Insiderbedrohungen abwenden
Warum Kontext essenziell ist
Fortsetzung des Artikels von Teil 1
Momente hohen Risikos – Kündigungen und Neuzugänge
Den meisten Firmen ist bewusst, dass Mitarbeiter ein Risiko darstellen können, wenn sie zu ungünstigen Konditionen das Unternehmen verlassen müssen oder von einem Mitbewerber abgeworben werden. Sie könnten ihren Netzwerkzugang nutzen, um sich zu rächen oder um Daten zu extrahieren, die für den neuen Arbeitgeber von Nutzen sein könnten. Es sollte daher zunächst höchste Priorität haben, die Zugriffsberechtigungen des Mitarbeiters einzuschränken, um dieses Risiko zu minimieren. Ein weniger naheliegender, aber ähnlich heikler Augenblick entsteht, wenn ein neuer Mitarbeiter zum Unternehmen kommt. Obwohl die HR-Abteilung ihrer Sorgfaltspflicht gegenüber den Angaben des Mitarbeiters höchstwahrscheinlich nachgekommen ist, sind seine Beziehungen und Beweggründe nicht alle bekannt. Hier kann Business Risk Intelligence Klarheit schaffen und verhindern, das böswillige Akteure überhaupt erst Zugang in die Organisation bekommen. Ein Paradebeispiel ereignete sich vor ein paar Jahren in einem Fortune 500 Unternehmen. Dort wurde ein zukünftiger Mitarbeiter überprüft und sein Kontakt zu einem gefährlichen Akteur offengelegt, der dafür bekannt war, Insider anzuwerben und firmeninterne Daten zur Erpressung zu stehlen. Nachdem das Unternehmen die Bedrohung erkannt hatte, hat es dem Bewerber die Anstellung verweigert und seine Abwehrmaßnahmen gegen Angriffsmuster wie die jenes Akteurs gestärkt.
Die Markteinführung eines neuen Produkts bedingt ebenfalls eine Periode erhöhten Risikos für Unternehmen. Der Wert einer Firma besteht zu bis zu 80 Prozent aus geistigem Eigentum. Insofern kann der Diebstahl davon verheerende Folgen haben. Naturgemäß haben Angestellte Zugriff auf Geschäftsgeheimnisse und Produktinformation. Für eine kleine Minderheit kann dies eine Versuchung darstellen. Aber wenn Informationen gestohlen wurden, muss der Dieb diese erst zu Geld machen. Das involviert oft das DDW sowie andere illegale Online Communities, auf denen gestohlene Informationen ge- und verkauft werden.
Analysten von Flashpoint fanden zum Beispiel unlängst Quellcode einer bislang unveröffentlichten Software eines weltweit aktiven Technologieunternehmens, der in einem Forum der cyberkriminellen Elite zum Kauf angeboten wurde. Die Analyse zeigte, dass die Quelle der Sicherheitsverletzung ein Angestellter des Unternehmens war. Einmal informiert, konnte das Unternehmen den Arbeitsvertrag des Mitarbeiters kündigen und Maßnahmen ergreifen, um sein Produkt zu schützen. Der entscheidende Punkt ist hier: Der Mitarbeiter blieb solange unerkannt, bis er die gestohlene Ware im DDW anpries. Der Kontext, der durch Business Risk Intelligence geboten wird, hätte zweifelsfrei dabei geholfen, viele der Aktivitäten des Mitarbeiters in einem anderen Licht zu sehen, obwohl sie damals harmlos wirkten.
Insider TTPs werden immer ausgereifter
Herkömmliche Handlungen bösartiger Insider umfassen das Versenden von dienstlichen Dokumenten an die persönliche Emailadresse oder an Dritte, das Herunterladen von Daten auf externe Speichermedien oder einfach Diebstahl ausgedruckter Dokumente. Doch ist auch hier ein Wandel zu beobachten: Böswillige Insider werden immer ausgefeilter darin, unerkannt zu bleiben. In dem Wissen, dass sich immer mehr Unternehmen gegen Bedrohung durch Insider bewusst sind, entwickeln viele Akteure ihre Kompetenzen weiter, beispielsweise in der Nutzung sicherer Kommunikationsmethoden wie verschlüsselte Chats und DDW Foren. Diese sind für Unternehmen so gut wie unmöglich zu überwachen, außer mit Hilfe von erfahrenen Analysten, die selbst Zugriff auf diese Communities haben. Die zunehmende Nutzung von sicheren Kommunikationskanälen und das DDW an sich steigern das Risiko der Insiderbedrohung ungemein. Akteure können auf hochentwickelte TTPs und Ressourcen zugreifen, mit denen sich Systeme angreifen lassen und Daten von privilegierten Insider-Positionen heraus ausgeschleust werden können. Außerdem steigt das Risiko, das Angestellte eines Unternehmens von externen Akteuren rekrutiert werden, wenn die Angestellten in böswilligen DDW-Communities agieren. Immer öfter sind unter diesen anwerbenden Community-Mitgliedern Agenten, die von einem Nationalstaat finanziert werden und die mit Erpressung oder Bestechung Insider zum Datendiebstahl bewegen wollen.
Ressourcen da bündeln, wo sie gebraucht werden
Selbstverständlich stellt die Mehrheit der Angestellten keine böswillige Insiderbedrohung dar, auch wenn manchmal ein Fehler passiert oder ein Mitarbeiter sich nicht so verhält wie gewohnt. Tatsächlich werden die Netzwerkaktivitäten von neuen Angestellten immer wieder von automatisierten Tools als verdächtig gemeldet, da neue Mitarbeiter zu Beginn eine hohe Fehlerquote haben, wenn sie im Netzwerk navigieren. Um herauszufinden, wer überprüft werden sollte, brauchen Unternehmen Kontext, der auf externe Faktoren aufmerksam macht, die Insider beeinflussen. Business Risk Intelligence liefert diesen Kontext und macht Insider Threat Management effektiver, da es Organisationen einen besseren Schutz vor denen bietet, die bereits Zugang zum Unternehmen haben.
Josh Lefkowitz, CEO, Flashpoint
- Warum Kontext essenziell ist
- Momente hohen Risikos – Kündigungen und Neuzugänge
Lesen Sie mehr zum Thema
