single.php
< Beitrag von Marc Muellenbach

Insider-Bedrohung – Gefahr aus den eigenen Reihen

Als Insider-Bedrohung bezeichnet man die Gefahr eines Angriffes oder sicherheitsrelevanten Vorfalls, der nicht von außen, also z. B. aus dem Internet kommt, sondern aus dem lokalen Netzwerk selbst. Eine solche Insider-Bedrohung könnte z. B. der vorsätzlich ausgeführte Diebstahl von Unternehmensdaten sein oder auch ein unabsichtlich eingeschleppter Wurm von einem privaten USB-Stick. Jeder ist als Risiko zu betrachten, der Insider-Wissen über ein Unternehmen hat und dieses Wissen potenziell nutzen könnte. Daneben gibt es allerdings auch die „scheinbaren“ Insider: Hacker, die sich als Insider tarnen, um das Netzwerk in Ruhe auszuspionieren und Insider-Wissen zu erlangen.

Welche Arten der Insider-Bedrohung gibt es?

Weithin bekannt geworden ist die Insider-Bedrohung durch den Whistleblower Edward Snowden, der Daten ausspioniert hat, um sie 2013 der Presse weiterzugeben. Edward Snowden ist bis heute in den Medien präsent und lebt im Exil, um einer Inhaftierung zu entgehen. Seine Absichten mögen nicht bösartig gewesen sein, dennoch hat er geistiges Eigentum vorsätzlich gestohlen.

Dann gibt es die unvorsichtigen Nutzer, wie z. B. den viel zitierten Finder eines bewusst ausgelegten USB-Sticks. Sobald Finder den USB-Stick in seinen PC steckt, meldet sich der Stick bei der IT-Sicherheit, die daraufhin ein kurzes Gespräch mit dem betreffenden Nutzer führt. Auf die Frage, warum er den USB-Stick in den PC gesteckt habe, kommt häufig die Antwort: „Was soll die Frage? Wir sind doch hier sicher!“ Dieser Schein trügt jedoch.

Der klassische Betrüger schließlich gibt sich als Insider aus, nachdem er den lokalen Account gekapert hat. Dieser Insider ist also eigentlich ein Outsider, der aufgrund von Nachlässigkeit oder zu laschen Sicherheitsregeln einen Account übernehmen konnte und jetzt versucht, möglichst viele Daten auszulesen. Dabei geht es häufig gar nicht darum, Schaden anzurichten, sondern darum, sich möglichst unauffällig zu verhalten, um möglichst lange unentdeckt zu bleiben. Auf diese Bedrohung möchte ich hier ausführlicher eingehen.

Wie gelingt es, scheinbare Insider abzuwehren?

Das klassische Einfallstor für Hacker, die sich dann als Insider tarnen, ist ein unbedachter – um nicht zu sagen schlampiger – Umgang mit Passwörtern:

  • zeitlich unbegrenzt geltende Passwörter: Passwörter, die nie ablaufen und deshalb auch nie geändert werden, sind eine große Gefahr.
  • zu einfache Passwörter: Das weltweit am häufigsten genutzte Passwort ist nach wie vor „abc123“. Ein Account mit einem einfachen, nicht komplexen Passwort, das nicht abläuft, gleicht einer offenen Tür.
  • leicht zugängliches Passwort: Selbst wenn die IT im Unternehmen die Geltungsdauer der Passwörter befristet und nur komplexe Passwörter akzeptiert, gibt es immer wieder User, die diesen Schutz unterlaufen, indem sie die Passwörter auf einem Post-it unter die Tastatur oder gar auf den Monitor kleben. „Ich kann mir das sonst nicht merken“, ist häufig die Ausrede für dieses unverantwortliche Verhalten.
  • Gruppen User/Passwörter, die von vielen Usern gleichzeitig benutzt werden: Die Passwörter sind bekannt und werden innerhalb der Nutzergruppe verteilt, so dass jede und jeder damit arbeiten kann. Die Passwörter werden gerne genutzt in einem Sekretariat, das gleichzeitig Zugriff auf dieselben Daten haben muss. So lässt es sich natürlich einfacher arbeiten.

Wie lassen sich diese Bedrohungen vermeiden?

Im Hinblick auf die 3 Beispiele oben gibt es folgende Lösungen:

  • Jeder Nutzer sollte einen personalisierten User Account haben, mit dem nur er sich anmelden kann, niemand anders. Es sollte also nicht den einen Nutzer „Sekretariat“ geben, sondern eben persönliche Logins, wie z. B. „Sekretariat-Mustermann “ oder „Sekretariat-Musterfrau“. Diese Logins können dann mit Varonis DatAdvantage nachvollzogen und einzelnen Usern zugeordnet werden. Dies ist bei Accounts, die von mehreren Usern genutzt werden, deutlich schwieriger, da eine persönliche Zuordnung nicht ohne weiteres erfolgen kann. Varonis DatAlert erzeugt dann bei auffälligem Verhalten, Alarme und Warnungen.
  • Passwörter müssen in regelmäßigen Abständen erneuert werden und eine Komplexitätsregel sollte zu einfache Passwörter unterbinden. „abc123“ ist selbst dann nicht sicher, wenn das „A“ groß geschrieben wird. Auch der Vorname der Ehefrau sowie der Name des Dackels sind nicht sicher genug.
  • Passwörter dürfen generell niemals aufgeschrieben werden. Nutzen Sie stattdessen Eselsbrücken. Diese könnten Sie vom Titel eines spannenden Buches oder eines Filmes ableiten, der sie beeindruckt hat. Ein Beispiel: Im Regal gegenüber steht der Klassiker „Moby Dick“. Diesen Titel kann man gut zu einem sicheren Passwort umbauen, z. B. „M0bYD1ck“. Das „O“ wird zu einer „0“ (Null), das „I“ zu einer „1“. Leerzeichen fallen weg. Noch ein Beispiel: Der Musiktitel „Über sieben Brücken musst du gehen“. „Ue7BrMuDuGe!“ Hier nimmt man immer die ersten beiden Buchstaben eines jeden Wortes und schreibt den ersten Buchstaben groß. Aus dem Wort „ Sieben“ wird die Zahl  „ 7“. Mit einem Ausrufezeichen am Ende hat man so alle klassischen Komplexitätsvorgaben erfüllt: Passwortlänge, Groß- und Kleinschreibung, eine Zahl und ein Sonderzeichen. Und einfach zu merken ist das Passwort auch, dank der gebauten Eselsbrücke.

Was ist ungewöhnliches Nutzer-Verhalten?

Kopiert ein Nutzer große Datenmengen, die er zuvor noch nie bearbeitet hat, so könnte dies auf einen sicherheitsrelevanten Vorfall hinweisen. Verschlüsselt ein bestimmter Nutzer in kürzester Zeit sehr viele Dateien, so könnte dies ein Hinweis auf einen aktiven Verschlüsselungstrojaner sein. Die Sicherheitsplattform von Varonis unterstützen aktiv bei der Erhaltung und Absicherung eines Firmennetzwerkes.

  • Varonis Edge bietet die Möglichkeit, das Anmeldeverhalten von Nutzern zu überwachen. Meldet sich ein User einmal aus dem lokalen Lan am Netzwerk an und wenige Minuten später über VPN aus den USA, so ist dies sicher kein normales Nutzerverhalten.
  • Varonis DatAdvantage erkennt auffälliges Verhalten innerhalb des Netzwerkes. DatAdvantage lernt im Laufe weniger Wochen, was normales Verhalten der User im Netzwerk ist.
  • Varonis DatAlert kann dann Alarmmeldungen verschicken, die auf seltsames oder nicht menschliches Verhalten hinweisen.

Die oben genannten Tipps können helfen, Bedrohungen innerhalb des Unternehmens einzugrenzen und es Insidern schwieriger machen, an Daten heranzukommen. Haben Sie Fragen zu Varonis, so sprechen Sie uns gerne an.

Folgen
X

Folgen

E-mail : *
Kategorie: IT-Security | Schlagwörter: , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.