Insider-Bedrohungen, Teil 1

In einem anderen Zusammenhang fiel in etwa diese Aussage: „Verschwende nie eine Krise.“ Zwar steht der eindeutige Beweis noch aus, doch spricht vieles dafür, dass beim Hacking-Angriff auf Sony Mitarbeiter in irgendeiner Art und Weise beteiligt waren (siehe Did North Korea Really Attack Sony? von Bruce Schneier). Noch wichtiger ist, dass der Sicherheitsvorfall bei Sony eine öffentliche Debatte zum Thema „böswillig agierende Mitarbeiter“ in Gang gebracht hat. Ein Thema, das Unternehmen bisher eher weniger gerne diskutiert oder gar kommentiert haben. Doch lassen wir Sony vorerst beiseite, bis es konkrete Informationen gibt, und sehen wir uns stattdessen bereits belegte Fälle mit Insider-Beteiligung an.

Gute Idee – doch wo findet man solche Fälle?

Glücklicherweise sammelt das Computer Emergency Response Team (CERT) der Carnegie Mellon University in Pittsburgh (Pennsylvania) Informationen zu Insider-Vorfällen in Bezug auf Datendiebstähle. Die Daten stammen sowohl von den US-Geheimdiensten als auch aus der eigenen Beratungstätigkeit des Unternehmens. Im Laufe der Jahre ist eine Datenbank mit 700 gut dokumentierten Insider-Fällen entstanden, die das CERT im Rahmen seiner Forschungstätigkeit analysiert hat. Eine wichtige Erkenntnis: Insider und externe Angreifer haben unterschiedliche Motive. Eines sollte man dabei allerdings nicht vergessen: IT-Sicherheitsmaßnahmen gegen Angriffe von Innen sind auch wirksam gegen Attacken, die von Außen kommen.

Die Motive
Als Forschungseinrichtung hat das CERT eigene Theorien zum Thema Insider-Datenkriminalität entwickelt, die in den entsprechenden wissenschaftlichen Publikationen nachzulesen sind. Doch wie jeder Krimifan weiß, geht es bei der Schuldfrage immer um drei Aspekte: Mittel, Motiv und Gelegenheit.

In der Welt des Insider-Datendiebstahls ist es besonders spannend, sich die Motive anzusehen. Aus welchen Gründen entscheiden sich Mitarbeiter in Vertrauensstellungen, dieses in sie gesetzte Vertrauen zu missbrauchen? Mit dieser Frage haben sich das CERT ausgiebig beschäftigt. Von den 700 registrierten Fällen haben sie diejenigen analysiert, die tatsächlich vor Gericht verhandelt wurden. Dabei fand man vier unterschiedliche Kategorien zur Motivation (siehe Grafik). Finanzielle Bereicherung, geschäftliche Vorteile (wie durch den Diebstahl geistigen Eigentums), IT-Sabotage und eine Kategorie mit sonstigen, unklaren Motiven.

image 1

Finanzielle Bereicherung ist zwar das offensichtlichste Motiv, trifft jedoch nur in weniger als der Hälfte aller Fälle zu. Das CERT-Team fand heraus, dass diese Art des Betrugs meist von Mitarbeitern in niedrigeren Unternehmenspositionen gewählt wurde, Mitarbeiter, die nicht zum technischen Bereich gehörten – und in der Regel in Zusammenarbeit mit Externen.

Dabei handelte es sich häufig um Mitarbeiter mit finanziellen Problemen, die ihre Zugriffsrechte als Datenerfasser oder Berater im Kunden-Support dazu missbrauchten, Finanzdaten zu manipulieren, Zahlungen an Arbeitnehmer anzupassen oder falsche Anmeldedaten zu generieren – gegen Gebühr, versteht sich.

Laut Informationen des CERT wurden diese Aktivitäten schließlich bei der Überprüfung von Aktivitätsprotokollen – insbesondere der Protokolle zu Systemänderungen und Dateizugriffen – bemerkt. Allerdings blieben die kriminellen Handlungen häufig vergleichsweise lange unentdeckt.

Sabotage!
Spätestens seit dem Sicherheitsvorfall bei Sony wissen wir, dass ein Diebstahl ohne finanzielle Motive genauso verheerende Folgen haben kann. Interessant an der Kategorie IT-Sabotage ist, dass die kriminellen Handlungen häufig Racheakte verärgerter Mitarbeiter waren.
Die Gründe? Die Analyse der CERT-Forscher ergab, dass die Auslöser „Kündigungen, Konflikte mit dem Arbeitgeber, neue Vorgesetzte, Versetzungen oder Degradierungen sowie Unzufriedenheit mit Gehaltserhöhungen oder Boni“ waren.

Dabei ist es wenig überraschend, dass IT-Sabotage in der Regel von – meist männlichen – technischen Mitarbeitern begangen wird, die wissen wie sie an die Zugangsdaten anderer Nutzer kommen. Im Endeffekt handelt es sich um Technik-Freaks, die Passwörter stehlen und dann virtuellen Sand ins IT-Getriebe streuen. Sie schreiben beispielsweise ein Skript oder Programm zur Löschung großer Datenmengen oder richten sogar ein Backdoor-Konto ein, um erst viel später einen Angriff auf das Unternehmen zu starten.

Letztendlich wurden die Saboteure durch die Überwachung der entsprechenden Protokolle für Remote- oder Dateizugriffe sowie der Anwendungs- und E-Mail-Protokolle überführt. Laut CERT sind diese Mitarbeiter allerdings raffinierter als die Insider-Diebe mit finanziellen Motiven. Und diese internen Angreifer sind technisch so versiert, dass sie ihre Spuren verwischen, indem sie Protokolle löschen oder manipulieren.

Motivation und äußere Faktoren
Das Thema Motivation ist so umfassend, dass es den Rahmen dieses Blog-Eintrags sprengen würde. Das CERT-Team hat einige provokante Thesen dazu aufgestellt, wie äußere Faktoren – zum Beispiel das Risiko erwischt zu werden oder die Unternehmenskultur – die Bereitschaft zu kriminellen Handlungen beeinflussen.

In einigen Fällen ist es sogar möglich, aus vorherigen Ereignissen auf potenzielle Datendiebe zu schließen. Denn es gibt Hinweise darauf, dass die Insider die Abwehrmechanismen der Unternehmen vor der Attacke über einen längeren Zeitraum auf Herz und Nieren prüfen.

Um dieses und andere Themen geht es im nächsten Blog-Eintrag zu Insider-Bedrohungen.

The post Insider-Bedrohungen, Teil 1 appeared first on Varonis Deutsch.