Mit Nutzerverhaltensanalyse Insider-Threats bekämpfen

bei

 / 9. February. 2020

Der Datendiebstahl durch Insider stellt die traditionelle IT-Sicherheit vor große Herausforderungen. Dies liegt vor allem daran, dass die Innentäter Mitarbeiter sind, die im Gegensatz zu externen Angreifern das Recht haben, im Netzwerk zu sein und auf Systeme und Daten zuzugreifen. Entsprechend greifen Standard-Sicherheitsmaßnahmen am Perimeter hier nicht. Vielmehr muss das Augenmerk auf verdächtiges Verhalten innerhalb der Systeme gerichtet werden. Die intelligente Analyse des Nutzerverhaltens (UBA) wird so zum Schlüssel, um Insider-Bedrohungen zu verhindern oder weitgehend abzuschwächen. Hierzu lernt die Software anhand von Protokoll- und Ereignishistorien (z.B. genutzte Programme, Dateizugriffe, Log-Ins), welches Verhalten für einen Mitarbeiter normal ist, um dann zu erkennen, wann es auffällig oder bedrohlich wird.

Trotz dieser hochentwickelten Lösungen ist die Aufdeckung einer Insider-Bedrohung schwieriger als die eines klassischen externen Angriffs. Mitarbeiter benötigen im Rahmen ihrer Tätigkeit den Zugriff auf wichtige und sensible Daten. UBA kann zwar abnormales Verhalten wie unübliche Zugriffsversuche erkennen, allerdings sollten Unternehmen diese ernste Bedrohung auf mehrschichtige Weise angehen. Dies kann beispielsweise die Erstellung und Kommunikation von Datenschutzrichtlinien für Mitarbeiter einbeziehen, aber auch Maßnahmen, um unzufriedene und verärgerte Mitarbeiter zu erkennen und entsprechende Schritte einzuleiten, um auf diese Weise zu verhindern, dass diese zu einer Bedrohung werden.

Gibt es eine „Täter-Persönlichkeit“?

Es gibt einige wissenschaftliche Studien [1] darüber, warum Mitarbeiter zu Innentätern werden. Demnach gibt es drei Hauptkategorien: Datendiebstahl für finanziellen Gewinn, Datendiebstahl, um Geschäftsvorteile zu erlangen (IP-Diebstahl) und IT-Sabotage.

Diebstahl (und -manipulation) für Geld ist das offensichtlichste Motiv. Diese Art von Betrug wird eher von untergeordneten, nicht technik-affinen Mitarbeitern begangen, in der Regel in Zusammenarbeit mit Außenstehenden. Dabei handelt es sich um Mitarbeiter mit typischerweise finanziellen Problemen, die ihre Berechtigungen im Rahmen von Datenerfassungen oder als Kundenbetreuer nutzen, um Kredithistorien zu ändern, Leistungen anzupassen oder falsche Zugangsdaten zu erstellen – alles gegen eine „Gebühr“. Der Diebstahl von Geld durch Mitarbeiter schafft es vielleicht nicht in die Nachrichten, aber die Forscher gehen davon aus, dass 5% der Unternehmen [2] jedes Jahr durch Betrug mittels unberechtigtem Zugriff auf Computersysteme Geld verlieren.

Wenn wir von diesem Motiv absehen und ein wenig tiefer graben, entdecken wir eine andere Art von Innentätern. Diejenigen, die es auf IT-Sabotage oder den Diebstahl geistigen Eigentums abgesehen haben, sind meist technisch orientierte Mitarbeiter, die sich die Zugangsdaten anderer Mitarbeiter beschaffen können oder bereits über die entsprechenden Rechte verfügen – und damit Zugriff auf wertvolle Inhalte wie Code, sensible Dokumente, Verträge, Pläne u.ä. haben. Diese Mitarbeiter sind in der Lage, die Systeme von innen heraus zu korrumpieren, etwa indem sie Verzeichnisse löschen oder bösartigen Code in kritische Infrastrukturen einschleusen, und/oder große Mengen an vertraulichen Daten zu entwenden. Dies sind dann auch die Fälle, die enorme finanzielle Auswirkungen haben Schlagzeilen machen, etwa bei Googles Klage gegen Uber wegen des Diebstahls geistigen Eigentums.

Frühe Warnsignale

Warum begehen Mitarbeiter Cyberverbrechen? Gibt es neben den finanziellen Gründen auch andere? Die Wissenschaftler haben bei ihren Untersuchungen festgestellt, dass es in der Regel ein Auslöser-Ereignis gibt: eine Entlassung oder Streitigkeiten mit dem Arbeitgeber, Nichtberücksichtigung bei Beförderungen oder Unzufriedenheit mit einer Gehaltserhöhung. Mit anderen Worten, es gibt oft starke psychologische Elemente. Natürlich reagiert nicht jeder auf diese Trigger. Aber es gibt eine kleine Gruppe mit einer entsprechenden Neigung, die oftmals mit Suchtverhalten, Mobbing oder anderen persönlichen Problemen verbunden ist. Und für diese Menschen reichen dann solche Auslöser aus, eine Cyberstraftat zu begehen.

Als Mitarbeiter benötigen Insider keine besondere Software oder Tools, um Zugang zu erhalten, was ihre Entdeckung natürlich erschwert. Jedoch gibt es eine Eigenart von Insidern, die man gegen sie einsetzen kann: Sie zeigen in aller Regel Vorläuferaktivitäten, die normalerweise auch eine Art Probelauf ihrer geplanten Aktion umfassen: So durchsuchen sie Verzeichnisse, überprüfen Berechtigungen oder kopieren selektiv Code und andere sensible Inhalte. Bei Entwicklern und Administratoren, die auf Zerstörung aus sind, kann man beobachten, dass harmlose Code-Ausschnitte in bestehende Software eingefügt oder Konfigurationsdateien subtil geändert werden.

Diese Aktionen sind offenbar für die Mitarbeiter ein Test, durch den sie feststellen wollen, ob ihre Aktivitäten vom Unternehmen bemerkt werden und (interessanterweise) ob sich das Unternehmen für ihre Aktionen (also für sie) interessiert. Auf einer psychologischen Ebene mag dies für die Mitarbeiter dann das Okay sein, ihre Aktion auch tatsächlich durchzuführen.

Viele Unternehmen würden natürlich lieber ihren Mitarbeitern vertrauen, als sie zu überwachen, aber das macht sie angreifbar für genau diese Art von Taten. Es ist wichtig, potenzielle Insider wissen zu lassen, dass sie beobachtet werden, denn es kann sie vom Angriff abhalten. Und vorausschauende Unternehmen werden alle Mitarbeiter über ihre internen Datenschutzrichtlinien informieren.

Auffälliges Verhalten früh identifizieren

Fassen wir also nochmal zusammen: Ein Mitarbeiter mit einer besonderen Disposition erlebt ein auslösendes Ereignis bei der Arbeit: die Beförderung wurde abgelehnt, der Bonus ist niedriger als erwartet oder der Vorgesetzte drangsaliert ihn. Daraufhin beginnt er, die IT-Umgebung des Unternehmens unter die Lupe zu nehmen und führt erste Probeläufe seines Datendiebstahls oder seiner Sabotageaktion durch, um zu sehen, ob jemand etwas bemerkt. Schließlich begeht er seine Tat.

Software zur Analyse des Nutzerverhaltens spielt bei der Entdeckung dieser Probeläufe eine wichtige Rolle. Die UBA-Technologie sucht nach Nutzungsmustern, die auf ungewöhnliche oder abnormale Verhaltensweisen hinweisen. Da sich der Insider während der Vorbereitung auf den Angriff im Dateisystem umsieht, noch dazu oft in Bereichen, auf die er normalerweise nicht zugreift, wird das UBA dieses neue Muster bemerken und das IT-Sicherheitspersonal alarmieren. Hierbei ist zu bemerken, dass nicht jede UBA-Lösung in der Lage ist, auch Dateiaktivitäten zu erfassen und zu überwachen. Diejenigen, die dies können, haben entsprechend deutliche Vorteile bei der Erkennung der ersten verdächtigen Aktionen.

Um zu verlässlichen Ergebnissen zu kommen, muss UBA zunächst wissen, was als normales Verhalten dieses Nutzers gilt. Hierzu greift es auf die Historie der Aktivitäten zurück, also auf System- und Ereignisprotokolle, Dateizugriffe und Netzwerkaktivitäten. Dabei lernen die UBA-Algorithmen stets dazu und „verstehen“ immer besser, welche Aktivitäten normal sind. Wenn sich ein Mitarbeiter nun von diesen Pfaden verabschiedet und sich mit seinen ersten Testläufen auf den Weg macht, ein Innentäter zu werden, registriert UBA diese verräterischen Aktionen und kann entsprechende Warnungen ausgeben.

UBA und andere Faktoren

Wie wir gesehen haben, macht es durchaus Sinn, die Informationen der UBA mit anderen Informationsquellen zu korrelieren, seien es Personalakten, Bewertungen oder ähnliches. Ein anormales Dateizugriffsmuster – jemand kopiert Dateien über das Wochenende – in Verbindung mit Informationen, dass sich der Mitarbeiter darüber beschwert hat, keine Beförderung erhalten zu haben, hat wesentlich mehr Aussagekraft als die bloße Identifizierung des abnormalen Verhaltens (vielleicht ist der Mitarbeiter nur mit einem Bericht spät dran?). Daher ist eine proaktive Datei- und Netzwerküberwachung und eine Alarmierung, wenn erste Anzeichen von Verhaltensproblemen auftreten, eine gute Möglichkeit, Insider-Bedrohungen auf die Schliche zu kommen.

Die Geschäftsführung sollte deutlich machen, dass sie Insiderbedrohungen ernst nimmt. Unternehmen sollten auch im Hinblick auf die Vermeidung von Insider-Vorfällen Weiterbildungsprogramme und Schulungen zum Thema Sicherheitsbewusstsein durchführen. Es gibt deutliche Hinweise darauf, dass potenzielle Insider ihre Pläne aufgeben, wenn sie wissen, dass ihre Aktivitäten im Rahmen spezieller Insider-Richtlinien überwacht werden. Wenn es also Anzeichen für ungewöhnliche Vorläuferaktivitäten eines Mitarbeiters zu geben scheint und eine zusätzliche Überwachung erforderlich ist, ist es vielleicht kein schlechter Zeitpunkt, eine E-Mail zu versenden, die die Mitarbeiter an die IP- und Sicherheitsrichtlinien des Unternehmens erinnert, einschließlich der Dateiüberwachung.

Anders ausgedrückt: Unternehmen sollten einen „Vertrauen, aber überprüfen“-Ansatz verfolgen. UBA kann so als Instrument zur Verhaltensänderung genutzt werden, um potenzielle Insider wieder zurück auf den „rechten Weg“ zu bringen.

Worin liegt nun der Unterschied zwischen UBA und traditionellen ereignis-basierten Regeln (etwa aus SIEM- oder DLP-Systemen)? Können diese Insider-Datendiebstähle ebenso gut verhindern? Eher nicht, denn ein auffälliges protokolliertes Ereignis allein bietet eben nicht genügend Informationen und Kontext für eine entsprechende Regel, wodurch es zu zahlreichen „False Positives“ kommen würde. UBA unterscheidet sich von anderen Methoden gerade dadurch, dass es aus (vergangenen) Mustern lernt und auf diese Weise in der Lage ist, schon die ersten Phasen etwa eines IP-Diebstahls zu identifizieren. Und das nahezu in Echtzeit, wodurch in aller Regel verhindert werden kann, dass Daten das Unternehmen jemals verlassen. Und sollte es dennoch zu einer erfolgreichen Datenexfiltration kommen, können die Auditprotokolle und andere Überwachungsergebnisse des UBA zur forensischen Aufklärung wesentlich beitragen und beweisen, dass Dateien tatsächlich gestohlen wurden.

Quellen und Referenzen:

[1] https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=91513

[2] https://www.forbes.com/sites/ivywalker/2018/12/28/your-employees-are-probably-stealing-from-you-here-are-five-ways-to-put-an-end-to-it/#652d68603386

Klaus Nemelka ist treibt als Technical Evangelist von Varonis Systems die Awareness-Bildung und das Bewusstsein für Datensicherheit und Datenschutz als Grundlage und Treiber der Digitalisierung voran.