Insider-Lecks vermeiden

Das Problem der Insider-Bedrohung wird immer brisanter. Man denkt dabei vielleicht zuerst an Wirtschaftsspionage, an Konkurrenten, die ein Unternehmen infiltrieren – oder an böswillig agierende Mitarbeiter, die Informationen mitgehen lassen. Doch der weitaus größte Teil der Insider-Bedrohungen ist weniger spektakulär: Er entsteht durch das Fehlverhalten von Mitarbeitern. Die meisten Unternehmen führen mittlerweile Schulungen und Aufklärungsprogramme durch. Trotzdem stecken laut dem „2014 Data Breach Investigations Report (DBIR“) von Verizon hinter 60 Prozent aller Insider-Lecks keine bösen Absichten, sondern schlicht Fehler.

Ein häufiger Fehler entsteht durch simples Copy and Paste, das zum unbeabsichtigten Verstreuen von vertraulichen oder sensiblen Daten im Unternehmensnetzwerk führt. Oft ist auch ein Mitarbeiter ohne böse Absicht in einem Bereich des Netzwerks unterwegs, der nicht für seine Augen bestimmt ist. Hat dieser Mitarbeiter über sein Benutzerkonto Zugriff auf die betreffenden Daten, dann kann auch ein Hacker über die Login-Daten dieses Users Zugriff erlangen.

Es ist an der Zeit, ein unterschätztes Problem anzugehen. Grundsätzlich sollten Unternehmen den Fokus auf die Daten legen, nicht auf die Mitarbeiter. Denn die Daten lassen sich leichter kontrollieren.

Besonders großen Schaden anrichten können globale Zugriffsrechte. Daher sollte man sie ausschließlich bei Informationen einsetzen, die zu 100 Prozent öffentlich zugänglich sein dürfen. Viele Systeme bieten die Option, mit Hilfe bestimmter Gruppen wie „Jeder“ oder „Authentifizierte Benutzer“ in Windows globale Rechte für Informationen zu erteilen. Wenn Unternehmen das tun, dann heißt das eigentlich: „Mir ist egal, was mit diesen Daten passiert.“

Tatsächlich ist es schon vorgekommen, dass globale Zugriffsrechte für Ordner erteilt wurden, in denen Millionen von Kreditkarten- oder Sozialversicherungsnummern gespeichert waren. Für interne Daten verzichtet man am besten komplett auf globale Zugriffsrechte.

Bei einer aktuellen Umfrage des Ponemon Institute haben vier von fünf IT-Experten angegeben, dass in ihrem Unternehmen das Prinzip der minimalen Rechtevergabe nicht umgesetzt wird. Das heißt, in den allermeisten Organisationen verfügen Mitarbeiter über deutlich mehr Berechtigungen als erforderlich. Damit bieten sie Kriminellen eine unnötig große Angriffsfläche.

• Mitarbeiter wechseln ihre Position oder ihre Abteilung oder die Verantwortlichkeiten ändern sich
• Temporäre Projekte erfordern temporäre Berechtigungen
• Beratungsverträge laufen aus
• Zugriffsrechte werden versehentlich erteilt
• Mitarbeiter verlassen das Unternehmen

Dieser Wildwuchs lässt sich schwer verhindern und noch schwerer beseitigen. Den Berechtigungen von temporären Mitarbeitern, Lieferanten, Beratern und Projektteams sollte man in jedem Fall ein Ablaufdatum zuweisen. Sehen Sie außerdem Software am besten wie einen Insider an und wenden Sie das Prinzip der minimalen Rechtevergabe darauf genauso an.

Gibt es beispielsweise beim Webserver eine Schwachstelle und läuft er unter einem privilegierten Domänennutzer, der Zugriff auf das Dateisystem oder auf Netzwerkfreigaben hat, dann wird aus der Sicherheitslücke in der Webserver-Software ein Insider-Problem.

Selbst wenn Sie automatisch ablaufende Zugriffsrechte er- teilen, zahlen sich regelmäßige Überprüfungen durch die Benutzer der jeweiligen Abteilungen aus. Diese Benutzer haben einen großen Vorteil: Sie kennen die Personen, die die Daten verwenden. Überlassen Sie Entscheidungen den Leuten, die den Kontext kennen. Das sollten dann auch diejenigen Nutzer sein, die Änderungen vornehmen.

In der Gruppe der Domain-Administratoren sollte man regelmäßig Berechtigungsprüfungen durchführen, um sicherzustellen, dass sich keine unbefugten Mitglieder eingeschlichen haben. Äußerst hilfreich kann es auch sein, Benachrichtigungen für den Fall einzurichten, dass der Gruppe ein Benutzer hinzugefügt wird. Das sollte so selten der Fall sein, dass man dazu auf jeden Fall eine E-Mail oder eine SMS-Nachricht erhält.

Active Directory zu überprüfen ist praktisch lebensnotwendig, denn in zahlreichen Unternehmen liegt hier das Herzstück der Zugriffskontrolle. Wenn jemand über eine Active-Directory-Gruppe Berechtigungen zu kritischen Informationen erhält, sollte Klarheit herrschen, wer den Benutzer wann und wie hinzugefügt hat. Anschließend sollte man anhand der Protokolle zur Dateianalyse beobachten, wie der Nutzer die neuen Zugriffsrechte einsetzt.

Dabei reicht es bei Weitem nicht aus, ein vom Kontext losgelöstes Element zu betrachten, wie es bei herkömmlichen Intrusion-Prevention-Systemen der Fall ist. Vielmehr sind die Ereignisse in ihrem jeweiligen Zusammenhang zu sehen. Ein Beispiel: Herr Schmidt hat vor fünf Minuten 250 Verträge gelöscht, und Herr Schmidt arbeitet in der Kantine – hier sollten alle Alarmglocken schrillen.

Zur Analyse wird idealerweise jedem Benutzer ein Profil zugewiesen, das sein „normales“ Verhalten definiert. So lässt sich der Kontext erkennen, und Warnungen werden nur aus gelöst, wenn der Nutzer sich ungewöhnlich verhält. Das lässt sich mit einer Software zur Dateianalyse bewerkstelligen, die jedes Ereignis innerhalb der Filesharing- (und E-Mail-)Infrastruktur erfasst und analysiert.

Es empfiehlt sich darüber hinaus, das Netzwerk auf deutlich gesteigerte Aktivitäten außerhalb der üblichen Arbeitszeiten hin zu überwachen, ebenso Zugriffe auf Informationen, die nicht in den Speicherbereich der jeweiligen Abteilung gehören.

Ein Honeypot ist ein freigegebener Ordner, der aussieht wie ein lukratives Ziel für Datendiebe und der frei zugänglich ist. Er dient allein dazu, festzustellen, wer darauf zugreift. Das Rezept ist ziemlich einfach. Richten Sie zunächst einen freigegebenen Ordner ein, auf den jeder Nutzer zugreifen kann. So etwas wie: „X:\Freigabe\Gehälter“ oder „X:\Freigabe\CEO“. Dann lehnen Sie sich zurück und sehen zu, wer darauf anspringt. Vielleicht sind das nur neugierige Mitarbeiter, die ein bisschen stöbern – oder aber eine Malware ist in Aktion.

Es ist sehr wichtig zu wissen, wo sich die „Kronjuwelen“ eines Unternehmens befinden. Dazu ist es in der Regel erforderlich, die Daten per Software zu klassifizieren. Doch diese Information allein reicht nicht aus. Mit einer geeigneten Software lassen sich außerdem Fragen beantworten wie: Wem gehören die Dateien (nicht das Attribut Verfasser/Data Owner, sondern wer sie wirklich besitzt)? Wer hat Zugriff darauf? Wofür werden diese Daten verwendet? Wurden sie geöffnet? Kopiert? Von wem? Wann?

Mit diesen Metadaten wird es möglich, die Daten mit dem größten potenziellen Risiko ausfindig zu machen und entsprechende Maßnahmen zu ergreifen: Berechtigungsstruktur überwachen, Zugriffsrechte häufiger überprüfen und Warnungen einrichten.

Neben dieser Art von Daten sollte man auch Benutzer mit einem potenziell hohen Risiko (wie IT-Administratoren) überwachen. Die Kontrolle von Administratoren ist nicht ganz trivial, da es in der Natur der Sache liegt, dass sie normalerweise umfassende Zugriffsrechte benötigen. Bestimmte Verhaltensweisen wecken aber eindeutig Verdacht, etwa wenn ein Domain-Administrator E-Mails im Posteingang anderer Nutzer liest und diese anschließend als ungelesen markiert.

Dieser Artikel wurde von David Lin verfasst, Sales Manager Enterprise DACH beim Security-Dienstleister Varonis.