Perspektivwechsel in der Cybersecurity Die Gefahr von innen im Fokus
10. November 2017Werkzeuge zur Analyse von Nutzerverhalten, sogenannte User Behavior Analytics, geben Aufschluss über den Umgang mit sensiblen Daten und die Informationsströme in Unternehmen. Diese Informationen ermöglichen es Mitarbeiter zu sensibilisieren und Sicherheitsstrukturen zu implementieren, die verhindern, dass sensible Daten durch Fehlverhalten abwandern oder privilegierte User für kriminelle Zwecke missbraucht werden.
Insider Threats
Die Ansprüche an vernetztes Arbeiten im internationalen Umfeld steigen. Mitarbeiter müssen zu jeder Zeit und von jedem Ort aus auf Unternehmensdaten zugreifen können. Gleichzeitig muss sichergestellt sein, dass der Zugriff auf Daten über sichere Wege und geordnete Strukturen abläuft. Der Einsatz von privaten Endgeräten, mobile Zugriffe und Cloud-Applikationen machen den Schutz von Mitarbeitern und Daten zunehmend komplex.
Ein ganzheitlicher Sicherheitsansatz muss sich deswegen – neben dem Schutz von Infrastruktur gegen Angriffe auf das Unternehmensnetzwerk – insbesondere auf den Umgang mit und die Bewegungen von Daten im Unternehmen fokussieren. Nur so kann sichergestellt werden, dass weder durch Schatten-IT noch durch genehmigte Anwendungen von Drittanbietern die Integrität von geistigem Eigentum gefährdet wird.
Angriffe auf Unternehmensnetzwerke von außen treffen in der Regel auf eine Reihe von Abwehrmaßnahmen. Die Implementierung von sogenannten Intrusion-Detection- (IDS) und Intrusion-Prevention-Systemen (IPS) schützt aber nicht vor der Gefahr von innen. Sogenannte Insider Threats entstehen durch fehlerhafte Prozesse oder leichtsinnigem Umgang mit sensiblen Daten. Auch eine beabsichtigte oder gar kriminelle Abwanderung von Daten durch Mitarbeiter kann nicht ausgeschlossen werden. Entsprechende Abwehrmöglichkeiten sind oft noch nicht im Bewusstsein der Verantwortlichen angekommen oder es fehlt schlicht an geeigneten Prozessen, Tools und Know-how.
Grundsätzlich lassen sich unterschiedliche Typen von Insider Threats unterscheiden: ein absichtlicher Datendiebstahl, also die Veruntreuung von Daten durch Mitarbeiter mit einem kriminellen Motiv; ein kompromittierter User, das heißt, ein Angriff über die Zugangsdaten eines Mitarbeiters; oder eine unwissentliche Gefährdung beziehungsweise eine unbeabsichtigte Handlung eines Mitarbeiters, die durch Fehlverhalten oder Fahrlässigkeit Datenabwanderung begünstigt. Für alle drei gilt: Der Schaden wird meist erst entdeckt, wenn es zu spät ist. Zudem lässt sich der genaue Sachverhalt im Nachhinein nur sehr schwer aufklären.
Verhaltensmuster analysieren
Einem Datendiebstahl oder Datenverlust gehen immer verdächtige bzw. auffällige Verhaltensweisen oder Handlungen voraus, unabhängig davon, welches Motiv sich dahinter verbirgt. Bewegt sich ein Nutzer zu für ihn ungewöhnlichen Uhrzeiten in Sektionen des Unternehmensnetzwerks, die mit seinem normalen Aufgabenbereich nichts zu tun haben, ist dies eine Abweichung vom Normalverhalten.
Dahinter kann natürlich auch eine Veränderung des Tätigkeitsbereichs stecken, es ist aber sinnvoll dem Indiz nachzugehen und den Mitarbeiter gegebenenfalls zu sensibilisieren. Kriminell motivierte Täter testen zudem ihre Möglichkeiten, kopieren oder extrahieren Daten, um zu sehen, ob es bemerkt wird und wofür die Zugriffsrechte ausreichen. User, die nicht durch vorsätzliches, sondern fehlerhaftes Verhalten eine Gefahr für sensible Daten darstellen, zeigen im Allgemeinen auch auffällige Verhaltensmuster. Ein häufiges Beispiel: Mitarbeiter kopieren klassifizierte Daten auf mobile Datenträger oder in eine Public Cloud, um von Zuhause aus noch etwas zu bearbeiten.
Mit den richtigen Softwarelösungen lassen sich illegale oder gefährdende Tätigkeiten im Firmennetzwerk erkennen, vorhersagen und verhindern. Da die Verhaltensweise sowohl bei kriminellen Handlungen als auch bei gefährdenden Nutzeraktivitäten bestimmten Mustern folgt, kann durch User Behavior Analytics ein automatisches Frühwarnsystem eingerichtet werden, das abweichendes Verhalten – unabhängig von der Intention – erkennt und so die Möglichkeit zur Prävention bietet. Dazu lernt die Lösung durch automatisiertes Baselining einen Normalzustand für das Verhalten eines Mitarbeiters oder einer Gruppe von Mitarbeitern. Zusätzliche Parameter für Normalverhalten können vom Unternehmen ergänzt werden, um das Monitoring zu verfeinern.
Die Informationen aus dem Monitoring bilden die Basis für eine Risikobewertung und Gefahreneinstufung für bestimmte Verhaltensmuster. Bei gefährdendem Verhalten löst das System einen Alert beim Sicherheitsverantwortlichen aus: Überschreitet ein User einen bestimmten Gefahrenwert (Score), wird das Verhalten genauer unter die Lupe genommen. Um den Datenschutz zu gewährleisten, arbeiten User-Behavior-Analytics-Lösungen (UBA) ähnlich wie Flugschreiber: Die Informationen zum Nutzerverhalten werden zunächst pseudonymisiert erfasst, zum Beispiel mit einer numerischen Nutzerkennung 1234. Alle Daten sind mehrstufig verschlüsselt und können nur entschlüsselt sowie einem bestimmten Mitarbeiter zugeordnet werden, wenn ein konkreter Verdacht vorliegt. Dazu ist außerdem die Zustimmung eines dafür autorisierten Gremiums, beispielsweise aus Betriebsrat, Geschäftsführung und IT-Leiter nötig.
Moderne Lösungen kombinieren Data Loss Prevention (DLP) mit einer Benutzerverhaltensanalyse und korrelieren dies mit anderen IT- und Geschäftsvorgängen (zum Beispiel RFID-Zugriffsprotokolle und IP-Protokolleinträge). So lässt sich feststellen, ob eine Bedrohung tatsächlich auf einen Insider oder einen Eindringling mit gestohlenen Anmeldeinformationen zurückgeht.
Schutz des Mitarbeiters
Vorfälle, bei denen Mitarbeiter den Verlust sensibler Daten verursachen, basieren in der Regel auf unbeabsichtigtem Fehlverhalten oder Unwissenheit. Werden diese Verhaltensweisen frühzeitig erkannt, können die Mitarbeiter entsprechend aufgeklärt und geschult werden. Sollte es sich um einen Schaden durch Infiltration handeln, muss aufgeklärt werden, wo das Schlupfloch war und wie es zu schließen ist.
Ebenso wenn ein Mitarbeiter mit kriminellen Beweggründen Daten extrahiert. Hierfür ist tiefgreifendes Expertenwissen und ein hoher Zeitaufwand nötig, sollte das Unternehmen das selbst übernehmen wollen. Außerdem liefern nur wenige Technologien die entsprechenden Informationen und erkennen die Zusammenhänge, die zur Analyse des Prozesses nötig wären.
Die von einer UBA bereitgestellten forensischen Analysen mit Bewegungsdaten, den Informationen der IP-Telefonie sowie der kompletten Kommunikation und Dokumentation der durchgeführten Transaktionen liefern Unternehmen Transparenz über die Datenströme im Unternehmensnetzwerk. Zudem wird eine klare Beweislage gewährleistet, sollte es zu juristischen Auseinandersetzungen kommen.
Albert Schöppl
ist Regional Sales Manager CEUR bei Forcepoint Deutschland.