Security-Verantwortliche sehen Insider als größte Gefahr für Unternehmensnetze

Peter Marwan,
Digitaler Fingerabdruck (Bild. CNET.com)

Einer Umfrage zufolge wissen die Experten zwar, welche Informationen, Anwendungen und Systeme im Unternehmen in besonderem Maße schützenswert sind, haben aber die IT-Abteilungen Schwierigkeiten, sie vor wissentlichen oder unbeabsichtigten Missbrauch durch die Nutzer – insbesondere denen mit umfassenden Rechten – zu bewahren.

Einer Umfragereihe von Balabit unter IT-Fachleuten auf Security-Messen zufolge sehen 35 Prozent der befragten IT-Fachleute sich selbst als größtes internes Sicherheitsrisiko für Daten und Applikationen in ihrem Unternehmen. Befragt wurden Fachleute in Großbritannien, den USA, Frankreich sowie Mittel- und Osteuropa. Im Rahmen der Studie (PDF) hat Balabit auch deren Ansichten in Bezug auf Insider-Angriffe und den Missbrauch von erweiterten Berechtigungen ermittelt.

Csaba Krasznay, Security Evangelist bei Balabit (Bild: Balabit)
“Es reicht nicht aus, die ‘bösen Jungs’ aus dem Unternehmensnetz herauszuhalten. Vielmehr müssen IT-Sicherheitsteams kontinuierlich prüfen, was eigene Mitarbeiter mit ihren Zugangsrechten tun”, erklärt Csaba Krasznay, Security Evangelist bei Balabit (Bild: Balabit)

Dem Anbieter von Lösungen für Privileged Access Management (PAM) und Log-Management sind Personal- und Finanzabteilungen von Unternehmen vor allem durch Social-Engineering-Angriffe gefährdet. Die ja eigentlich im Umgang mit IT versierten IT-Mitarbeiter stellen dennoch das größte Risiko dar. Das ist darauf zurückzuführen, dass sie für ihre Arbeit oft mit weitreichenden Zugriffsrechten ausgestattet wurden. Das wissen auch Angreifer, die sich daher besonders viel Mühe geben, um in den Besitz der Anmeldedaten und Passwörter von Administratoren zu gelangen.

Der Vorteil dabei ist aus ihrer Sicht in schlecht oder gar nicht verwalteten Umgebungen zudem, dass auch Administratoren im Umgang mit diesen Daten oft nicht vorsichtiger sind als normale Anwender und sie entweder mehrfach verwenden oder leicht zu erratende Anmeldedaten benutzen. Augenfälliges und bekanntestes Beispiel in letzter Zeit dafür dürfte der Umgang mit Anmeldedaten bei der US-Kreditauskunftei Equifax gewesen sein.

Gefahrenpotenzial für Angehörige einzelner Abteilungen aus Sicht von IT-Fachleuten (Grafik: Balabit)
Gefahrenpotenzial für Angehörige einzelner Abteilungen aus Sicht von IT-Fachleuten (Grafik: Balabit)

Rund 20 Prozent der befragten IT-Fachleute gaben an, dass sie in den kommenden zwölf Monaten Analyse-Lösungen implementieren wollen, die es ihnen erlauben, das Verhalten und die Aktivitäten von privilegierten Benutzern nachzuvollziehen. Zu Gruppe der privilegierten Nutzer gehören für 42 Prozent der befragten System-Administratoren sowie Führungskräfte (16 Prozent).

Die Überwachung priveligierter Nutzerkonten, Data Leak Prevention und Mobile Device Management stünde bei IT-Fachleiten ganz oben auf der Liste, wenn sie sich um das Budget keine Gedanken machen müssten (Grafik: Balabit)
Die Überwachung privilegierter Nutzerkonten, Data Leak Prevention und Mobile Device Management stünde bei IT-Fachleiten ganz oben auf der Liste, wenn sie sich um das Budget keine Gedanken machen müssten (Grafik: Balabit)

“IT-Sicherheitsfachleute müssen innerhalb kürzester Zeit jede verdächtige oder anormale Aktivität identifizieren, um etwaigen Datendiebstahl zu vermeiden. Je mehr Daten über die Aktivitäten von privilegierten Benutzern analysiert werden, desto besser”, empfiehlt Balabit-Experte Csaba Krasznay. Besonders wichtig sei es zu wissen, wann und von wo aus privilegierte Benutzer auf das Unternehmensnetz zugreifen. Erfolgt der Zugriff etwa aus einem Land, in dem die Firma gar keine Niederlassung hat, sollten umgehend die Alarmglocken läuten.

Angriffe auf Basis gestohlener privilegierter Identitäten verhindern, erkennen und bekämpfen. (Grafik: Balabit)
Die (mehrstufige) Verwaltung privilegierter Zugriffe kann helfen, Angriffe auf Basis gestohlener privilegierter Identitäten zu verhindern, zu erkennen und zu bekämpfen. (Grafik: Balabit)

Aber auch Informationen darüber, auf welche Systeme und Applikationen privilegierte Nutzer in der Regel zugreifen wie sie sich dabei in der Infrastruktur Verhalten, sind hilfreich, um Missbrauch aufzudecken. Krasznay empfiehlt Firmen die Kombination der Analyse von Ort, Zeit und Verhalten mit biometrischen Daten. Zu letzteren könne etwa die bei jedem Menschen unterschiedliche Anschlagsdynamik bei den Tastatureingaben und den Bewegungen der Maus gehören.

Dieser Aspekt unterscheidet die Balabit-Angebote von den Produkten der und bietet sicher einen zusätzlichen Schutz, ist aber wahrscheinlich nicht in jedem Fall unbedingt erforderlich, wenn die anderen Parameter bereits bekannt sind. Auch bei Balabit ist diese Erkennungsmethodik nicht in jedem Fall integriert, sondern nur optional erhältlich. Sie kann sich aber zum Beispiel als nützlich erweisen, wenn Nutzer nachweisen müssen, dass sie für bestimmte Aktionen nicht verantwortlich sind.