonten auftreten. Während der Begriff am häufigsten zur Beschreibung illegaler oder böswilliger Aktivitäten verwendet wird, kann er sich auch auf Benutzer beziehen, die dem Unternehmen unbeabsichtigt Schaden zufügen.
Warum werden Insider schlecht? Die Motivation für böswillige Insider ist unterschiedlich – am häufigsten sind Kompromittierungen und Datenexfiltrationen finanziell motiviert. Allerdings können Zwischenfälle auch durch Spionage, Vergeltung oder Groll gegenüber dem Mitarbeiter oder einfach nur durch Unachtsamkeit bei mangelnder Sicherheitshygiene oder durch einen unverschlossenen oder gestohlenen Zugang verursacht werden. Insider-Bedrohungen kommen in manchen Branchen – etwa im Gesundheitswesen, im Finanzsektor und bei Regierungsinstitutionen – häufiger vor, können jedoch die Sicherheit gefährdenInformationssicherheiteines Unternehmens.
Arten von Insider-Bedrohungen
Bösartiger Insider
Ein Mitarbeiter oder Auftragnehmer, der wissentlich versucht, Informationen zu stehlen oder den Betrieb zu stören. Dies kann ein Opportunist sein, der nach Möglichkeiten sucht, Informationen zu stehlen, die er verkaufen oder die ihm in seiner Karriere helfen können, oder ein verärgerter Mitarbeiter, der nach Möglichkeiten sucht, einer Organisation zu schaden, seinen Arbeitgeber zu bestrafen oder in Verlegenheit zu bringen. Ein Beispiel für einen böswilligen Insider sind die verschiedenenApple-IngenieureIhnen wurde Datendiebstahl vorgeworfen, weil sie für ein in China ansässiges Unternehmen die Geheimnisse fahrerloser Autos gestohlen hatten.
Fahrlässiger Insider
Ein Mitarbeiter, der sich nicht an die ordnungsgemäßen IT-Verfahren hält. Zum Beispiel jemand, der seinen Computer verlässt, ohne sich abzumelden, oder ein Administrator, der sein Standardkennwort nicht geändert oder es versäumt hat, einen Sicherheitspatch anzuwenden. Ein Beispiel für einen fahrlässigen Insider ist der Datenanalyst, der ohne Genehmigung eine Festplatte mit persönlichen Daten mit nach Hause genommen hat26.5 Millionen US-Militärveteranen, das bei einem Wohnungseinbruch gestohlen wurde.
Kompromittierter Insider
Ein häufiges Beispiel ist ein Mitarbeiter, dessen Computer mit Malware infiziert wurde. Dies geschieht typischerweise durch Phishing-Betrügereien oder durch das Klicken auf Links, die zum Herunterladen von Malware führen. Kompromittierte Insider-Maschinen können als „Heimatbasis“ für Cyberkriminelle genutzt werden, von der aus sie Dateifreigaben scannen, Berechtigungen erweitern, andere Systeme infizieren und vieles mehr können. Wie es in letzter Zeit der Fall istTwitterSicherheitslücke, bei der Angreifer einen Telefon-Spear-Phishing-Angriff nutzten, um sich Zugriff auf die Anmeldedaten von Mitarbeitern und deren internes Netzwerk zu verschaffen. Den Angreifern gelang es, an Informationen über die Prozesse von Twitter zu gelangen und Mitarbeiter mit Zugang zu Account-Support-Tools ins Visier zu nehmen, um hochkarätige Accounts zu hacken und einen Kryptowährungsbetrug zu verbreiten, der 120,000 US-Dollar einbrachte.
Insider-Bedrohungsstatistik: Wie groß ist das Problem?
Insider-Bedrohungen stellen ein wachsendes Problem dar, wie aus einer aktuellen Ponemon-Studie „2020 Cost of Insider Threats: Global Report“ hervorgeht:
- 60 % der Unternehmen hatten mehr als 30 Insider-Vorfälle pro Jahr
- 62 % der Insider-Vorfälle wurden auf Fahrlässigkeit zurückgeführt
- 23 % der Insider-Vorfälle wurden kriminellen Insidern zugeschrieben
- 14 % der Insider-Vorfälle wurden auf den Diebstahl von Benutzeranmeldedaten zurückgeführt
- Die Zahl der Insider-Vorfälle ist in zwei Jahren um 47 % gestiegen
- Unternehmen geben durchschnittlich 755,760 US-Dollar für jeden Insider-Vorfall aus
Insider-Bedrohungen sind schwer zu erkennen, da der Bedrohungsakteur legitimen Zugriff auf die Systeme und Daten des Unternehmens hat. Das liegt daran, dass ein Mitarbeiter Zugriff auf Ressourcen wie E-Mail, Cloud-Apps oder Netzwerkressourcen benötigt, um seine Arbeit erfolgreich erledigen zu können. Abhängig von der Rolle benötigen einige Mitarbeiter auch Zugriff auf vertrauliche Informationen wie Finanzdaten, Patente und Kundeninformationen.
Da der Bedrohungsakteur über legitime Anmeldeinformationen und Zugriff auf die Systeme und Daten der Organisation verfügt, würden viele Sicherheitsprodukte das Verhalten als normal kennzeichnen und keine Warnungen auslösen. Insider-Bedrohungen werden umso schwieriger zu erkennen, je komplizierter sie sind. Beispielsweise könnte ein Bedrohungsakteur seitliche Bewegungen ausführen, um seine Spuren zu verbergen und auf hochwertige Ziele zuzugreifen. Oder ein Insider könnte einen Fehler im System ausnutzen, um Privilegien auszuweiten, wie unten beschrieben.
So finden Sie Insider-Bedrohungen
Unternehmen können Insider-Bedrohungen erkennen oder vorhersagen, indem sie das Benutzerverhalten am Arbeitsplatz und online beobachten. Durch proaktives Handeln können Unternehmen möglicherweise potenziell böswillige Insider fangen, bevor sie proprietäre Informationen herausfiltern oder den Betrieb stören.
Welche Verhaltensweisen kann Ihr Unternehmen nutzen, um Insider-Bedrohungen zu erkennen?
| Verhaltensmerkmal des Mitarbeiters/Auftragnehmers | Organisatorische Veranstaltung |
|---|---|
| Interesse außerhalb ihres Aufgabenbereichs | Entlassen |
| Ungewöhnliche Arbeitszeiten ohne Genehmigung | Jährlicher Verdienstzyklus – Personen werden nicht befördert |
| Übermäßig negative Kommentare zur Organisation | Jährlicher Leistungszyklus – Einzelpersonen erhalten keine Gehaltserhöhungen |
| Drogen- oder Alkoholmissbrauch | Mögliche Pläne zur Leistungsverbesserung oder Beschwerden über Belästigung am Arbeitsplatz und mehr |
| Finanziellen Schwierigkeiten | |
| Spielschulden | |
| Veränderung des Geisteszustandes | Mögliche Pläne zur Leistungsverbesserung oder Beschwerden über Belästigung am Arbeitsplatz und mehr |
Verhaltensmerkmale von Mitarbeitern oder Auftragnehmern sowie organisatorische Ereignisse, die beachtet werden sollten, um das Risiko von Insider-Bedrohungen zu verringern.
Welche verdächtigen Sicherheitsereignisse können auf eine mögliche Insider-Bedrohung hinweisen?
| Verhalten | Bösartiger Insider | Kompromittierter Insider |
|---|---|---|
| Zu ungewöhnlichen Zeiten zur Arbeit gehen | X | |
| Anmeldung zu ungewöhnlichen Zeiten | X | X |
| Anmeldung von einem ungewöhnlichen Standort aus | X | |
| Erstmaliger Zugriff auf Systeme/Anwendungen | X | X |
| Große Informationsmengen kopieren | X | X |
Verhalten, das auf böswillige oder kompromittierte Insider schließen lässt.
Beispiele für Insider-Bedrohungen
Yahoo
Im Mai 2022 wurde Yahoo von einem Insider-Bedrohungsangriff heimgesucht. Qian Sang, ein Forschungswissenschaftler im Unternehmen, erhielt ein Stellenangebot von einem Konkurrenten namens The Trade Desk. Minuten später lud Sang etwa 570,000 Seiten des geistigen Eigentums von Yahoo auf seine persönlichen Geräte herunter, darunter auch Informationen über das AdLearn-Produkt von Yahoo.
Yahoo brauchte mehrere Wochen, bis klar wurde, dass Sang Unternehmensdaten gestohlen hatte, darunter eine Wettbewerbsanalyse von The Trade Desk. Yahoo schickte Sang eine Unterlassungsaufforderung und erhob drei Anklagen gegen ihn, darunter den Diebstahl von Daten geistigen Eigentums. Sangs Handlungen hätten Yahoo die alleinige Kontrolle über seine Geschäftsgeheimnisse entzogen.
Microsoft
Im Jahr 2022 kam es bei Microsoft aufgrund von Fahrlässigkeit von Mitarbeitern zu einem Datenleck. Das Cybersicherheitsunternehmen SpiderSilk entdeckte das Leck – mehrere Microsoft-Mitarbeiter gaben ihre Anmeldedaten an die GitHub-Infrastruktur des Unternehmens weiter. Diese Informationen könnten den Zugriff auf Azure-Server und möglicherweise andere interne Microsoft-Systeme ermöglichen.
Microsoft weigerte sich, preiszugeben, welche Systeme diese Anmeldeinformationen schützten. Eine interne Untersuchung ergab, dass niemand versucht hatte, auf die sensiblen Daten zuzugreifen, und das Unternehmen ergriff Maßnahmen, um zu verhindern, dass so etwas noch einmal passiert. Wenn dieser Fehler jedoch EU-Kundendaten preisgegeben hätte, hätte Microsoft mit einer DSGVO-Strafe von bis zu 20 Millionen Euro rechnen müssen.
Proofpoint
Was mit Proofpoint passiert ist, beweist, dass niemand vor Cyberangriffen immun ist, auch nicht die Cybersicherheitsfirmen. Im Juli 2021 stahl Samuel Boone, ein ehemaliger Mitarbeiter, die vertraulichen Vertriebsaktivierungsdaten von Proofpoint, kurz bevor er seine Arbeit bei Abnormal Security, einem Konkurrenten, antrat.
Leider konnte die Data Loss Prevention (DLP)-Lösung von Proofpoint den Mitarbeiter nicht davon abhalten, hochwertige Dokumente auf ein USB-Laufwerk herunterzuladen. Es dauerte mehrere Monate, bis Proofpoint herausfand, dass Boone diese Dateien gestohlen hatte. Zu diesem Zeitpunkt hätte Boone bei Abnormal Security deutliche Umsatzsteigerungen erzielen können. Proofpoint verklagte Boone vor einem Bundesgericht wegen der unrechtmäßigen Weitergabe von Battlecards, die ihm und seinem neuen Arbeitgeber einen unfairen Vorteil verschaffen könnten.
Im Juli 2020 kompromittierten Hacker mehrere bekannte Twitter-Konten, indem sie eine telefonbasierte Spearphishing-Kampagne gegen Twitter-Mitarbeiter starteten. Die Kampagne lockte sie durch einen Bitcoin-Betrug an.
Die Angreifer suchten zunächst nach Informationen über interne Prozesse und Systeme. Nachdem sie die richtigen Mitarbeiter gefunden hatten, griffen die Angreifer auf Account-Support-Tools zu, die es ihnen ermöglichten, in 130 Twitter-Konten einzudringen.
Dieser Betrug hatte relativ geringe finanzielle Auswirkungen auf Twitter und die Opfer erhielten ihr Geld zurück. Dieser Vorfall machte jedoch die bedeutende Rolle von Twitter auf dem Informationsmarkt und die Anfälligkeit des Unternehmens für Angriffe deutlich.
Vier Möglichkeiten, sich auf Insider-Bedrohungen vorzubereiten
Es gibt viele Dinge, die ein Unternehmen tun kann, um Insider-Bedrohungen zu bekämpfen. Hier sind die vier Hauptbereiche, auf die Sie sich konzentrieren sollten.
1. Schulen Sie Ihre Mitarbeiter
Führen Sie regelmäßige Anti-Phishing-Schulungen durch. Die effektivste Technik besteht darin, dass das Unternehmen seinen Benutzern Phishing-E-Mails sendet und die Schulung auf diejenigen Benutzer konzentriert, die die E-Mail nicht als Phishing-Versuch erkennen. Dies wird dazu beitragen, die Zahl der Mitarbeiter und Auftragnehmer zu reduzieren, die möglicherweise zu kompromittierten Insidern werden.
Unternehmen sollten ihre Mitarbeiter auch darin schulen, riskantes Verhalten unter ihren Kollegen zu erkennen und es der Personalabteilung oder der IT-Sicherheit zu melden. Ein anonymer Hinweis über einen verärgerten Mitarbeiter kann einer böswilligen Insider-Bedrohung vorbeugen.
2. IT-Sicherheit und HR koordinieren
Es mangelt nicht an Geschichten über IT-Sicherheitsteams, die von Entlassungen überrascht wurden. Die Abstimmung zwischen dem CISO und dem Personalleiter kann dabei helfen, die IT-Sicherheit vorzubereiten. Allein die Aufnahme betroffener Mitarbeiter auf eine Beobachtungsliste und die Überwachung ihres Verhaltens können vielen Bedrohungen entgegenwirken. Ebenso kann die Personalabteilung die IT-Sicherheit über bestimmte Mitarbeiter informieren, die bei einer Beförderung übergangen wurden oder keine Gehaltserhöhung erhielten. Die Optimierung von Tools zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) durch aktive Überlegungen und Beiträge der Personalabteilung kann auch ein Frühwarnsignal für Selbstverletzung und Unzufriedenheit gegenüber dem Unternehmen sein.
3. Bauen Sie ein Threat-Hunting-Team auf
Viele Unternehmen verfügen über spezielle Threat-Hunting-Teams. Anstatt auf Vorfälle zu reagieren, nachdem sie entdeckt wurden, verfolgt die Bedrohungssuche einen proaktiven Ansatz. Engagierte Mitarbeiter des IT-Sicherheitsteams achten auf verräterische Anzeichen wie die oben aufgeführten, um Diebstahl oder Störungen zu verhindern, bevor sie auftreten.
4. Setzen Sie Benutzerverhaltensanalysen ein
Analyse des Benutzerverhaltens(UBA), auch bekannt als User and Entity Behavior Analytics (UEBA) ist das Verfolgen, Sammeln und Analysieren von Benutzer- und Maschinendaten, um Bedrohungen innerhalb einer Organisation zu erkennen. Mithilfe verschiedener Analysetechniken unterscheidet UEBA anomale Verhaltensweisen von normalen Verhaltensweisen. Dies geschieht in der Regel durch das Sammeln von Daten über einen bestimmten Zeitraum, um zu verstehen, wie normales Benutzerverhalten aussieht, und anschließendes Markieren von Verhalten, das nicht diesem Muster entspricht. UEBA kann häufig ungewöhnliches Online-Verhalten erkennen – Missbrauch von Anmeldedaten, ungewöhnliche Zugriffsmuster, große Daten-Uploads –, die verräterische Anzeichen für Insider-Bedrohungen sind. Noch wichtiger ist, dass die UEBA diese ungewöhnlichen Verhaltensweisen bei kompromittierten Insidern oft erkennen kann, lange bevor Kriminelle Zugang zu kritischen Systemen erhalten.
Die Kill-Chain von Insider-Bedrohungen verstehen
Wenn Sie Insider-Bedrohungen genauer verstehen möchten, erklären wir in diesem Abschnitt, wie Insider-Bedrohungen wachsen und sich entwickeln – Motivationen der Angreifer, Kompromittierungsmethoden und wie Insider-Bedrohungen die Eskalation von Berechtigungen nutzen, um mehr Schaden anzurichten.
Beweggründe für Insider-Bedrohungen
In den meisten Fällen ist das ultimative Ziel einer Insider-Bedrohung finanzieller Gewinn. Ob es sich um einen böswilligen Insider handelt, der Bargeld für Geschäftsgeheimnisse angenommen hat, um einen fahrlässigen Benutzer, der eine Überweisung auf ein betrügerisches Bankkonto sendet, nachdem er eine gefälschte E-Mail von einem „Manager“ erhalten hat, oder um einen kompromittierten Insider, dessen Zugangsdaten gestohlen und verwendet werden Angreifer können personenbezogene Daten (PII) ihrer Patienten herausfiltern und verkaufen. Doch es gibt viele Motivatoren für Insider-Bedrohungen: Sabotage, Betrug, Spionage, Rufschädigung oder beruflicher Gewinn. Insider-Bedrohungen beschränken sich nicht nur auf das Herausfiltrieren oder Stehlen von Informationen; alle von einem „Insider“ ergriffenen Maßnahmen, die sich negativ auf ein Unternehmen auswirken könnten, fallen in die Kategorie der Insider-Bedrohungen.
| Insider-Typ | Motivationen | Beispiel | Risiken |
|---|---|---|---|
| Bösartig | Geld verdienen oder eine Kränkung rächen | Entlassener Mitarbeiter pflanzt Logikbombe, um Schadcode auszuführen | Diebstahl des geistigen Eigentums des Kernunternehmens. Betriebsstörung. Rufschädigung des Unternehmens. |
| Fahrlässig | Unwissenheit oder Nachlässigkeit | Unvorsichtiger Mitarbeiter veröffentlicht Unternehmensdaten im öffentlichen Cloud-Container | Diebstahl des geistigen Eigentums des Kernunternehmens. Betriebsstörung. Rufschädigung des Unternehmens. |
| Kompromittiert | Ohne sich der Gefahr bewusst zu sein, die sie mit sich bringen | Ein Angreifer nutzt kompromittierte Zugangsdaten, um Unternehmensdaten auszuschleusen | Zugriff auf sensible Unternehmenssysteme oder Vermögenswerte. Diebstahl des geistigen Eigentums des Kernunternehmens. |
Insider-Bedrohungen werden von böswilligen, fahrlässigen und kompromittierten Personen mit ganz unterschiedlichen Beweggründen verursacht.
Wie werden Mitarbeiter gefährdet?
Es gibt verschiedene Möglichkeiten, wie ein Mitarbeiter zu einem kompromittierten Insider werden kann:
- Phishing– eine Cyberkriminalität, bei der eine Zielperson per E-Mail oder SMS von jemandem kontaktiert wird, der sich als seriöse Institution ausgibt, um die Person dazu zu verleiten, sensible Daten wie personenbezogene Daten (PII), Bank- und Kreditkartendaten sowie Passwörter preiszugeben . Einige Phishing-Programme versuchen möglicherweise auch, ein Ziel dazu zu verleiten, auf einen Link zu klicken, der einen Malware-Download auslöst.
- Malware-Infektion– eine Cyberkriminalität, wenn ein Computer mit Schadsoftware – Malware – infiziert ist und in Ihren Computer eindringt. Das Ziel der Malware besteht im Falle eines kompromittierten Insiders darin, vertrauliche Informationen oder Benutzeranmeldeinformationen zu stehlen. Eine Malware-Infektion kann unter anderem durch das Klicken auf einen Link, das Herunterladen einer Datei oder das Anschließen eines infizierten USB-Sticks ausgelöst werden.
- Diebstahl von Anmeldedaten– eine Cyberkriminalität, die darauf abzielt, den Benutzernamen und das Passwort – die Anmeldeinformationen – einer Zielperson zu stehlen. Der Diebstahl von Anmeldedaten kann auf verschiedene Arten erfolgen. Phishing und Malware-Infektionen, wie oben erwähnt, kommen häufig vor. Einige Kriminelle betreiben möglicherweise Social Engineering, also den Einsatz von Täuschungsmanövern, um Einzelpersonen dazu zu bringen, ihre Anmeldedaten preiszugeben. Eine gängige Technik ist ein gefälschter Anruf vom IT-Helpdesk, bei dem der Benutzer vom Angreifer aufgefordert wird, seinen Benutzernamen und sein Passwort zu bestätigen.
- Pass-the-Hash– eine fortgeschrittenere Form des Anmeldedatendiebstahls, bei dem die gehashten – verschlüsselten oder verdauten – Authentifizierungsdaten von einem Computer abgefangen und verwendet werden, um Zugriff auf andere Computer im Netzwerk zu erhalten. Ein Pass-the-Hash-Angriff ist im Konzept einem Passwortdiebstahl-Angriff sehr ähnlich, basiert jedoch auf dem Diebstahl und der Wiederverwendung von Passwort-Hash-Werten und nicht auf dem eigentlichen Klartext-Passwort, insbesondere während RDP-Sitzungen.
Insider-Bedrohungen und Privilegienausweitung
Insider können ihre Pläne durch Missbrauch von Zugriffsrechten durchsetzen. Der Angreifer versucht möglicherweise eine sogenannte Privilegieneskalation, bei der er System- oder Anwendungsfehler ausnutzt, um Zugriff auf Ressourcen zu erhalten, für die er keine Zugriffsberechtigung hat.
In manchen Fällen geschieht der Missbrauch von Zugriffsrechten dadurch, dass jemand mit privilegiertem Zugriff seine Macht missbraucht. In einem historischen Fall aus dem Jahr 2008 handelte es sich um einen Systemadministrator, der für die Stadtregierung von San Francisco arbeiteteZugang gesperrtin das Netzwerk der Stadt ein und weigerte sich, die Admin-Passwörter herauszugeben. Wie sich herausstellte, war der Arbeiter verärgert und sein Arbeitsplatz in Gefahr.
Diese komplexen Bedrohungen können mit herkömmlichen Korrelationsregeln nicht erkannt werden, da es sich um unbekannte Bedrohungen handelt. Stattdessen müsste ein Sicherheitsanalyst die normale Aktivität des Benutzers verstehen, um ungewöhnliche und potenziell bösartige Aktivitäten identifizieren zu können.
Weitere Leitfäden zu wichtigen Themen der Informationssicherheit finden Sie hier
Zusammen mit unseren Content-Partnern haben wir ausführliche Leitfäden zu mehreren anderen Themen verfasst, die Ihnen beim Erkunden der Welt von ebenfalls nützlich sein können Informationssicherheit.
Insider-Bedrohung
Verfasst von Exabeam
- Was ist eine Insider-Bedrohung? 4 Verteidigungsstrategien
- So finden Sie böswillige Insider: Insider-Bedrohungen mithilfe von Verhaltensindikatoren bekämpfen
- Insider-Bedrohungsprogramme: 8 Tipps zum Aufbau eines erfolgreichen Programms
Gehrungsangriff
Verfasst von Exabeam
Malware-Schutz
Verfasst von Cynet
