Identitätsdiebe rechtzeitig erwischen

Unternehmen und Organisationen haben immer stärker damit zu kämpfen, dass vertrauliche Daten entwendet werden. So ergab 2016 eine Umfrage bei europäischen und amerikanischen Unternehmen durch das Beratungshaus Ponemon Ins­titute, dass rund 76 Prozent der Befragten innerhalb der vergangenen zwei Jahre den Diebstahl von Geschäfts­informationen hatten hinnehmen müssen.

Nach Einschätzung von 58 Prozent der befragten IT-Sicherheitsfachleute und CIOs geht die größte Gefahr für Unternehmen von externen Angreifern und Hackern aus, die sich Account-Daten von IT-Nutzern verschafft haben. Ein hohes Risiko entsteht laut der Studie auch durch illoyale eigene Mitarbeiter (22 Prozent) und durch die Beschäftigung von IT-Dienstleistern (36 Prozent).

Ein Fünftel der IT-Experten stuft zudem den Missbrauch von IT-Nutzerkonten mit erweiterten Rechten als besonders kritisch ein.

IT-Sicherheitsmaßnahmen wie Intrusion-Detection-Systeme (IDS), Log-Management-Lösungen und SIEM-Systeme (Security Incident and Event Management) sind nicht primär dafür ausgelegt, Angreifer zu identifizieren, die bereits Zugang zum Unternehmensnetz haben. Daher schaffen sie für sich allein keine ausreichende Sicherheit.

Ein neuer Lösungsansatz ist die Analyse des Nutzerverhaltens, sogenanntes User Behavior Analytics, kurz UBA. UBA-Lösungen nutzen Algorithmen und Machine-Learning-Techniken, um von einem Nutzer einen digitalen Fingerabdruck zu erstellen. Dazu werden Informationen über seine Arbeitsgewohnheiten herangezogen, etwa wann und wie lange er für gewöhnlich an einem IT-System arbeitet, welche Applikationen er verwendet und auf welche Server und Datenbestände er zugreift. Dadurch lassen sich verdächtige Abweichungen vom Gewohnten automatisch erkennen.

Suspekt ist zum Beispiel, wenn ein Nutzer in der Regel nur eine Textverarbeitung und eine Tabellenkalkulation genutzt hat und nun plötzlich damit beginnt, auf Datenbanken mit Kundendaten zuzugreifen. In diesem Fall sollte die IT-Abteilung diese Aktivitäten genauer unter die Lupe nehmen.

Ein UBA-System erfasst außerdem, von welchem Standort aus und mit welchen Endgeräten ein Nutzer arbeitet. Dubios ist beispielsweise, wenn Zugriffe plötzlich von Computern in Fernost aus erfolgen oder wenn dies zu Zeiten geschieht, in denen am Arbeitsort tiefe Nacht herrscht. Dies können Hinweise sein, dass vor dem Rechner nicht der legitime Nutzer sitzt, sondern ein Hacker in einem anderen Land.

Auch biometrische Faktoren lassen sich für User Behavior Analytics heranziehen. Beispielsweise erfasst eine Sicherheits-Software über einen Zeitraum von 30 bis 90 Tagen, in welchem Rhythmus und wie schnell ein Nutzer die Tastatur bedient und welche Bewegungen er mit der Maus ausführt. Ändern sich diese Muster abrupt, sendet die UBA-Software eine Alarmmeldung an den zuständigen IT-Sicherheitsfachmann und unterbricht gegebenenfalls die Verbindung des verdächtigen Rechners zum Firmennetz. Denn ein stark verändertes Nutzerverhalten kann zwei Ursachen haben: Der Zugriff erfolgt durch einen Dritten, der sich als rechtmäßiger Nutzer ausgibt – oder der Mitarbeiter selbst tut etwas Außergewöhnliches, möglicherweise mit bösartiger Absicht.

Wenn es ums Monitoring von Aktivitäten oder Nutzeranalysen geht, stellt sich immer auch die Frage nach der Privatsphäre der Mitarbeiter. Fest steht: Alle Daten, die über Benutzer gesammelt werden, müssen mit größtmöglicher Sorgfalt behandelt werden. Sie dürfen nur Personen zugänglich sein, die dafür autorisiert sind und das auch nur in bestimmten Situationen und im Rahmen der lokalen Datenschutzbestimmungen.

Log-Management-Lösungen, die Daten für die UBA liefern, müssen Funktionen zur Anonymisierung und Pseudonymisierung bieten. Die Pseudonymisierung darf sich nur im Notfall und unter strengen Sicherheitsvorkehrungen auflösen lassen. Auch beim Monitoring der Aktivitäten privi­le­gierter User wie etwa System­Administratoren, einer weiteren wichtigen Datenquelle für UBA-Tools, darf der Zugriff nur über ein Mehraugen-Prinzip oder eine Vieraugen-Authentifizierung erfolgen.

Der Hauptzweck von UBA-Tools ist in den meisten Unternehmen die Abwehr gegen gezielte Angriffe und Advanced Persistent Threats (APT), bei denen legitime Benutzerkonten missbraucht und Benutzerprofile gekapert werden. Das Primärziel sind dabei privilegierte Benutzer mit Zugang zu den wirklich sensiblen Daten. Deshalb ist es sinnvoll, UBA-Tools auch nur für das Monitoring dieser kleinen Gruppe einzusetzen – anstatt alle Mitarbeiter einzubeziehen. Dazu arbeiten europäische UBA-Anbieter schon wegen der lokalen Gesetzgebung intensiv daran, die Problematik der Pseudonymisierung zu lösen, um Privatsphäre zu gewährleisten.

Was halten die privilegierten Benutzer von so einem Monitoring? IT-Spezialisten, etwa Administratoren, haben laut einer Umfrage von Balabit geringe Vorbehalte: Rund 85 Prozent hätten nichts gegen ein Monitoring ihres Verhaltens, 61 Prozent würden es jedoch von der eingesetzten Lösung abhängig machen. Rund 49 Prozent gaben an, dass sie sich schon einmal ein Monitoring ihrer Aktivitäten gewünscht haben, etwa um nach Datenverlusten ihre Unschuld zu beweisen.

Die Vorstellung, eine IT-Abteilung könne ihr Unternehmen oder ihre Organisation komplett gegen kriminelle Aktivitäten abschirmen, ist illusorisch – schon, weil solche Aktivitäten auch von eigenen Mitarbeitern ausgehen können. Es ist jedoch möglich, verdächtige Aktivitäten zu erkennen, bevor es zu spät ist. Privileged User Behavior Analytics kann IT-Abteilungen maßgeblich dabei unterstützen. Die Möglichkeit, weitere Datenquellen für das Identifizieren von Angriffen zu verwenden, etwa wann ein User welche Applikationen nutzt, ist eine wertvolle Hilfe für IT-Sicherheitsfachleute.