Sowohl eCrime-Akteure als auch nationalstaatliche Angreifer nutzen derzeit die Angst der Menschen vor dem Coronavirus aus und setzen Social-Engineering-Kampagnen ein, um Daten und Finanzinformationen zu stehlen. Dies sind aber nicht die einzigen Angreifer-Typen, die derzeit ihr Unwesen treiben. Ein weiterer, dritter Akteur tritt derzeit, unbeabsichtigt oder aber, was noch viel schlimmer ist, absichtlich, in Erscheinung: Insider.
Bereits Anfang 2020 hatte sich die Bedrohungslandschaft im Vergleich zum letzten Jahr deutlich verändert. Das Ökosystem der eCrime-Kriminalität entwickelt sich stetig weiter und wird zunehmend stärker, wie wir anhand des Global Threat Reports 2020 sehen. Nun stehen wir im Zuge der aktuellen COVID-19-Krise vor einem weiteren Paradigmenwechsel.
Aufgrund der aktuellen Situation arbeiten derzeit die meisten Arbeitnehmer von zuhause, wodurch die Tür zu einer ganz neuen Welt von Schwachstellen geöffnet wurde: unsichere WLAN-Netzwerke, veraltete und nicht gepatchte persönliche Endgeräte, nicht richtlinienkonforme Nutzerzugänge sowie -berechtigungen, um nur einige zu nennen. Hinzu kommt, dass Unternehmen allmählich damit beginnen werden, ihre Betriebsausgaben neu zu bewerten, um sich auch während der aktuellen Gesundheitskrise finanziell über Wasser zu halten, was bedauerlicherweise zu betriebsbedingten Entlassungen oder Beurlaubungen von Mitarbeitern führen kann.
Entlassungen können zu verärgerten und/oder verzweifelten Mitarbeitern führen, die schon seit jeher eine Insider-Gefahrenquelle darstellen. Es ist eine Herausforderung, diese Bedrohungen aufzudecken, zu verhindern und zu untersuchen, denn ohne angemessene Sicherheitsmaßnahmen können diese Ereignisse sensible Unternehmensdaten gefährden. Doch es gibt drei Maßnahmen für Unternehmen, um sicherzustellen, dass sie in diesen turbulenten Zeiten ihr Bestes tun, um das Sicherheitsrisiko zu mindern.
Incident-Response aus der Cloud
Die Möglichkeit, Arbeitnehmer an speziell eingerichteten Remote-Arbeitsplätzen arbeiten zu lassen, ist der erste Schritt zur Absicherung eines Remote-Arbeitsplatzes. Denn selbst wenn ein Mitarbeiter über gepatchte Geräte, virtuelle private Netzwerke, geregelte Zugangsberechtigungen etc. verfügt, besteht immer noch die Gefahr eines unerlaubten Eindringens ins Netzwerk, insbesondere bei böswilligen Insidern.
Sollte es zu einem solchen Vorfall kommen, ist es wichtig, dass das IT-Sicherheitsteam in der Lage ist, den Verstoß zu identifizieren, zu untersuchen und zu beheben, ohne direkt vor Ort sein zu müssen. Dies ist inmitten der COVID-19-Krise besonders wichtig, da Reisen nicht nur die Behebung des Problems verzögern, sondern auch ein vermeidbares Gesundheitsrisiko darstellen.
Das wichtigste Tool zur Sicherung von Remote-Mitarbeitern ist die Cloud. Sie bietet der IT-Security Transparenz im gesamten Unternehmen und das unabhängig von der Anzahl an Heimarbeitsplätzen. Die Cloud ermöglicht es dem IT-Team bei der Reaktion auf Vorfälle agil zu bleiben. So können sie sofort Gegenmaßnahmen für kompromittierte Geräte implementieren und aus der Ferne überwachen. Darüber hinaus vereinfacht die Cloud die Einhaltung von Sicherheitsvorschriften drastisch und zwar auf allen Geräten, da die IT-Security Patches und Zugriffsberechtigungen ganz einfach von zu Hause bereitstellen kann. Zudem können Sicherheits- und IT-Teams den Zugang ihrer Mitarbeiter zu sensiblen Informationen per Fernzugriff bewerten, um ein „least privilege access model“ zu gewährleisten. Dadurch wird sichergestellt, dass Mitarbeiter nur Zugang zu den Materialien haben, die für ihre Arbeit erforderlich sind, und ermöglicht es Unternehmen darüber hinaus im Falle einer Trennung vom Mitarbeiter, den Zugang für die betroffene Person schnell und effizient abzuschalten.
Die Kraft von menschlicher und künstlicher Intelligenz kombinieren
Eine der größten Herausforderungen im Umgang mit böswilligen Insidern besteht darin, zwischen „normaler“ Arbeitstätigkeit und möglichen böswilligen Handlungen zu unterscheiden, bevor es zu spät ist. Die Unterscheidung ist nicht so, als fände man die sprichwörtliche Nadel im Heuhaufen, sondern eher so etwas wie „eine Nadel im Nadelhaufen finden“, da die Aktivitäten von Insidern oberflächlich betrachtet legitim erscheinen mögen, obwohl sich dahinter böswillige Absichten verbergen. Schädigende Insider sind ein menschliches Problem, und diese Art von Problemen bedarf oft menschlich gesteuerter Lösungen.
Die IT- und Sicherheitsteams eines Unternehmens müssen angemessen ausgestattet sein, um verdächtige Aktivitäten proaktiv zu überwachen und aufzuspüren, bevor es zu einem größeren Verstoß kommt. Ihr Instrumentarium kann Lösungen enthalten, die die Verwendung von USB-Sticks zur Datenexfiltration verhindern oder eine detailliertere Protokollierung in E-Mail-Systemen zur Kennzeichnung von E-Mails mit Firmen-IP, die an persönliche E-Mail-Adressen weitergeleitet werden, einschließen. Aber letztendlich kennt der Mensch den Menschen am besten, so dass ein Threat-Hunter-Team – ob intern oder extern beauftragt – in der Welt der Remote-Arbeit ein Muss ist, um die eigene Infrastruktur abzusichern. Nur ein Mensch kann einen Menschen wirklich verstehen. Die speziellen Threat-Hunting-Teams sind in der Lage, „living off the land“-Techniken und kriminelle Handlungen aufzuspüren, indem sie fortschrittliche Endpunkttechnologie und umfangreiche Datenanalysen einsetzen, um unseriöse Handlungen zu identifizieren.
Eine geschäftliche Lösung für ein menschliches Problem
Es liegt nicht in der alleinigen Verantwortung der IT-Sicherheitsteams, ein Unternehmen vor böswilligen Insidern zu schützen. Während die Chefetage und die Vorstände nach Wegen suchen, das Geschäftsergebnis zu schützen, und gleichzeitig ihre neuen, dezentralisierten Belegschaften zu führen, muss es eine einheitliche Handlungslinie zwischen IT-, Personal- und anderen Geschäftsbereichsleitern geben.
Diese Geschäftsbereichsleiter müssen Partner sein, die ihre jeweiligen Vorstände strategisch informieren und ausbilden. Diese Ausbildung muss unter anderem die wachsenden und sich entwickelnden Risiken einbeziehen, die angemessene Investitionen in Sicherheitspraktiken, -instrumente und -ressourcen einfordern, die zum Schutz eines Unternehmens unerlässlich sind. Viele Mitarbeiter haben unabhängig davon, in welchem Team sie arbeiten, in der einen oder anderen Form privilegierten Zugang zum Netzwerk, den Systemen und sensiblen Informationen des Unternehmens. Die Schaffung eines Verständnisses auf Unternehmensebene über die Rechte, über die ein Mitarbeiter verfügt, über die Arten vertraulicher Informationen, mit denen er umgeht, und über die Prozesse, die erforderlich sind, um einen Mitarbeiter im Notfall vom Netzwerk zu isolieren, ist von größter Bedeutung, um einen Verstoß von innen zu verhindern.
Business as usual in ungewöhnlichen Zeiten
Die Coronakrise hebelt die Normalität des Tagesgeschäfts, wie wir sie kennen, aus. Das bedeutet jedoch nicht, dass Sie die Fähigkeiten, die Sie zum Schutz Ihres Unternehmens eingerichtet haben, in den Wind schlagen müssen. Mit der richtigen Technologie, den richtigen Mitarbeitern und den richtigen Prozessen können Unternehmen eine solide Sicherheitsfront gegen externe und interne Bedrohungen erreichen und aufrechterhalten, selbst wenn die Belegschaft mobilisiert wird.
Von Shawn Henry, President of CrowdStrike Services & CSO