10.05.2017
Verhaltensmuster erkennen
1. Teil: „Identitätsdiebe rechtzeitig erwischen“
Identitätsdiebe rechtzeitig erwischen
Autor: Martin Grauel
Foto: Shutterstock / jijomathaidesigners
Durch die Analyse des Nutzerverhaltens sollen Kriminelle in flagranti erwischt werden. Privileged User Behavior Analytics kann IT-Abteilungen maßgeblich dabei unterstützen.
Unternehmen und Organisationen haben immer stärker damit zu kämpfen, dass vertrauliche Daten entwendet werden. So ergab 2016 eine Umfrage bei europäischen und amerikanischen Unternehmen durch das Beratungshaus Ponemon Institute, dass rund 76 Prozent der Befragten innerhalb der vergangenen zwei Jahre den Diebstahl von Geschäftsinformationen hatten hinnehmen müssen.
Nach Einschätzung von 58 Prozent der befragten IT-Sicherheitsfachleute und CIOs geht die größte Gefahr für Unternehmen von externen Angreifern und Hackern aus, die sich Account-Daten von IT-Nutzern verschafft haben. Ein hohes Risiko entsteht laut der Studie auch durch illoyale eigene Mitarbeiter (22 Prozent) und durch die Beschäftigung von IT-Dienstleistern (36 Prozent).
Ein Fünftel der IT-Experten stuft zudem den Missbrauch von IT-Nutzerkonten mit erweiterten Rechten als besonders kritisch ein.
Verdächtiges Verhalten
IT-Sicherheitsmaßnahmen wie Intrusion-Detection-Systeme (IDS), Log-Management-Lösungen und SIEM-Systeme (Security Incident and Event Management) sind nicht primär dafür ausgelegt, Angreifer zu identifizieren, die bereits Zugang zum Unternehmensnetz haben. Daher schaffen sie für sich allein keine ausreichende Sicherheit.
Ein neuer Lösungsansatz ist die Analyse des Nutzerverhaltens, sogenanntes User Behavior Analytics, kurz UBA. UBA-Lösungen nutzen Algorithmen und Machine-Learning-Techniken, um von einem Nutzer einen digitalen Fingerabdruck zu erstellen. Dazu werden Informationen über seine Arbeitsgewohnheiten herangezogen, etwa wann und wie lange er für gewöhnlich an einem IT-System arbeitet, welche Applikationen er verwendet und auf welche Server und Datenbestände er zugreift. Dadurch lassen sich verdächtige Abweichungen vom Gewohnten automatisch erkennen.
Suspekt ist zum Beispiel, wenn ein Nutzer in der Regel nur eine Textverarbeitung und eine Tabellenkalkulation genutzt hat und nun plötzlich damit beginnt, auf Datenbanken mit Kundendaten zuzugreifen. In diesem Fall sollte die IT-Abteilung diese Aktivitäten genauer unter die Lupe nehmen.
Ein UBA-System erfasst außerdem, von welchem Standort aus und mit welchen Endgeräten ein Nutzer arbeitet. Dubios ist beispielsweise, wenn Zugriffe plötzlich von Computern in Fernost aus erfolgen oder wenn dies zu Zeiten geschieht, in denen am Arbeitsort tiefe Nacht herrscht. Dies können Hinweise sein, dass vor dem Rechner nicht der legitime Nutzer sitzt, sondern ein Hacker in einem anderen Land.
Auch biometrische Faktoren lassen sich für User Behavior Analytics heranziehen. Beispielsweise erfasst eine Sicherheits-Software über einen Zeitraum von 30 bis 90 Tagen, in welchem Rhythmus und wie schnell ein Nutzer die Tastatur bedient und welche Bewegungen er mit der Maus ausführt. Ändern sich diese Muster abrupt, sendet die UBA-Software eine Alarmmeldung an den zuständigen IT-Sicherheitsfachmann und unterbricht gegebenenfalls die Verbindung des verdächtigen Rechners zum Firmennetz. Denn ein stark verändertes Nutzerverhalten kann zwei Ursachen haben: Der Zugriff erfolgt durch einen Dritten, der sich als rechtmäßiger Nutzer ausgibt – oder der Mitarbeiter selbst tut etwas Außergewöhnliches, möglicherweise mit bösartiger Absicht.
2. Teil: „Schutz der Privatsphäre “
Schutz der Privatsphäre
Wenn es ums Monitoring von Aktivitäten oder Nutzeranalysen geht, stellt sich immer auch die Frage nach der Privatsphäre der Mitarbeiter. Fest steht: Alle Daten, die über Benutzer gesammelt werden, müssen mit größtmöglicher Sorgfalt behandelt werden. Sie dürfen nur Personen zugänglich sein, die dafür autorisiert sind und das auch nur in bestimmten Situationen und im Rahmen der lokalen Datenschutzbestimmungen.
Log-Management-Lösungen, die Daten für die UBA liefern, müssen Funktionen zur Anonymisierung und Pseudonymisierung bieten. Die Pseudonymisierung darf sich nur im Notfall und unter strengen Sicherheitsvorkehrungen auflösen lassen. Auch beim Monitoring der Aktivitäten privilegierter User wie etwa SystemAdministratoren, einer weiteren wichtigen Datenquelle für UBA-Tools, darf der Zugriff nur über ein Mehraugen-Prinzip oder eine Vieraugen-Authentifizierung erfolgen.
Privilegierte User
Der Hauptzweck von UBA-Tools ist in den meisten Unternehmen die Abwehr gegen gezielte Angriffe und Advanced Persistent Threats (APT), bei denen legitime Benutzerkonten missbraucht und Benutzerprofile gekapert werden. Das Primärziel sind dabei privilegierte Benutzer mit Zugang zu den wirklich sensiblen Daten. Deshalb ist es sinnvoll, UBA-Tools auch nur für das Monitoring dieser kleinen Gruppe einzusetzen – anstatt alle Mitarbeiter einzubeziehen. Dazu arbeiten europäische UBA-Anbieter schon wegen der lokalen Gesetzgebung intensiv daran, die Problematik der Pseudonymisierung zu lösen, um Privatsphäre zu gewährleisten.
Was halten die privilegierten Benutzer von so einem Monitoring? IT-Spezialisten, etwa Administratoren, haben laut einer Umfrage von Balabit geringe Vorbehalte: Rund 85 Prozent hätten nichts gegen ein Monitoring ihres Verhaltens, 61 Prozent würden es jedoch von der eingesetzten Lösung abhängig machen. Rund 49 Prozent gaben an, dass sie sich schon einmal ein Monitoring ihrer Aktivitäten gewünscht haben, etwa um nach Datenverlusten ihre Unschuld zu beweisen.
Fazit
Die Vorstellung, eine IT-Abteilung könne ihr Unternehmen oder ihre Organisation komplett gegen kriminelle Aktivitäten abschirmen, ist illusorisch – schon, weil solche Aktivitäten auch von eigenen Mitarbeitern ausgehen können. Es ist jedoch möglich, verdächtige Aktivitäten zu erkennen, bevor es zu spät ist. Privileged User Behavior Analytics kann IT-Abteilungen maßgeblich dabei unterstützen. Die Möglichkeit, weitere Datenquellen für das Identifizieren von Angriffen zu verwenden, etwa wann ein User welche Applikationen nutzt, ist eine wertvolle Hilfe für IT-Sicherheitsfachleute.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Personen
Nfon CCO Gernot Hofstetter tritt zurück
Gernot Hofstetter war sechs Jahre beim Münchner Cloud-PBX-Anbieter Nfon, zuletzt als Chief Commercial Officer. Nun hat er das Unternehmen verlassen und ist zum Start-up Stealth Mode gewechselt.
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Datenverfügbarkeit
Where EDGE Computing meets 5G
Logistik- und Produktionsprozesse sollen flüssig und fehlerfrei laufen. Maschinen und Personal müssen im Takt funktionieren. Zulieferer haben just-in-time anzuliefern. Dies stellt hohe Anforderungen an die lokale Datenübertragung. Welche Technik bietet sich dazu an?
>>