Internes Versagen – Eine fortwährende Bedrohung

Cyber-Kriminalität beschränkt sich nicht nur auf Individuen, die aktiv jemanden oder ein Unternehmen angreifen – sei es durch das Kompromittieren eines Computersystems oder durch die Verschlüsselung von Daten, um Lösegeld zu erpressen.

Oft ist die Aufmerksamkeit auf diese Art von Angriffen gelenkt. Bedrohungen durch Cyber-Kriminelle Organisationen sind sehr vielfältig. Zeitweilig hört man, dass diese Aktivitäten die natürliche Evolution der traditionellen Verbrechen sein sollen. Der Unterschied liegt lediglich darin, das heute vieles digital und online passiert. Andere gehen noch einen Schritt weiter und meinen, dass Cyber-Kriminalität ein „Phänomen des 21. Jahrhunderts sei, das nicht mehr weggeht“.

Aber Bedrohung für Unternehmen können nicht nur externer Natur sein. Vor allem die Gefahr, die von Internen ausgeht, wurde Jahre lang verkannt. Dabei bergen diese internen Bedrohungen mindestens ein ebenso hohes Schadenspotenzial, wie Angriffe durch Externe. Zunehmend erkennen Unternehmen die Gefahr.

Einer Umfrage zufolge bilden die Mitarbeiter im Unternehmen die größte Sicherheitslücke im Cybersecurity-Programm. Das im Jahr 2015 von Nuix veröffentlichte Paper berichtet, dass die überwiegende Mehrheit der Befragungsteilnehmer (93%) menschliches Versagen für die Nummer-Eins-Sicherheitslücke im Unternehmen halten.

Interessanterweise sind die Bedenken gegenüber dem Vorjahr (88%) noch gestiegen. Doch gibt es auch hier zwei Seiten der Medaille. Es ist gut, dass die Bedrohungen durch Insider ernst genommen werden. Dennoch gibt es zu bedenken, dass die Dunkelziffer der Vorfälle noch weitaus höher liegen mag.

In diesem Artikel, werfen wir einen Blick auf einige der wichtigsten Sicherheitslücken, denen man sich bewusst sein sollte. Darüberhinaus erläutern wir Vorkehrungsmaßnahmen, um gegen Bedrohungen von innen heraus gewappnet zu sein.

Die Spielregeln haben sich verändert

insider threats

Jüngste Fallbeispiele demonstrieren wie komplex und differenziert das Thema ist. Im ersten Fall geht es um die britische Kommunikationsregulierungsbehörde Ofcom. Im März wurde bekannt, dass ein ehemaliger Mitarbeiter sensible Informationen über einen Zeitraum von sechs Jahren sammelte. Ofcom bemerkte das erst, als die neuen Arbeitgeber – jetzt ehemaligen – sie darüber informierten.

Fall zwei reicht zurück bis ins Jahr 2012 und betraf das St. Joseph Health System. Falsch konfigurierte Sicherheitseinstellungen führten dazu, dass medizinische Daten von Patienten online sichtbar waren und das bis zu einem Jahr. Die anschließende Klage kostete das Krankenhaus Millionen.

Fall drei kann nur als unbeabsichtigte Sicherheitslücke beschrieben werden. Ein früherer Angestellter der Federal Deposit Insurance Corp. (FDIC) hatte „versehentlich und ohne böse Absicht“ Daten auf einen USB-Stick geladen. Enthalten waren unter anderem aber auch Informationen von bis zu 44.000 Mitarbeiter.

Wie man sieht, sind Insider-Bedrohungen nicht so simpel, wie angenommen. Aus unbedachten Aktivitäten können erhebliche Störungen für den Betriebsablauf resultieren. Ein Mangel an Verständnis über diese Bedrohungen ist an der Tagesordnung.

Die Verkörperung von Insider-Bedrohungen

insider threats

Wie durch CERT erläutert, sind Insider-Bedrohungen vielschichtig und sehr umfangreich. Sie können sowohl beabsichtigt als auch unbeabsichtigte sein und werden durch „technische, verhaltensbasierte und organisatorische Fragen“ beeinflusst. Das bedeutet, dass Organisationen jede dieser Schlüsselbereiche ansprechen und mit sicherheitsrelevanten Aspekten der Unternehmenssicherheit verknüpfen müssen. Dadurch stellen sie sicher, dass es Antworten auf die meisten kompromittierenden Szenarien gibt.

An dem mangelte es bisher. Das Problem für viele Unternehmen liegt darin, dass sie zwar neuste Technologien implementieren und ihre Vorteile daraus ziehen. Gleichzeitig aber nicht mit den dadurch neuen Herausforderungen umgehen können. Das ist es, was PwC als „das digitale Paradoxon“ bezeichnet.

„Heutige Unternehmen sind – dank neuster Kommunikationstechnologie und diversen Plattformen – besser als je zuvor in der Lage, wie Unkraut aus der Erde empor zu schießen. Viele Prozesse können schon in Echtzeit abgebildet werden. Doch gleichzeitig ist Cyber-Kriminalität ein mächtiger Gegner geworden, der die Unternehmenspotenziale beschränkt.“

Man sollte sich ins Gedächtnis rufen, dass es nicht nur absichtlich böswillige Bedrohungen gibt. Auch weniger offensichtliche Risiken können gleichartige Schäden verursachen, wie jene die durch Cyber-Kriminelle hervorgerufen werden (finanzieller Schaden, Bekanntheitsverlust, etc.).

Was jetzt unternommen werden muss

insider threats

Es gibt keine einfache Antwort auf diese Frage. Aber grundsätzlich sollte sich im Unternehmen ein Sicherheitskonzept etablieren, in dem detailliert festgehalten wird, wie man mit externen und internen Bedrohungen umzugehen hat. Dieses Programm bietet dann einen soliden Rahmen, auf dem man aufbauen kann.

Um mehr ins Detail zu gehen, sind im Folgenden einige der Dinge gelistet, die das Sicherheitskonzept auf jeden Fall beinhalten sollte.

Bewusstseinserweiternde Schulung der Mitarbeiter

In Bezug zu einer Umfrage in 2014 sagte ESETs David Harley: „Ich muss zugeben, dass eine Vielzahl von Sicherheitslücken direkt oder indirekt durch Angestellte eines Unternehmens hervorgerufen werden. Menschliches Versagen kommt genauso vor, wie das Opferwerden eines Social Engineering – Angriffs oder falsch getroffenes Sicherheitsmanagement.“

Bloße Internet-Affinität reicht schon lange nicht mehr aus. Die gesamte Belegschaft muss verstehen, wie einfach es ist, Fehler zu machen und wo genau sich Gefahren verstecken. Nichtwissen bedeutet keinen Anlaufpunkt im Zweifel einer Sicherheitsbedrohung zu haben. Und Fragen werden sicherlich auftreten.

Datensicherung

Genau aus den oben genannten Gründen ist es wichtig, Daten regelmäßig auf externe Festplatten zu sichern. Man kann vieles Unternehmen, um sich proaktiv zu schützen. Doch nichts ist todsicher und deshalb ist es besser einen Trumpf in der Hinterhand zu haben – nämlich das Back-Up.

Betrachten wir einmal Locky. Die Ransomware stellt eine externe Bedrohung dar. Gleichzeitig ist es aber auch eine interne. Die Malware wird via E-Mail-Anhang gestreut. Dahinter verbirgt sich ein Trojaner, der einmal durch einen Mitarbeiter ausgeführt, seinen gesamten Payload ablädt.

“Back-Ups sind unerlässlich.” meinen ESETs Josep Albors und Raphael Labaca Castro. “Es liegt klar auf der Hand. Das Letzte was man gebrauchen kann, ist eine lästige Ransomware, die wichtige Daten verschlüsselt und somit unzugänglich macht. Eine Datensicherung auf einem externen Speichermedium ist immer eine gute Idee.“

Festhalten, was akzeptabel ist und was nicht

Detaillierte Angaben über DOs und DON’Ts im Unternehmen sind überlebenswichtig. Sie ziehen eine Grenze um bewährte Verfahren. Zum Beispiel ist es in einigen Unternehmen gang und gäbe, dass Mitarbeiter ihren Arbeits-Laptop mit nach Hause nehmen dürfen. In anderen Firmen kann das unangemessen sein. Interessant ist auch die Art und Weise, wie die jeweiligen Unternehmen mit Grenzüberschreitungen umgehen. Viele Fragen kommen dabei auf. Reicht es zu verwarnen? Wie soll das Vergehen geahndet werden? – Natürlich werden die Antworten auf diese Fragen von einem zum anderen Unternehmen unterschiedlich ausfallen. Es ist jedoch wichtig, dass überhaupt Maßnahmen bei absichtlichen oder versehentlichen Verletzungen in Kraft treten.

 

Autor , ESET