Security

Honeypots und Copy-and-Paste: Insider-Lecks vermeiden

Viele Firmen unterschätzen das Sicherheitsrisiko, das von Mitarbeitern ausgeht. Dabei muss nicht einmal Wirtschaftsspionage im Spiel sein, oft genügt reine Unaufmerksamkeit.

30.05.2016 David Lin
Insider-Lecks-01
Wenn Unternehmensdaten nach unkontrolliert außen gelangen, kann das schnell teure Konsequenten haben. (Foto: FernandoMadeira / Shutterstock.com)

Die Gefahr im Inneren

Das Problem der Insider-Bedrohung wird immer brisanter. Vielen denken dabei zunächst an Wirtschaftsspionage, an Konkurrenten, die ein Unternehmen infiltrieren - oder an böswillig agierende Mitarbeiter, die Informationen mitgehen lassen wollen. Doch der weitaus größte Teil der Insider-Bedrohungen ist weniger spektakulär: Er entsteht durch das Fehlverhalten von Mitarbeitern. Die meisten Unternehmen führen mittlerweile Schulungen und Aufklärungsprogramme durch. Trotzdem stecken laut dem "2014 Data Breach Investigations Report (DBIR)" von Verizon hinter 60 Prozent aller Insider-Lecks keine bösen Absichten, sondern schlicht Fehler.

Ein häufiger Fehler entsteht durch simples Copy and Paste, das zum unbeabsichtigten Verstreuen von vertraulichen oder sensiblen Daten im Unternehmensnetzwerk führt. Oft ist auch ein Mitarbeiter ohne böse Absicht in einem Bereich des Netzwerks unterwegs, der nicht für seine Augen bestimmt ist. Hat dieser Mitarbeiter über sein Benutzerkonto Zugriff auf die betreffenden Daten, dann kann auch ein Hacker über die Login-Daten dieses Users Zugriff erlangen.

Es ist an der Zeit, ein unterschätztes Problem anzugehen. Grundsätzlich sollten Unternehmen den Fokus auf die Daten legen, nicht auf die Mitarbeiter. Denn die Daten lassen sich leichter kontrollieren.

Globale Zugriffsrechte

Besonders großen Schaden anrichten können globale Zugriffsrechte. Daher sollte man sie ausschließlich bei Informationen einsetzen, die zu 100 Prozent öffentlich zugänglich sein dürfen. Viele Systeme bieten die Option, mit Hilfe bestimmter Gruppen wie "Jeder" oder "Authentifizierte Benutzer" in Windows globale Rechte für Informationen zu erteilen. Wenn Unternehmen das tun, dann heißt das eigentlich: "Mir ist egal, was mit diesen Daten passiert."

Tatsächlich ist es schon vorgekommen, dass globale Zugriffsrechte für Ordner erteilt wurden, in denen Millionen von Kreditkarten- oder Sozialversicherungsnummern gespeichert waren. Für interne Daten verzichtet man am besten komplett auf globale Zugriffsrechte.

Bei einer aktuellen Umfrage des Ponemon Institute haben vier von fünf IT-Experten angegeben, dass in ihrem Unternehmen das Prinzip der minimalen Rechtevergabe nicht umgesetzt wird. Das heißt, in den allermeisten Organisationen verfügen Mitarbeiter über deutlich mehr Berechtigungen als erforderlich. Die fatale Folge: Kriminelle haben eine unnötig große Angriffsfläche.

Einige der Gründe für eine breite Rechteverteilung sind:

  • Mitarbeiter wechseln ihre Position oder ihre Abteilung oder die Verantwortlichkeiten ändern sich
  • Temporäre Projekte erfordern temporäre Berechtigungen
  • Beratungsverträge laufen aus
  • Zugriffsrechte werden versehentlich erteilt
  • Mitarbeiter verlassen das Unternehmen

Dieser Wildwuchs lässt sich schwer verhindern und noch schwerer beseitigen. Den Berechtigungen von temporären Mitarbeitern, Lieferanten, Beratern und Projektteams sollte man in jedem Fall ein Ablaufdatum zuweisen. Sehen Sie außerdem Software am besten wie einen Insider an und wenden Sie das Prinzip der minimalen Rechtevergabe darauf genauso an.

Gibt es beispielsweise beim Webserver eine Schwachstelle und läuft er unter einem privilegierten Domänennutzer, der Zugriff auf das Dateisystem oder auf Netzwerkfreigaben hat, dann wird aus der Sicherheitslücke in der Webserver-Software ein Insider-Problem.

Selbst wenn Sie automatisch ablaufende Zugriffsrechte erteilen, zahlen sich regelmäßige Überprüfungen durch die Benutzer der jeweiligen Abteilungen aus. Diese Benutzer haben einen großen Vorteil: Sie kennen die Personen, die die Daten verwenden. Überlassen Sie Entscheidungen den Leuten, die den Kontext kennen. Das sollten dann auch diejenigen Nutzer sein, die Änderungen vornehmen.

Regelmäßige Berechtigungsprüfungen sind erforderlich

In der Gruppe der Domain-Administratoren sollte man regelmäßig Berechtigungsprüfungen durchführen, um sicherzustellen, dass sich keine unbefugten Mitglieder eingeschlichen haben. Äußerst hilfreich kann es auch sein, Benachrichtigungen für den Fall einzurichten, dass der Gruppe ein Benutzer hinzugefügt wird. Das sollte so selten der Fall sein, dass man dazu auf jeden Fall eine E-Mail oder eine SMS-Nachricht erhält.

Active Directory zu überprüfen ist praktisch lebensnotwendig, denn in zahlreichen Unternehmen liegt hier das Herzstück der Zugriffskontrolle. Wenn jemand über eine Active-Directory-Gruppe Berechtigungen zu kritischen Informationen erhält, sollte Klarheit herrschen, wer den Benutzer wann und wie hinzugefügt hat. Anschließend sollte man anhand der Protokolle zur Dateianalyse beobachten, wie der Nutzer die neuen Zugriffsrechte einsetzt.

Dabei reicht es bei Weitem nicht aus, ein vom Kontext losgelöstes Element zu betrachten, wie es bei herkömmlichen Intrusion-Prevention-Systemen der Fall ist. Vielmehr sind die Ereignisse in ihrem jeweiligen Zusammenhang zu sehen. Ein Beispiel: Herr Schmidt hat vor fünf Minuten 250 Verträge gelöscht, und Herr Schmidt arbeitet in der Kantine - hier sollten alle Alarmglocken schrillen.

Zur Analyse wird idealerweise jedem Benutzer ein Profil zugewiesen, das sein "normales" Verhalten definiert. So lässt sich der Kontext erkennen, und Warnungen werden nur ausgelöst, wenn der Nutzer sich ungewöhnlich verhält. Das lässt sich mit einer Software zur Dateianalyse bewerkstelligen, die jedes Ereignis innerhalb der Filesharing- (und E-Mail-) Infrastruktur erfasst und analysiert.

Einmal implementiert, liefert eine derartige Software Funktionen wie:

  • Identifizieren, wenn eine sensible Datei in einem öffentlichen Ordner erstellt worden ist, und diese Datei dann automatisch unter Quarantäne stellen
  • Warnungen einrichten, wenn bestimmte Schwellenwerte überschritten werden, beispielsweise wenn Tausende von Dateien innerhalb einer Minute kopiert werden. Das ist in der Regel ein Hinweis darauf, dass ein Nutzer einen massiven Copy-and-Paste-Vorgang auf ein nicht kontrolliertes Endgerät angestoßen hat (sogenannte Exfiltration)
  • Überwachen, ob normale Benutzer EXE-Dateien auf einem Server ausführen oder erstellen

Es empfiehlt sich darüber hinaus, das Netzwerk auf deutlich gesteigerte Aktivitäten außerhalb der üblichen Arbeitszeiten hin zu überwachen, ebenso Zugriffe auf Informationen, die nicht in den Speicherbereich der jeweiligen Abteilung gehören.

Honeypots und Risikoträger

Ein Honeypot ist ein freigegebener Ordner, der aussieht wie ein lukratives Ziel für Datendiebe und der frei zugänglich ist. Er dient allein dazu, festzustellen, wer darauf zugreift. Das Rezept ist ziemlich einfach. Richten Sie zunächst einen freigegebenen Ordner ein, auf den jeder Nutzer zugreifen kann. So etwas wie: "X:\Freigabe\Gehälter" oder "X:\Freigabe\CEO". Dann lehnen Sie sich zurück und sehen zu, wer darauf anspringt. Vielleicht sind das nur neugierige Mitarbeiter, die ein bisschen stöbern - oder aber eine Malware ist in Aktion.

Risikoträger überwachen

Es ist sehr wichtig zu wissen, wo sich die "Kronjuwelen" eines Unternehmens befinden. Dazu ist es in der Regel erforderlich, die Daten per Software zu klassifizieren. Doch diese Information allein reicht nicht aus. Mit einer geeigneten Software lassen sich außerdem Fragen beantworten wie: Wem gehören die Dateien (nicht das Attribut Verfasser/Data Owner, sondern wer sie wirklich besitzt)? Wer hat Zugriff darauf? Wofür werden diese Daten verwendet? Wurden sie geöffnet? Kopiert? Von wem? Wann?

Mit diesen Metadaten wird es möglich, die Daten mit dem größten potenziellen Risiko ausfindig zu machen und entsprechende Maßnahmen zu ergreifen: Berechtigungsstruktur überwachen, Zugriffsrechte häufiger überprüfen und Warnungen einrichten.

Neben dieser Art von Daten sollte man auch Benutzer mit einem potenziell hohen Risiko (wie IT-Administratoren) überwachen. Die Kontrolle von Administratoren ist nicht ganz trivial, da es in der Natur der Sache liegt, dass sie normalerweise umfassende Zugriffsrechte benötigen. Bestimmte Verhaltensweisen wecken aber eindeutig Verdacht, etwa wenn ein Domain-Administrator E-Mails im Posteingang anderer Nutzer liest und diese anschließend als ungelesen markiert.

Security RSS Feed abonnieren