10.05.2017
Verhaltensmuster erkennen
1. Teil: „Identitätsdiebe rechtzeitig erwischen“
Identitätsdiebe rechtzeitig erwischen
Autor: Martin Grauel
Foto: Shutterstock / jijomathaidesigners
Durch die Analyse des Nutzerverhaltens sollen Kriminelle in flagranti erwischt werden. Privileged User Behavior Analytics kann IT-Abteilungen maßgeblich dabei unterstützen.
Unternehmen und Organisationen haben immer stärker damit zu kämpfen, dass vertrauliche Daten entwendet werden. So ergab 2016 eine Umfrage bei europäischen und amerikanischen Unternehmen durch das Beratungshaus Ponemon Institute, dass rund 76 Prozent der Befragten innerhalb der vergangenen zwei Jahre den Diebstahl von Geschäftsinformationen hatten hinnehmen müssen.
Nach Einschätzung von 58 Prozent der befragten IT-Sicherheitsfachleute und CIOs geht die größte Gefahr für Unternehmen von externen Angreifern und Hackern aus, die sich Account-Daten von IT-Nutzern verschafft haben. Ein hohes Risiko entsteht laut der Studie auch durch illoyale eigene Mitarbeiter (22 Prozent) und durch die Beschäftigung von IT-Dienstleistern (36 Prozent).
Ein Fünftel der IT-Experten stuft zudem den Missbrauch von IT-Nutzerkonten mit erweiterten Rechten als besonders kritisch ein.
Verdächtiges Verhalten
IT-Sicherheitsmaßnahmen wie Intrusion-Detection-Systeme (IDS), Log-Management-Lösungen und SIEM-Systeme (Security Incident and Event Management) sind nicht primär dafür ausgelegt, Angreifer zu identifizieren, die bereits Zugang zum Unternehmensnetz haben. Daher schaffen sie für sich allein keine ausreichende Sicherheit.
Ein neuer Lösungsansatz ist die Analyse des Nutzerverhaltens, sogenanntes User Behavior Analytics, kurz UBA. UBA-Lösungen nutzen Algorithmen und Machine-Learning-Techniken, um von einem Nutzer einen digitalen Fingerabdruck zu erstellen. Dazu werden Informationen über seine Arbeitsgewohnheiten herangezogen, etwa wann und wie lange er für gewöhnlich an einem IT-System arbeitet, welche Applikationen er verwendet und auf welche Server und Datenbestände er zugreift. Dadurch lassen sich verdächtige Abweichungen vom Gewohnten automatisch erkennen.
Suspekt ist zum Beispiel, wenn ein Nutzer in der Regel nur eine Textverarbeitung und eine Tabellenkalkulation genutzt hat und nun plötzlich damit beginnt, auf Datenbanken mit Kundendaten zuzugreifen. In diesem Fall sollte die IT-Abteilung diese Aktivitäten genauer unter die Lupe nehmen.
Ein UBA-System erfasst außerdem, von welchem Standort aus und mit welchen Endgeräten ein Nutzer arbeitet. Dubios ist beispielsweise, wenn Zugriffe plötzlich von Computern in Fernost aus erfolgen oder wenn dies zu Zeiten geschieht, in denen am Arbeitsort tiefe Nacht herrscht. Dies können Hinweise sein, dass vor dem Rechner nicht der legitime Nutzer sitzt, sondern ein Hacker in einem anderen Land.
Auch biometrische Faktoren lassen sich für User Behavior Analytics heranziehen. Beispielsweise erfasst eine Sicherheits-Software über einen Zeitraum von 30 bis 90 Tagen, in welchem Rhythmus und wie schnell ein Nutzer die Tastatur bedient und welche Bewegungen er mit der Maus ausführt. Ändern sich diese Muster abrupt, sendet die UBA-Software eine Alarmmeldung an den zuständigen IT-Sicherheitsfachmann und unterbricht gegebenenfalls die Verbindung des verdächtigen Rechners zum Firmennetz. Denn ein stark verändertes Nutzerverhalten kann zwei Ursachen haben: Der Zugriff erfolgt durch einen Dritten, der sich als rechtmäßiger Nutzer ausgibt – oder der Mitarbeiter selbst tut etwas Außergewöhnliches, möglicherweise mit bösartiger Absicht.
2. Teil: „Schutz der Privatsphäre “
Schutz der Privatsphäre
Wenn es ums Monitoring von Aktivitäten oder Nutzeranalysen geht, stellt sich immer auch die Frage nach der Privatsphäre der Mitarbeiter. Fest steht: Alle Daten, die über Benutzer gesammelt werden, müssen mit größtmöglicher Sorgfalt behandelt werden. Sie dürfen nur Personen zugänglich sein, die dafür autorisiert sind und das auch nur in bestimmten Situationen und im Rahmen der lokalen Datenschutzbestimmungen.
Log-Management-Lösungen, die Daten für die UBA liefern, müssen Funktionen zur Anonymisierung und Pseudonymisierung bieten. Die Pseudonymisierung darf sich nur im Notfall und unter strengen Sicherheitsvorkehrungen auflösen lassen. Auch beim Monitoring der Aktivitäten privilegierter User wie etwa SystemAdministratoren, einer weiteren wichtigen Datenquelle für UBA-Tools, darf der Zugriff nur über ein Mehraugen-Prinzip oder eine Vieraugen-Authentifizierung erfolgen.
Privilegierte User
Der Hauptzweck von UBA-Tools ist in den meisten Unternehmen die Abwehr gegen gezielte Angriffe und Advanced Persistent Threats (APT), bei denen legitime Benutzerkonten missbraucht und Benutzerprofile gekapert werden. Das Primärziel sind dabei privilegierte Benutzer mit Zugang zu den wirklich sensiblen Daten. Deshalb ist es sinnvoll, UBA-Tools auch nur für das Monitoring dieser kleinen Gruppe einzusetzen – anstatt alle Mitarbeiter einzubeziehen. Dazu arbeiten europäische UBA-Anbieter schon wegen der lokalen Gesetzgebung intensiv daran, die Problematik der Pseudonymisierung zu lösen, um Privatsphäre zu gewährleisten.
Was halten die privilegierten Benutzer von so einem Monitoring? IT-Spezialisten, etwa Administratoren, haben laut einer Umfrage von Balabit geringe Vorbehalte: Rund 85 Prozent hätten nichts gegen ein Monitoring ihres Verhaltens, 61 Prozent würden es jedoch von der eingesetzten Lösung abhängig machen. Rund 49 Prozent gaben an, dass sie sich schon einmal ein Monitoring ihrer Aktivitäten gewünscht haben, etwa um nach Datenverlusten ihre Unschuld zu beweisen.
Fazit
Die Vorstellung, eine IT-Abteilung könne ihr Unternehmen oder ihre Organisation komplett gegen kriminelle Aktivitäten abschirmen, ist illusorisch – schon, weil solche Aktivitäten auch von eigenen Mitarbeitern ausgehen können. Es ist jedoch möglich, verdächtige Aktivitäten zu erkennen, bevor es zu spät ist. Privileged User Behavior Analytics kann IT-Abteilungen maßgeblich dabei unterstützen. Die Möglichkeit, weitere Datenquellen für das Identifizieren von Angriffen zu verwenden, etwa wann ein User welche Applikationen nutzt, ist eine wertvolle Hilfe für IT-Sicherheitsfachleute.
Geschäftsführung
D-Link - Thomas von Baross geht
Lange Jahre war Thomas von Baross Geschäftsführer von D-Link Deutschland - nun verlässt er das Unternehmen. Seine Nachfolger kommen aus den eigenen Reihen.
>>
Open Access
Plusnet und Deutsche Giganetz kooperieren
Die Deutsche Giganetz GmbH schließt sich der Open Access Plattform von Plusnet an. Durch die Kooperation kann Plusnet auf 500.000 Glasfaseranschlüsse in elf Bundesländern zugreifen.
>>
ServiceNow
Die generative KI von Now Assist bekommt ein Gesicht
ServiceNow hat auf seiner Kunden- und Partnerkonferenz Knowledge 2024 in Las Vegas den Ausbau der Partnerschaften mit NVIDIA und Microsoft bekannt gegeben. Künftig sollen KI-Avatare für individuellere Mitarbeiter- und Kundenerlebnisse sorgen.
>>
Wavehouse Campbell
Das Rechenzentrum aus dem 3D-Drucker
Ein Gebäude aus dem 3D-Drucker? Das ist inzwischen gar nicht mehr so ungewöhnlich. In Heidelberg ist allerdings ein ganzes Rechenzentrum auf diese Art gewachsen, derzeit das größte im 3D-Druck entstandene Gebäude in Europa.
>>