- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Mehr wissen: Insider versus Algorithmus?


Warum es nicht immer russische Hacker sind – Insider, die unterschätzte Gefahr
Potenzielle Innentäter sind neben den eigenen aktuellen und ehemaligen Mitarbeiter befristet im Unternehmen tätiges Personal und externe Dienstleister

- Anzeigen -





Von David Lin, Varonis

Russische Hacker? Eher nicht. Nach Informationen des Nachrichtenmagazins Spiegel vermutet die Bundespolizei nach ihren Ermittlungen, dass im Bundestag möglicherweise ein sogenannter "Maulwurf" - also ein Insider - sitzt und die Daten aus dem Untersuchungsausschuss an die Enthüllungsplattform WikiLeaks weitergegeben hat.

Nach Angaben von WikiLeaks sollen die rund 2.400 Dokumente zum NSA-Ausschuss aus verschiedenen Quellen stammen und nachweisen, dass die amerikanischen National Security Agency (NSA) und der BND zusammengearbeitet haben. Noch vor einigen Wochen hatte die "Frankfurter Allgemeine Sonntagszeitung" einen hohen Sicherheitsbeamten mit den Worten zitiert, "es gebe eine "hohe Plausibilität" dafür, dass die von WikiLeaks veröffentlichten Geheimakten beim Cyberangriff auf den Bundestag erbeutet wurden. Für den Angriff machten Sicherheitskreise russische Hacker verantwortlich."

Das sieht im Licht der bundespolizeilichen Ermittlungen betrachtet nun anders aus. Wieder ein Insider?

Innentäter die unterschätzte Gefahr
Dass unter bestimmten Umständen praktisch jeder zum Insider werden kann haben Studien ausreichend belegt. Die drei wesentlichen Komponenten von Motiv, Moral und Möglichkeit müssen nur in einem günstigen (oder besser: ungünstigen) Mischungsverhältnis aufeinander treffen. Das gilt für die großpolitische Gemengelage, Geheimnisverrat oder Wirtschaftsspionage.

Potenzielle Innentäter sind neben den eigenen aktuellen und ehemaligen Mitarbeiter befristet im Unternehmen tätiges Personal und externe Dienstleister. Dass dieses Phänomen nicht neu ist, hatte Anfang dieses Jahres eine Umfrage der Computerwoche bestätigt, bei der im Rahmen des "Vendor Vulnerability Survey 2016" annähernd 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA befragt wurden. Die als besonders sicherheitsaffin geltenden Deutschen hegten zwar einerseits große Befürchtungen Opfer eines Cyberangriffs zu werden, vergeben aber andererseits Zugriffsberechtigungen an Dienstleister ausgesprochen großzügig. Zutritts- und Zugangsberechtigungen sind oft viel weiter gefasst als es nach dem Prinzip der minimalen Rechtevergabe notwendig gewesen wäre. Außerdem bleiben diese Berechtigungen gerne selbst dann noch erhalten, wenn ein Projekt längst beendet ist oder der betreffende Mitarbeiter das Unternehmen bereits verlassen hat.

Und Innentäter sind es auch, die aufgrund ihrer physischen und virtuellen Zugangs- und Zugriffsmöglichkeiten potenziell den größten Schaden anrichten. Laut einer aktuellen Studie des Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund 4 Millionen US-Dollar.

Trotz dieser erschreckenden Zahl sind bei weitem nicht alle Vorstandsmitglieder, Geschäftsführer oder Hauptaktionäre ausreichend gewappnet ihre finanziellen Interessen dahingehend zu schützen. In Abwandlung eines alten Zitats aus der IT-Sicherheit gibt es nur zwei Sorten von Unternehmen: diejenigen, die schon Opfer einer Datenschutzverletzung geworden sind und diejenigen, die es (noch) nicht wissen.

Mehr wissen: Insider versus Algorithmus?
Wie in vielen Bereichen des digitalen Lebens kommt hier eine spezielle Klasse von Algorithmen ins Spiel - die sogenannten selbstlernenden Algorithmen.

Um spezielle Aufgaben lösen zu können sind bestimmte Algorithmen an die Funktionsweise des menschlichen Gehirns angelehnt wie Jürgen Geuter, Informatiker und Blogger, in seiner Wired-Kolumne erläutert. Die künstlichen Neuronen werden dann ähnlich zu einem neuronalen Netz verschaltet wie das in unserem Gehirn geschieht. "Jedes einzelne Neuron im Netzwerk entscheidet nun — abhängig von den Impulsen aus den Neuronen, die mit seinen Eingängen verbunden sind — ob es einen Impuls weiterleitet oder nicht. Erst wenn ein gewisser Schwellenwert erreicht wird, "schaltet" das Neuron, sonst bleibt es still. Dabei gewichtet jedes Neuron unterschiedliche Impulse höher oder niedriger. Am Ende kommt eine Entscheidung dabei heraus, etwa die Feststellung, dass ein Bild eine Katze enthält, oder der Befehl an den Greifarm, sich um 45 Grad zu drehen."

Dann kommt das Lernen ins Spiel. Dabei wird das System im Hinblick beispielsweise auf eine Zielfunktion hin trainiert. Immer und immer wieder. Algorithmen dieser Art kommen auch bei der Analyse des Benutzerverhaltens zum Tragen. Dabei wird zunächst ein im Hinblick auf bestimmte Nutzer als normal geltendes Verhalten definiert und entsprechende Grenzwerte festgelegt. Sogenannte prädiktive Bedrohungsmodelle dienen dazu so unterschiedliche Phänomene wie Insider-Bedrohungen, Attacken von außen bis hin zu Infektionen mit verschiedenen Ransomware-Varianten sowie verdächtiges (von den definierten Grenzwerten abweichendes) Nutzerverhalten zu erkennen und zu analysieren.

Haben ein Hacker oder Insider sich Zugang zu einem Konto mit den zugehörigen Berechtigungen für beispielsweise besonders vertrauliche Daten verschafft, kann etwa eine Data-Loss-Prevention-Lösungden Angriff nicht aufhalten.

Um diese Daten zu schützen, braucht man zusätzliche Informationen.
Man sollte wissen:
• >> Wer greift auf diese Daten zu?
• >> Wer ist dazu berechtigt?
• >> Wer aus dem Kreis dieser Berechtigten muss wahrscheinlich gar nicht mehr auf diese Daten zugreifen?
• >> Wem (außerhalb der IT-Abteilung) "gehören" die Daten? Wer ist der eigentliche Eigentümer der Daten?
• >> Wo und wann beginnt ein anomales Benutzerverhalten?

Je nach dem, welchen Grad von Vertraulichkeit bestimmte Daten haben, entscheidet man über die entsprechende Risikostufe. Handelt es sich etwa um öffentlich zugängliche und weniger sensible Daten, bei denen die Auswirkungen bei einem potenziellen Angriff eher gering wären, werden sie als weniger gefährdet eingestuft. Security Insider definiert: "Es werden aber nicht alle ungewöhnlichen Verhaltensweisen gleich als gefährlich eingestuft. Jedes Verhalten wird zusätzlich auch im Bezug auf mögliche Auswirkungen bewertet. Wenn ein auffälliges Verhalten etwa weniger wichtige Ressourcen betrifft, erhält es eine niedrige Einstufung. Wenn es dagegen um sensiblere Daten geht, zum Beispiel PersonallyIdentifiable Information (PII), dann erhält es eine höhere Einstufung. Auf diese Weise können Security-Teams Prioritäten setzen, welchen Ereignissen sie nachgehen wollen, während das UBA-System automatisch die Zugriffsrechte einer Person anpasst, die ein ungewöhnliches Verhalten zeigt."

Mehr wissen mit Metadaten
Ein weiterer Schlüssel, um Insiderbedrohungen zu minimieren sind die Metadaten wie sie zwar vielfach zur Verfügung stehen, aber meist nicht ausreichend genutzt werden. Das sind zum einen die Benutzer- und Gruppeninformationen (aus Active Directory, LDAP, NIS, SharePoint etc.) sowie die vergebenen Berechtigungen, damit ich weiß, wer auf bestimmte Daten und Informationen überhaupt zugreifen kann (und sollte).

Die Berechtigungen gekoppelt mit den tatsächlichen Dateiaktivitäten sagen bereits eine Menge aus. Sprich, welcher Benutzer wann wie auf welche Dateien und Daten zugegriffen hat. Und schließlich sollten Unternehmen und Behörden genau wissen, wo die Dateien gespeichert sind, die sensible Daten und kritische Informationen enthalten. Kombiniert man anschließend dieses Wissen mit den Grundlagen der Verhaltensanalyse erhält man ein sehr viel genaueres Bild dessen, was im Netzwerk vor sich geht. Verdächtige Aktivitäten sind beispielsweise ungewöhnliche Spitzen (in E-Mails, beim Zugriff auf Dateien oder auch Zugriffe, die verweigert wurden), das Zugreifen auf Daten, die für einen Benutzer oder auch bestimmte Konten untypisch sind, mehrere offene Events bei Dateien, die höchstwahrscheinlich Zugangsdaten enthalten, ein ungewöhnlicher Zugriff auf sensible oder veraltete Daten, kritische GPOs sind verändert oder Rechte erweitert worden.

John Carlin, Assistant Attorney General for National Security, hatte in der Bloomberg-Talkshow Charlie Rose über Cyberspionage, die Verbreitung von Attacken, Insiderbedrohungen und Prävention gesprochen. Für ihn sind in den weitaus meisten Fällen Insiderbedrohungen sehr viel realer als die Wahrscheinlichkeit in die Fänge eines staatlich beauftragten Hackers zu geraten. Carlins Rat: "Sich ausgerechnet gegen diejenigen zu verteidigen, denen man eigentlich vertrauen sollte, ist eine der schwierigsten Herausforderungen überhaupt. Gleichzeitig sind Insiderbedrohungen etwas mit dem sich Privatwirtschaft und Industrie ernsthaft auseinandersetzen sollten. Das bedeutet im Umkehrschluss, Firmen müssen in der Lage sein, alle potenziellen Veränderungen im Nutzerverhalten zu überwachen, die gegebenenfalls auf einen Insider verweisen. Gleichzeitig sollten Unternehmen ihre Systeme so aufsetzen, dass eine einzige Person niemals auf sämtliche Ressourcen zugreifen kann." (Varonis: ra)

eingetragen: 23.01.17
Home & Newsletterlauf: 10.02.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.

  • Warum BYOD an den Geräten scheitert

    Bring Your Own Device (BYOD) genießt im Geschäftsumfeld seit einigen Jahren den Ruf als innovatives Konzept. Der zeitlich uneingeschränkte Zugang zu Unternehmensdaten kann Firmen verbesserte Effizienz in den Arbeitsabläufen bescheren und den Mitarbeitern wiederum mehr Komfort im täglichen Arbeiten. Sie können auf ihren gewohnten Geräten arbeiten, zu flexiblen Arbeitszeiten. Insbesondere bei neu gegründeten Unternehmen, in denen die Mitarbeiter viel unterwegs sind, wird es überaus geschätzt, wenn kein weiteres, unternehmenseigenes Gerät mitgeführt werden muss. Die Zufriedenheit der Mitarbeiter mit der Arbeitsweise wiederum trägt auch zur Attraktivität des Unternehmens bei.

  • Offensichtlich lukrativste Angriffsmethode

    In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunktur hat. Gezielte Langzeitangriffe, sogenannte Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen. Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.

  • Detailliertes Profil der Angreifer entscheidend

    "Kill Chain" - dieser Begriff stammt eigentlich aus dem Militärjargon und bezeichnet ein Modell, das alle Phasen eines Angriffs beschreibt. Im Umkehrschluss zeigt es Wege auf, mit denen sich diese Angriffe vermeiden oder zumindest abschwächen lassen - eine Taktik, die auch hinsichtlich digitaler Bedrohungen und Hackangriffe interessant ist. Die Kill Chain digitaler Bedrohungen lässt sich in sieben verschiedene Phasen unterteilen.

  • Internet-Ausfall: Stationärer Handel in der Klemme

    In nur wenigen Bereichen hat sich in den letzten 30 Jahren so viel verändert wie im stationären Handel. Während manche Einzelhändler das Internet immer noch als Bedrohung empfinden, profitiert das Gros von vielen Vorteilen, die das World Wide Web mit sich bringt. Beispiel Kartenzahlungen: Sie wären ohne Internetanbindung gar nicht möglich. Somit ist für Einzelhändler eine kontinuierliche Internetverbindung essenziell, ja gerade überlebenswichtig. Umso schlimmer, wenn das Netz ausfällt. Doch für den unangenehmen Fall der Fälle gibt es gute Lösungen. Ohne Internet sind moderne Verkaufserlebnisse undenkbar: Zu den neueren Entwicklungen im Einzelhandel zählt das so genannte Omni-Channel-Retailing. Dabei nutzen Shops oder Filialen mehrere, vor allem onlinebasierte Kanäle, um dem Kunden ein optimales Verkaufserlebnis zu bieten. So beispielsweise der Reifenwechsel am Auto: Bei größeren Werkstätten und Werkstattketten ist es heute State-of-the-Art, dass der Kunde seine Wunschreifen und Felgen online bestellt, eventuell unterstützt durch eine telefonische Beratung. Nach dem Kauf vereinbart er dann über eine Webseitenschnittstelle gleich den Montagetermin. Die Werkstatt erhält die Terminanfrage in ihrem CRM und bestätigt per E-Mail. Zum Termin liegen die bestellten Reifen in der Werkstatt bereit und werden montiert.