logo lineofbiz

Insider-Angriffe, die unerkannte Bedrohung Zugriff auf interne Netzwerkressourcen als Eintrittskarte

17. April 2025
A data breach concept the words "breach alert" on a screen Internet security and data protection theme
Quelle: WD Stock Photos, Adobe Stockphoto

Laut dem Verizon 2024 Data Breach Investigations Report machten Insider-Angriffe im vergangenen Jahr 35 Prozent aller Datensicherheitsverstöße aus. Damit hat sich die Zahl gegenüber dem Vorjahr annähernd verdoppelt. Insider sind eine latente Bedrohung für jedes Unternehmen und zudem eine der potenziell gefährlichsten. Denn Insider verfügen bereits über das, was Angreifer brauchen: einen kritischen proprietären Zugriff auf interne Netzwerkressourcen. Das gilt insbesondere für Angriffe via E-Mail. Wichtige Kontakte sind nur einen Klick entfernt und böswillig agierende Insider kennen die „Lage vor Ort“.

Aktuell zielen Phishing-E-Mails eher darauf ab, menschliche Benutzer zu täuschen als Maschinen zu überlisten. Professionell konzipierte Phishing-Scams stammen dabei aus vertrauenswürdigen Quellen (beispielsweise von einem Kollegen) und sind sehr ambitioniert darin, einen Angriff erfolgreich zu lancieren.

Viele der aktuell verfügbaren E-Mail-Sicherheitslösungen sind nicht in der Lage, solche versteckten Bedrohungen zu erkennen. Neue Technologien wie die Integrated Cloud Email Security (ICES) versprechen Abhilfe.

Versteckte Bedrohungen: Der Heimvorteil

Es mag herausfordernd sein, auch dann ehrlich zu bleiben, wenn man auf die sprichwörtliche Schatztruhe voller digitaler Informationen zugreifen kann. Zumindest für einige. Der Verizon 2024 DBIR konstatiert zudem, dass 70 Prozent aller Datenschutzverletzungen im Gesundheitswesen von böswillig agierenden Insidern verursacht wurden. Hier kehrt sich der bislang rückläufige Trend der letzten Jahre um.
Weitere Quellen sprechen eine ähnliche Sprache. Laut dem „Insider Threat Report 2024“ (Cybersecurity Insider) waren stolze 83 Prozent der Unternehmen in den letzten zwölf Monaten mit mindestens einem Insider-Vorfall konfrontiert.

Insider – also Mitarbeiter, Kollegen, der Chef – sie alle verfügen über einen natürlichen Vorteil, wenn es darum geht, Datensicherheit in einem ihnen vertrauten System zu untergraben. Man geht weiterhin davon aus – vielleicht zu sehr –, dass Mitarbeiter ihre Daten sicher abspeichern und verantwortungsbewusst damit umgehen. Wer allerdings über einen privilegierten Zugriff verfügt, der kann vertrauliche Daten problemlos von dort entfernen, wo sie hingehören, und das oft unbemerkt.

Einige Faktoren erleichtern das:

  • Remote Work und möglicherweise mangelnde Kontrollen,
  • unzureichend abgesicherte heimische Netzwerke oder
  • Probleme bei der Zugangskontrolle.

Die diesen Angriffen zugrundeliegenden Motive sind vielfältig. Manche versprechen sich einen finanziellen Vorteil, andere sinnen auf Rache, Sabotage oder planen, geistiges Eigentum zu stehlen.

Man sollte außerdem im Hinterkopf behalten, dass auf jeden böswillig agierenden Insider schätzungsweise ein bis zwei weitere kommen, die einfach nur nachlässig handeln oder nicht ausreichend geschult sind. Dazu kommt, dass nicht zwangsläufig jeder mit den geltenden Richtlinien vertraut ist. Insbesondere wenn es darum geht, welche Daten als sensibel eingestuft worden sind und welche Informationen das Netzwerk beispielsweise per E-Mail verlassen dürfen und welche nicht. Versehentlich verursachte Datenschutzverletzungen und unsichere Praktiken fallen gleichfalls in die Kategorie Insider-Bedrohung.

Wenn böswillige Insider selbst zum Opfer werden

Böswillig agierende Insider sind nicht selten Mitarbeiter, deren Konten kompromittiert wurden. Externe Angreifer übernehmen diese Konten (Account Takeover, ATO) und kontrollieren sie per Remote-Zugriff. Angriffe dieser Art haben ein hohes Schadenspotenzial – Beispiel E-Mail:
Über ein kompromittiertes E-Mail-Konto lassen sich äußerst überzeugende Phishing- und Business-E-Mail-Compromise-Nachrichten (BEC) versenden. Bekannte Beispiele sind scheinbar dringende E-Mails von einem Vorgesetzten, in denen Sie gebeten werden „unserem neuen Lieferanten die ausstehende Rechnung umgehend zu zahlen“.

Angeblich ist die betreffende Führungskraft nicht am Platz, die Überweisung müsse aber dringend angestoßen werden. Mitarbeitende wollen in aller Regel im Sinne ihrer Firma handeln und haben auch die Befugnisse, eine solche Überweisung schnell zu erledigen.
Betrügereien wie Business Email Compromise sind demgegenüber noch plausibler, wenn sie von innen kommen. Aber wie lassen sich solche Bedrohungen zuverlässig aufdecken, wenn die einzige Spur eine manipulierte E-Mail ist?

Einer erfolgreichen Kontoübernahme gehen ein oder mehrere Schritte voraus. Sei es, dass Anmeldeinformationen kompromittiert wurden, jemand auf Social Engineering hereingefallen ist oder via Smishing (SMS Phishing) und Vishing (Voice Phishing) Informationen abgezogen wurden.

Selbst moderne E-Mail-Sicherheitslösungen wie E-Mail-Gateways (SEGs) sind kaum in der Lage, solche Aktivitäten zu erkennen. SEGs sind beispielsweise so konzipiert, dass sie eine Datenbank bekannter Bedrohungen durchsuchen. Manipulierte Links, Attachements und Signaturen haben nicht vollständig ausgedient. Aber Angreifer setzen häufig auf „saubere“ E-Mails, die lediglich die Benutzer täuschen sollen und nicht die Sicherheitssoftware zur Malware-Erkennung. Bislang ist die Methode äußerst erfolgreich – vor allem „dank KI“. Doch wie sollen Unternehmen auf diese subtilen Anzeichen einer potenziellen Bedrohung reagieren?

Versteckte Bedrohungen aufspüren

Integrierte Cloud-E-Mail-Sicherheitslösungen (ICES) unterstützen und erweitern SEGs und integrierte Cloud-E-Mail-Sicherheitslösungen wie Microsoft Defender. Letztere sind unverzichtbare Bausteine der E-Mail-Sicherheit. ICES ergänzen diese Lösungen um eine zusätzliche Schutzebene, die auch E-Mail-basierte Bedrohungen ohne Signatur erkennt.

Künstliche Intelligenz und maschinelles Lernen tragen dazu bei, Phishing Scams, Business Email Compromise (BEC) und Social Engineering zu erkennen. Solche Lösungen sind darauf trainiert, Anzeichen einer Insider-Kompromittierung zu erkennen.

Dazu analysiert künstliche Intelligenz die Tonalität, den Inhalt, die Intention und sogar die Metadaten von E-Mails, die intern versendet werden, und vergleicht sie mit einer Datenbank nachweislich bösartig manipulierter E-Mails.

ICES-Lösungen untersuchen Muster und vergleichen semantische Ähnlichkeiten, um Transparenz über die interne E-Mail-Kommunikation zu schaffen. Und das selbst, wenn es den betreffenden Nachrichten gelungen ist, die erste Scan-Ebene zu unterlaufen.

Jack Garnsey, Vipre

Vipre

Lesen Sie auch

ai generated LoB JuliusH Pixabay

EU AI Act: Klassifizierung von KI-Systemen

b commvault

Globale Studie belegt: Cyber Recovery bleibt komplex

ransomware Pixa P Linforth LoB

Ein Mietmodell für Profis und Anfänger