Insider Leaks – die unterschätze Gefahr

bei

 / 30. August. 2021

Sorry, this entry is only available in German. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Insider-Vorfälle sind ein heikles, mitunter unangenehmes Thema, denn niemand möchte seinen Kollegen misstrauen oder ihnen unredliche Absichten unterstellen. Kein Wunder also, dass sich viele Unternehmen am liebsten gar nicht mit diesem Thema beschäftigen wollen. Dennoch gibt es gute Gründe hierfür: Der 2021 Data Breach Investigations Report von Verizon [1] hat gezeigt, dass bei gut einem Viertel aller Sicherheitsverletzungen Insider involviert waren.

Daten stellen für die meisten Unternehmen ihr wichtigstes und wertvollstes Gut dar. Gleichwohl kontrollieren zu wenige Unternehmen ihre Daten adäquat, etwa in Hinblick auf Nutzung und Zugriff. Stattdessen sind oftmals zahlreiche Dateien für alle Mitarbeiter zugänglich und können nicht nur geöffnet, sondern auch kopiert, verschoben, verändert, gelöscht und an Dritte gemailt werden.

Der Zugriff auf Daten in jedem Unternehmen sollte jedoch idealerweise auf diejenigen beschränkt sein, die sie tatsächlich benötigen. Dieser Least-Privilege-Ansatz verringert die Wahrscheinlichkeit deutlich, dass diese Daten exfiltriert, beschädigt oder verschlüsselt werden, wenn ein Nutzerkonto (etwa durch Phishing) kompromittiert wird.

Wie kommt es zu Insider-Vorfällen?

Meist steckt hinter Insider-Vorfällen keine böse Absicht, wenngleich die Folgen ebenso verheerend sein können wie von gezielten Aktionen. Die meisten Mitarbeiter wollen in erster Linie ihre Arbeit erledigen – und zwar möglichst einfach und bequem. Dabei halten sie sich jedoch nicht zwingend an die Unternehmensrichtlinien, die den Umgang mit Daten regeln. So speichern sie Dateien auf gemeinsam genutzten oder vernetzten Laufwerken, ohne sich bewusst zu sein, welche weitreichenden Folgen das haben könnte. Im Grunde ist es ganz einfach: Je mehr Personen auf eine Datei zugreifen können, desto größer ist die Wahrscheinlichkeit eines Schadens durch ein kompromittiertes Konto.

Die Cloud hat vieles vereinfacht, aber einiges auch wesentlich komplizierter gemacht. In Zeiten, in denen die meisten Daten noch vor Ort gespeichert wurden, war der Datenzugriff leichter zu kontrollieren. Gleichwohl stellten auch hier inkonsistente Zugriffskontrolllisten (ACLs) und globale Zugriffsgruppen ein Risiko für die Daten dar, und es war auch „damals“ schon üblich, dass Benutzer Daten auf gemeinsam genutzten oder vernetzten Laufwerken speicherten. Durch die explodierenden Datenmengen und neue Speicherorte wurde es in den letzten Jahren immer schwieriger bis fast unmöglich, alle inkonsistenten ACLS zu finden und zu beheben. Entsprechend landen sensible Daten fast zwangsläufig irgendwann an einem unsicheren Ort.

Der Trend zu Remote Work

Die rasche Verbreitung von Cloud-basierten Collaboration-Tools in Folge des massiven Ausbaus von Homeoffice-Arbeitsplätzen hat dieses Problem noch verschärft. Tools wie Microsoft Teams ermöglichen es Benutzern, neue Speicherorte zu erstellen und den Zugriff auf die dort gespeicherten Daten mit jedem im Unternehmen zu teilen. Oft fehlt es den Sicherheitsverantwortlichen an Transparenz, wie Daten geteilt und neu gespeichert werden. Zum Beispiel kann jeder, der Microsoft Teams verwendet, mehrere SharePoint-Sites online erstellen, Benutzer mit verschiedenen Zugriffsebenen hinzufügen oder den Zugriff für jeden verfügbar machen: alles mit ein paar Klicks und ohne technisches Fachwissen – und ohne die IT-Abteilung hierbei einzubeziehen.

Effektive Zugriffsbeschränkungen für alle Daten könnten viel dazu beitragen, solche Praktiken einzudämmen, stellen jedoch eine große organisatorische Herausforderung dar. So ist es eine umfassende Aufgabe, sensible Daten und deren Sensibilitätsgrad zu identifizieren, um entsprechende Kontrollen anzuwenden. Hierzu müssen Unternehmen nämlich genau wissen, wo welche Daten gespeichert sind, wer Zugriff auf diese Daten hat, ob dieser Zugriff legitim ist und wer die Verantwortung für Entscheidungen über den Zugriff trägt.

Daten klassifizieren, Berechtigungen reduzieren

Oftmals wird empfohlen, dass die Ersteller der Daten diese entsprechend klassifizieren und kennzeichnen. Dies setzt jedoch voraus, dass die für die Kennzeichnung verantwortlichen Personen wissen, welche Daten überhaupt als sensibel anzusehen sind, und dass sie die Daten nicht absichtlich falsch kennzeichnen, um den Zugriff zu erleichtern und Ärger durch Einschränkungen zu vermeiden. Hier können intelligente automatisierte Lösungen mit vorgefertigten Regeln und intelligenter Validierung helfen, die Daten adäquat zu klassifizieren.

Die Klassifizierung von Daten ist jedoch nur ein erster Schritt, reicht aber in der Regel nicht aus, um Risiken effektiv zu reduzieren und Compliance-Vorgaben einzuhalten. Hierzu müssen zusätzliche Metadatenströme, wie Berechtigungen und Datennutzungsaktivitäten, einbezogen und mit weiterreichenden Aktivitäten verknüpft werden.

Letztendlich entscheidend ist der Umgang der Mitarbeiter mit den Daten und deren Berechtigungen. Unternehmen sollten deshalb sicherstellen, dass Benutzer den Zugriff auf Daten nicht über das notwendige Maß hinaus ausweiten. Regelmäßige Schulungen zum Sicherheitsbewusstsein sind sinnvoll, garantieren aber noch keine absolute Sicherheit.  Denn es ist nur eine Frage der Zeit, bis ein Mitarbeiter einen sicherheitsrelevanten Fehler macht. Und dies kann wirklich jedem passieren, wenn der Angriff etwa durch Spear-Phishing gut vorbereitet und auf das Opfer angepasst ist. Es geht schon längst nicht mehr darum, nicht angegriffen zu werden, sondern wie man mit einer solchen Attacke umgeht. Folgt man einem datenzentrierten Ansatz, um insbesondere die sensibelsten Daten etwa durch ein automatisiertes Berechtigungsmanagement zu schützen, lässt sich der Schaden deutlich reduzieren. Durch proaktive Schritte zum Sperren kritischer Informationen und eine intelligente Analyse des Nutzerverhaltens lassen sich Angriffe stoppen, noch bevor sie größeren Schaden anrichten. Grundlage hierfür ist die effektive Umsetzung des Least-Privilege-Ansatzes, der sowohl die lokalen als auch die Cloud-Datenspeicher und -dienste einbeziehen muss. Nur so lässt sich das Risiko effektiv reduzieren, dass Mitarbeiter (unabsichtlich) zu Innentätern werden.

Quellen und Referenzen:

[1] https://www.verizon.com/business/en-au/resources/reports/dbir/

Über den Autor / die Autorin:


Michael Scheffler verantwortet seit April 2020 verantwortet als Country Manager DACH und Osteuropa das Wachstum und die Positionierung das Datensicherheits-Spezialisten Varonis in dieser Region. Er verfügt über eine mehr als 20-jährige Erfahrung im Bereich beratungsintensiver Security-Lösungen.