Beispiele für Insider-Bedrohungen: 3 berühmte Fälle und 4 Präventivmaßnahmen

Was sind Insider-Bedrohungen?

Insider-Bedrohungen sind Sicherheitsrisiken, die innerhalb des Unternehmens entstehen. Der Bedrohungsakteur muss nicht unbedingt ein aktueller Mitarbeiter oder leitender Angestellter des Unternehmens sein. Insider-Bedrohungen können Berater, ehemalige Mitarbeiter, Geschäftspartner oder Vorstandsmitglieder sein.

Es gibt eine Vielzahl von Insider-Bedrohungen, die jeweils unterschiedliche Auswirkungen auf die betroffene Organisation haben. Dieser Artikel untersucht wichtige Beispiele für echte Insider-Bedrohungen und erläutert verschiedene Techniken und Technologien, die zum Schutz von Organisationen beitragen können.

Empfohlene Lektüre:Security Big Data Analytics: Vergangenheit, Gegenwart und Zukunft.

Beispiele für Insider-Bedrohungen

Waymo

Waymo ist ein Unternehmen, das sich der Entwicklung autonomer Autos widmet und ursprünglich von Google gegründet wurde. 2016 verließ Anthony Levandowski, ein leitender Ingenieur, Waymo. Er gründete sein eigenes Unternehmen für selbstfahrende Autos namens Otto.

Einige Monate nach der Gründung von Otto wurde das Unternehmen von Uber übernommen. Dabei handelte es sich vor allem um Geschäftsgeheimnisse, die Levandowski von Google gestohlen hatte. Zu den gestohlenen Informationen gehören unter anderem Marketinginformationen und Videos von Testfahrten, während andere Dateien vertrauliche PDF-Dateien, Quellcode-Ausschnitte und sogar Diagramme und Zeichnungen von Simulationen, LIDAR-Technologien (Light Identification Detection and Ranging) und Radargeräten enthielten.

Eine Untersuchung ergab, dass Levandowski bei Google unzufrieden war und vorsätzlich handelte. 2015 begann Levandowski, Google zu verlassen. Er warb auch Kollegen an und lud sie ein, für sein Startup zu arbeiten. Als Uber mit der Übernahme von Otto begann, entdeckten Google-Führungskräfte die Wahrheit.

Etwa einen Monat vor seinem Rücktritt verband Lewandowski seinen Laptop mit einem wichtigen Server. Auf diesem Server war das geistige Eigentum von Google gespeichert. Lewandowski lud rund 14.000 Dateien herunter und kopierte sie auf eine externe Festplatte. Um alle Spuren seiner Aktivitäten zu verwischen, löschte er alles.

Waymo investierte zwischen 2009 und 2015 1,1 Milliarden Dollar in die Entwicklung seiner Technologie. Schließlich konnte Waymo nachweisen, dass seine Geschäftsgeheimnisse gestohlen wurden. Als Entschädigung für den Diebstahl erhielt Waymo Uber-Aktien im Wert von 245 Millionen Dollar. Darüber hinaus verpflichtete sich Uber, die gestohlenen Geschäftsgeheimnisse nicht für die eigene Hard- und Software zu verwenden.

Hauptstadt Eins

Capital One ist eine Bankholdinggesellschaft. Auch sie war einer Insider-Bedrohung durch einen Drittanbieter ausgesetzt. Zum Zeitpunkt des Angriffs nutzte Capital One die Cloud-Dienste von Amazon Web Service (AWS). Eine ehemalige AWS-Softwareentwicklerin hackte sich in Capital One ein und nutzte dabei eine von ihr entdeckte Sicherheitslücke.

Der Hacker entdeckte eine falsch konfigurierte Web Application Firewall und nutzte diese, um auf die Konten und Kreditkartenanwendungen von mehr als 100 Millionen Capital One-Kunden zuzugreifen. Das Unternehmen schloss die Sicherheitslücke schließlich und gab bekannt, dass „keine Kreditkartennummern oder Anmeldedaten kompromittiert wurden“.

Die Hackerin, die auf Capital One-Daten zugegriffen hatte, prahlte mit ihren Erfolgen. Sie teilte ihre Hacking-Technik mit Kollegen auf Slack, einem Online-Chat-Dienst. Sie veröffentlichte die Informationen auch auf GitHub unter ihrem richtigen Namen und prahlte in den sozialen Medien.

Psychologen bezeichnen diese Art von Insider-Bedrohungsverhalten als „Leakage“, da die Insider-Bedrohung ihre Pläne und Handlungen offenlegt. Schließlich wurde die Hackerin verhaftet. Ihr wurde Computerbetrug und -missbrauch vorgeworfen. Capital One schätzt die Kosten des Datenlecks auf 150 Millionen US-Dollar.

Boeing

Boeing ist ein traditionsreiches Luft- und Raumfahrtunternehmen, das einen der längsten Insider-Angriffe erlebte. Über mehrere Jahrzehnte hinweg, von 1979 bis 2006, als die Insider-Bedrohung aufflog, stahl der Täter Informationen von Boeing und Rockwell.

Die Insider-Bedrohung ging in diesem Fall von einem Boeing-Mitarbeiter aus. Sein eigentlicher Arbeitgeber war jedoch der chinesische Geheimdienst, der ihn mit der Beschaffung von Informationen beauftragte, die China bei der Verbesserung seiner Weltraumoperationen helfen sollten.

Neben Daten zu Raumfahrtprogrammen wurden durch die Insider-Bedrohung auch Informationen zur militärischen Produktion gestohlen. Das Ausmaß des Diebstahls ist bis heute unbekannt.

Prävention von Insider-Bedrohungen

Automatisches Löschen von Daten

Um Insider-Angriffe zu verhindern, sollten Unternehmen eine automatisierte Datenlöschung implementieren, die eingeleitet wird, sobald Mitarbeiter das Unternehmen verlassen. In der Regel werden die Active Directorys ehemaliger Mitarbeiter beim Ausscheiden gelöscht. Allerdings denken nicht alle Unternehmen daran, die auf den eigenen Geräten gespeicherten Daten der Mitarbeiter zu löschen.

Mitarbeiter können die Daten auf ihren Geräten nutzen, um auf Unternehmensressourcen zuzugreifen oder geschäftskritische Informationen und Geschäftsgeheimnisse zu nutzen. Dieser Prozess kann zwar manuell durchgeführt werden, kann aber einige Zeit in Anspruch nehmen, und in dieser Zeit kann es zu Insider-Angriffen kommen. Die Automatisierung von Datenlöschprozessen kann dazu beitragen, dass Insider-Bedrohungen keinen Zugriff mehr auf Unternehmensdaten haben.

Abteilungsübergreifende Zusammenarbeit

Um sicherzustellen, dass Mitarbeiter nicht mehr Berechtigungen erhalten, als sie für die Erfüllung ihrer Aufgaben und Verantwortlichkeiten benötigen, sollten verschiedene Abteilungen im Unternehmen zusammenarbeiten. Personal-, IT- und Sicherheitsabteilungen sollten sich regelmäßig treffen, um die Berechtigungen im gesamten Unternehmen zu bewerten und festzulegen.

Auf diese Weise kann die Personalabteilung die IT- und Sicherheitsteams über das Ausscheiden von Mitarbeitern informieren, und das Sicherheitsteam kann die Berechtigungen umgehend widerrufen. Die Personalabteilung kann die IT-Abteilung auch über Entlassungen, Mitarbeiter in Leistungsbeurteilungen und diejenigen, die eine Kündigung eingereicht haben, informieren. Dies ermöglicht der IT-Abteilung eine genaue Überwachung von Mitarbeitern in sensiblen Situationen, die einem höheren Risiko ausgesetzt sind, eine Insider-Bedrohung darzustellen.

Auditing, Überwachung und Warnmeldungen

Je mehr Transparenz ein Unternehmen hat, desto besser kann es Daten und Ressourcen vor internen Angriffen schützen. Die Implementierung von Verfahren und Tools für kontinuierliches Monitoring und Auditing sowie die Bereitstellung von Mechanismen für Echtzeit-Warnmeldungen können Unternehmen dabei helfen, Aktivitäten zu überwachen und verdächtiges Verhalten zu erkennen, bevor es zu einem Sicherheitsverstoß kommt.

Überwachungssysteme können das Benutzerverhalten analysieren, verdächtige Aktivitäten erkennen und Administratoren benachrichtigen bzw. Reaktionsprozesse einleiten. Kontinuierliche und proaktive Audits tragen dazu bei, dass Unternehmen wissen, wie ihre Daten verwendet werden, und bei Bedarf Änderungen vornehmen können, bevor die Risiken eskalieren.

Implementieren Sie Awareness-Schulungen

Nicht alle Insider-Bedrohungen sind böswillig. Tatsächlich werden viele Organisationen aufgrund von Unachtsamkeit oder mangelnder Informiertheit ihrer Mitarbeiter angegriffen. Diese Insider-Bedrohungen werden oft von böswilligen Akteuren ausgetrickst, können aber auch ohne Anstiftung eine Schwachstelle schaffen.

Wenn Mitarbeiter beispielsweise Dateien aus unbekannten Quellen herunterladen, können sie unbeabsichtigt Sicherheitslücken schaffen. Nicht alle Organisationen verfügen über Richtlinien für angemessenes Sicherheitsverhalten, und die Mitarbeiter sind sich der Bedrohungen nicht bewusst.

Sicherheitsschulungen können verhindern, dass Mitarbeiter unabsichtlich zu Insider-Bedrohungen werden. Je besser Mitarbeiter informiert sind, desto besser sind sie in der Lage, die Daten und Vermögenswerte des Unternehmens zu schützen. Sicherheit wird so zu einer gemeinsamen Aufgabe, und Mitarbeiter können Schwachstellen wie Phishing-Betrug erkennen, bevor es zu einem Sicherheitsverstoß kommt.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, sich besser vor Insider-Bedrohungen zu schützen:

Nutzen Sie KI-gestützte Verhaltensanalysen zur frühzeitigen Erkennung von Anomalien
Investieren Sie über die grundlegende Überwachung hinaus in KI-gestützte Lösungen, die kontinuierlich aus dem Benutzerverhalten lernen. Diese Lösungen können subtile Veränderungen bei Routineaktivitäten erkennen und potenzielle Bedrohungen kennzeichnen, bevor sie zu Sicherheitsverletzungen werden.

Implementieren Sie eine Just-in-Time-Zugriffskontrolle
Anstatt permanenten Zugriff auf sensible Ressourcen zu gewähren, sollten Sie Just-in-Time-Zugriffe nutzen, bei denen Benutzer nur bei Bedarf und für einen begrenzten Zeitraum Zugriff erhalten. Dies reduziert das Risiko eines langfristigen Insider-Missbrauchs.

Nutzen Sie Täuschungstechnologie zur Früherkennung
Implementieren Sie Honeypots und Täuschungssysteme, um böswillige Insider in die Falle zu locken. Die Platzierung von Täuschungsobjekten an besonders wertvollen Standorten kann dabei helfen, Insider-Bedrohungen zu identifizieren, die versuchen, auf vertrauliche Daten zuzugreifen.

Korrelieren Sie HR- und Verhaltensdaten in SIEM
Durch die Integration von HR-Daten in SIEM-Tools können Sie die Stimmung der Mitarbeiter (z. B. Degradierungen, negative Leistungsbeurteilungen) mit ungewöhnlichen Verhaltensmustern korrelieren und so frühzeitig vor Insider-Bedrohungen warnen.

Segmentieren Sie sensible Daten nach dem Need-to-know-Prinzip
Führen Sie strenge Richtlinien zur Datensegmentierung ein, um den Zugriff auf sensible Daten je nach Rolle, Projekt und betrieblicher Notwendigkeit einzuschränken. Dies minimiert das Risiko, dass ein Insider unbefugten Zugriff erhält.

Implementieren Sie eine Baseline für das Benutzerverhalten bei privilegierten Konten
Die regelmäßige Überwachung der Benutzeraktivität ist wichtig, doch privilegierte Konten stellen das größte Risiko dar. Implementieren Sie strengere Basiswerte für privilegierte Konten, um abnormales Verhalten schnell zu erkennen.

Schutz vor Insider-Bedrohungen mit Exabeam

Exabeam ist eine SIEM-Plattform, die einfach zu implementieren und zu verwenden ist und erweiterte Funktionen gemäß dem überarbeiteten Gartner SIEM-Modell umfasst:

• Advanced Analytics und forensische Analyse– Bedrohungsidentifizierung mit Verhaltensanalyse auf der Grundlage von maschinellem Lernen, dynamische Gruppierung von Peers und Entitäten zur Identifizierung verdächtiger Personen und Erkennung lateraler Bewegungen.
• Datenexploration, -berichterstattung und -aufbewahrung– unbegrenzte Aufbewahrung von Protokolldaten zu Pauschalpreisen, Nutzung moderner Data-Lake-Technologie mit kontextbezogener Protokollanalyse, die Sicherheitsanalysten hilft, schnell zu finden, was sie brauchen.
• Threat Hunting– ermöglicht Analysten die aktive Suche nach Bedrohungen. Bietet eine Point-and-Click-Oberfläche zur Bedrohungssuche, die das Erstellen von Regeln und Abfragen in natürlicher Sprache ohne SQL- oder NLP-Verarbeitung ermöglicht.
• Incident Response und SOC-Automatisierung– ein zentralisierter Ansatz für die Incident Response, der Daten aus Hunderten von Tools sammelt und mithilfe von Sicherheits-Playbooks eine Reaktion auf verschiedene Arten von Vorfällen orchestriert. Exabeam kann Untersuchungen, Eindämmungs- und Schadensbegrenzungs-Workflows automatisieren.

Die UEBA-Lösung (User and Entity Behavior Analytics) von Exabeam erkennt anomales Verhalten und laterale Bewegungen innerhalb Ihres Unternehmens, was besonders wichtig für die Erkennung von Insider-Bedrohungen ist. Sie erstellt automatisch Angriffszeitpläne und ermöglicht so die einfachere und schnellere Erkennung von Insidern, die über mehrere Systeme und Benutzerkonten hinweg agieren.