Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Ihr habt mich, aber der Plan geht weiter

Was ein Maulwurf beim Verfassungsschutz mit Insiderbedrohungen zu tun hat „M. ist ein gelernter Bankkaufmann, kam als Quereinsteiger zum Verfassungsschutz und war erst seit April für das BfV tätig. Hier...
Carl Groves
5 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Inhalt

    Was ein Maulwurf beim Verfassungsschutz mit Insiderbedrohungen zu tun hat

    „M. ist ein gelernter Bankkaufmann, kam als Quereinsteiger zum Verfassungsschutz und war erst seit April für das BfV tätig. Hier versah er seinen Dienst in einer Observationseinheit, die Islamisten beobachten soll. Zuvor war der Familienvater bei einer Bank beschäftigt. Wegen einer Umstrukturierung suchte er “nach einer neuen Herausforderung” – so jedenfalls erklärte es bei seinem Einstellungsgespräch. Die obligatorische Sicherheitsüberprüfung, die Bewerber beim Inlandsnachrichtendienst durchlaufen müssen, hatte M. offenbar problemlos durchlaufen. So verfügte er über einen guten Leumund, hatte sein Haus abbezahlt – und in seinem Umfeld wusste offenbar niemand, dass er zum Islam konvertiert war.“

    Das meldete die dpa Anfang Dezember in Bezug auf den mutmaßlich islamistischen Maulwurf, der beim Verfassungsschutz aufgeflogen war. Im Rahmen seiner Tätigkeit sollte M. die islamistische Szene oberservieren. In einem einschlägigen Forum bot er dann selbst als Islamist Informationen zum Kauf an. Ausgerechnet einem anderen verdeckten Ermittler….

    Eine der Fragen mit denen sich die Untersuchungskommission nachfolgend beschäftigte: Wie konnte es passieren, dass jemand, der den Plan hatte, das BfV gezielt zu unterwandern, überhaupt bei einer Sicherheitsbehörde eingestellt werden konnte. Der erste Background Check war ja offensichtlich „ohne Befund“.

    Innentäter die unterschätzte Gefahr?

    Daran schließen sich einige grundsätzliche Fragen an. Es gibt ein ganzes Motivationsbündel, warum Menschen zu Insidern oder besser zu Innentätern werden. Und so unterschiedlich die Entscheidung motiviert ist, so unterschiedlich sind die verschiedenen Typen von Insidern. Glaubt man Forschungsergebnissen und Studien, sieht es fast so aus als könne unter den geeigneten Umständen praktisch jeder zum Insider werden entsprechende Umstände und Möglichkeiten vorausgesetzt. Und wenn ja, was ist er dann aufgrund seiner Position in der Lage zu tun? Auf welche Informationen, Daten und Dateien kann er zugreifen? Was damit (möglicherweise über einen sehr langen Zeitraum unentdeckt) tun?

    Bereits im Mai letzten Jahres widmeten BfV und ASW ihre eigene Sicherheitstagung dem Thema „Innentäter“ eine unterschätzte Gefahr in Unternehmen“. Ohne Fragezeichen im Übrigen. Die Liste der Vortragsthemen reicht über die Sicherheitsrisiken durch Insider und warum Innentäter als potenzielle Gefahrenquelle immer noch unterschätzt werden, welche Maßnahmen es gibt, um personelle Risiken und Recruiting besser zu steuern, warum Spionage durch Innentäter noch nie so einfach war wie jetzt, was man präventiv und in der Praxis gegen Insiderbedrohungen tun kann.

    Für alles was mit Wirtschafts- und Industriespionage, Datenschutzvergehen und Know-how-Klau zu tun hat sehen Experten im Wesentlichen die sogenannten „3M’s“ als entscheidend an:

    1. Das Motiv
    2. Die Moral
    3. Möglichkeit

    In etwa jedem zweiten identifizierten Fall geht die Wirtschaftsprüfungsgesellschaft KPMG von einem Innentäter aus. Und Innentäter sind es auch, die aufgrund ihrer physischen und virtuellen Zugangs- und Zugriffsmöglichkeiten potenziell den größten Schaden anrichten. Zu dieser Gruppe möglicher Innentäter zählen aber auch befristet im Unternehmen tätige Mitarbeiter, fremdes, temporär im Unternehmen tätiges Personal und externe Dienstleister. Sie alle erhalten Zutritts- und Zugangsberechtigungen, die oftmals nicht nur allzu weitreichend sind, sondern gerne bestehen bleiben. Auch, wenn ein Projekt bereits abgeschlossen ist oder der entsprechende Mitarbeiter Abteilung oder Unternehmen vielleicht schon verlassen hat. Aktuelle Sicherheitsstudien wie beispielsweise der Bitkom haben gezeigt, dass von den eigenen Beschäftigten und ehemaligen Mitarbeiter*innen eine große Gefahr ausgeht. Externe Dienstleistern werden in punkto Zugriffsrechte manchmal behandelt wie eigene Mitarbeiter und können sich vergleichsweise ungehindert im Netzwerk bewegen. Eine nicht zu unterschätzende Gefahr.

    Insider die neue Malware?

    Das Computer Emergency Response Team (CERT) der Carnegie Mellon University in Pittsburgh (Pennsylvania) sammelt systematisch Informationen zu Insidervorfällen in Bezug auf Datendiebstähle. Die Daten stammen sowohl von den US-Geheimdiensten als auch aus der eigenen Beratungstätigkeit des Unternehmens. Im Laufe der Jahre ist eine Datenbank mit 700 gut dokumentierten Insider-Fällen entstanden, die das CERT im Rahmen seiner Forschungstätigkeit analysiert hat. Mittel, Motiv und Gelegenheit sind die entscheidenden Aspekte bei einer Insiderbedrohung, wobei die Motivation besonders aufschlussreich ist.

    Sie ist schließlich eng mit bestimmten auch technischen Vorboten verknüpft. So beginnt beispielsweise ein verärgerter Mitarbeiter damit, die IT-Infrastruktur zu sondieren und auszutesten. Vielleicht hat der Insider Zugangsdaten eines anderen Mitarbeiters gestohlen und dadurch umfassende Zugriffsrechte erhalten. Ein nicht unübliches Verhaltensmuster bei externen Angreifern, die sich mithilfe dieser Berechtigungen im Netzwerk verhalten wie legitime interne Nutzer.

    Wenn sie dann innerhalb des für die vergebenen Berechtigungen gültigen Bereichs bleiben oder von sich von dort aus in den Besitz erweiterter Rechte wie die eines Administrators bringen, sind diese Aktivitäten nur sehr schwer aufzudecken. Technisch versierte Insider legen häufig sogenannte Logikbomben, um Dateien zu löschen oder sie hinterlassen Hintertüren im Code, die erst später benutzt werden. Und natürlich sind Insider in der idealen Position, um Daten zu stehlen und heraus zu schleusen.

    Was unterschiedliche Forschungsergebnisse wie auch die des Computer Emergency Response Teams (CERT) der Carnegie Mellon University (CMU) zeigen, ist, dass Insider ihre Tat im Vorfeld nicht nur planen sondern sozusagen „proben“ und dabei die Sicherheitsvorkehrungen testen. Wenn Unternehmen und Institutionen besser einschätzen können, welche Netzwerkaktivitäten für bestimmte Nutzer normal sind, lassen sich solche Probeläufe von Insidern mithilfe einer Technologie zur Analyse des Nutzerverhaltens oftmals erkennen bevor größerer Schaden entsteht.

    Die Dateiaktivitäten zu überwachen ist ein wesentlicher Punkt, um Insiderbedrohungen in den Griff zu bekommen. Außerdem sind die Analyse des Nutzerverhaltens sowie Korrelationsanalysen hilfreich. Fast immer legen Insider wahrnehmbare Verhaltensweisen an den Tag, die erkennbar sind, sobald Unternehmen oder Behörden Profile mit normalen (beziehungsweise als normal definierten) Verhaltensmustern erstellen, die helfen, Abweichungen zu identifizieren. Das gilt sowohl für vorsätzliche Taten als auch für deren billigende Inkaufnahme oder schlicht fahrlässiges Verhalten.

    In diesem Zusammenhang rücken Präventivmaßnahmen innerhalb des Recruiting-Prozesses in den Fokus. Hier reicht die Palette des Dargebotenen von Urkundenfälschung über Betrug bis hin zum Missbrauch von Titeln, Berufsbezeichnungen und Abzeichen. Eckhard Neumann, Geschäftsführer der Signum-Consulting GmbH nennt in seinem Vortrag auf der genannten Tagung drei Beispiele:

    • DAX30-Unternehmen: Bewerbung als „IT Internal Auditor“, Ergebnis: Krimineller Background im Ausland
    • Deutsches Mittelstandsunternehmen: Bewerbung als „HR-Manager“, Ergebnis: Abschlüsse gefälscht
    • Chemiekonzern (ohnehin eine der Fokusbranchen für Wirtschafts-/Cyberkriminalität): Bewerbung als „Sicherheitsingenieur“, Ergebnis: Universität existiert nicht

    Fälschung und Betrug hat es natürlich schon immer gegeben. Aber wie auch in anderen Bereichen  wirken sich die Veränderungen durch die Digitalisierung und die Internationalisierung des Arbeitsmarktes nicht nur vorteilhaft aus. Und die potenziellen Schäden sind erheblich, darunter Haftungsrisiken und Reputationsschäden.

    Risiken senken – Metadaten helfen

    Ein weiterer Schlüssel, um Insiderbedrohungen zu minimieren sind die Metadaten wie sie vielfach zwar zur Verfügung stehen, aber (noch) nicht ausreichend genutzt werden.

    Das sind zum einen die Benutzer- und Gruppeninformationen (aus Active Directory, LDAP, NIS, SharePoint etc.) sowie die vergebenen Berechtigungen, damit ich weiß, wer auf bestimmte Daten und Informationen überhaupt zugreifen kann (und sollte).

    Die Berechtigungen alleine sagen schon eine Menge aus. Hilfreich ist es dann aber vor allem die tatsächlichen Zugriffsaktivitäten zu kennen. Sprich, welcher Benutzer wann wie auf welche Dateien und Daten zugegriffen hat. Und schließlich sollten Unternehmen und Behörden genau wissen, wo die Dateien gespeichert sind, die sensible Daten und kritische Informationen enthalten. Kombiniert man anschließend dieses Wissen mit den Grundlagen der Verhaltensanalyse erhält man ein sehr viel genaueres Bild dessen, was im Netzwerk vor sich geht.  Verdächtige Aktivitäten sind beispielsweise ungewöhnliche Spitzen (in E-Mails, beim Zugriff auf Dateien oder auch Zugriffe, die verweigert wurden), das Zugreifen auf Daten, die für einen Benutzer oder auch bestimmte Konten untypisch sind, mehrere offene Events bei Dateien, die höchstwahrscheinlich Zugangsdaten enthalten, ein ungewöhnlicher Zugriff auf sensible oder veraltete Daten, kritische GPOs sind verändert oder Rechte erweitert worden.

    Solche Analysen über mehrere Monate haben darüber hinaus den Vorteil, dass weniger irrelevante Meldungen oder False-Positives ausgegeben werden. Ein übliches Problem, wenn man verschiedene Sicherheitssensoren einsetzt.

    Fazit

    Insiderbedrohungen haben wie die weitaus meisten Cyberbedrohungen in den vergangenen Monaten weitere Spielarten entwickelt, immer entlang der Megatrends der Digitalisierung. Es wird immer deutlicher, dass Unternehmen, staatliche Stellen und Verbände enger zusammenarbeiten müssen. Nicht zuletzt weil mithilfe des Internets manche Informationen dauerhaft verfügbar bleiben. Dazu Thomas Haldewang, Vizepräsident Bundesamt für Verfassungsschutz im Rahmen der Tagung „Neue Gefahren für Informationssicherheit und Informationshoheit am 9.Juni 2016: „Diese können, losgelöst von der Herkunftsquelle, verändert, verkürzt, manipuliert oder in einem anderen Kontext zitiert oder genutzt werden, sodass der Rechteinhaber die Hoheit und Steuerbarkeit über seine eignen digitalen Inhalte und Informationen einbüßt.“ Wir Angriffe motiviert sind, lässt in vielen Fällen verschiedene Antworten zu:

    – Spionage, Abschöpfen und Weiterverwenden von Informationen

    – Die Funktionsfähigkeit von Unternehmen, Behörden/staatlichen Stellen und kritischen Infrastrukturen beeinträchtigen oder komplett lahmlegen

    – Ein politisches Signal setzen, Institutionen, Behörden oder Unternehmen bloßstellen

    Was die Wirtschaft anbelangt trägt die elektronische Vernetzung einerseits dazu bei, ganze Wertschöpfungsketten zu verbessern. Industrie 4.0 und das Internet der Dinge können gerade im industriellen Bereich zu einem enormen Wachstumsmotor werden. Allerdings erhöhen sich auch die damit verbundenen Risiken. Wirtschaftsschutz muss also immer konzertierte Aktion sein.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Carl Groves
    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?