Mangelnder Schutz vor Insider-Attacken: Privilegierte Nutzer stehen zu wenig im Fokus

Angesichts des Datendiebstahls bei der Sage Group warnt Matthew Ravden, Vice President des Sicherheitsunternehmens Balabit, davor, dass herkömmliche Authentifizierungsmethoden zu wenig vor solchen Insider-Attacken schützen.

Matthew Ravden von Balabit fordert bessere Sicherheitskonzepte zum Schutz vor Insider-Attacken
(Foto: Balabit)

Es steht nun fest, dass der Einbruch in die Computersysteme der Sage Group, bei dem zwischen 200 und 300 britische Unternehmen betroffen sind, von einem Sage-Mitarbeiter begangen wurde. Und es bringt das Problem mit Insider-Verletzungen ans Licht: Unternehmen geben Millionen für präventive Technologien aus, die aber nicht in der Lage sind, bösartige Aktivitäten zu erfassen, wenn sich der Benutzer ordnungsgemäß authentifiziert hat. Nach wie vor wird noch zu viel Vertrauen in Passwort-Management-Systeme gesetzt, die gerade einem privilegierten Benutzer unbeschränkten Zugriff auf sensible Daten gewähren. Wir müssen mehr Gewicht auf das Monitoring und die Analyse des Verhaltens dieser riskanten Benutzergruppe setzen und zwar in Echtzeit. Nur dann können wir ungewöhnliche Aktivitäten, die auf Missbrauch hindeuten, erkennen und böswillige Handlungen frühzeitig unterbinden.

Der Vorfall belegt ein weiteres Mal, dass herkömmliche Methoden der Authentifizierung nicht ausreichen, um Datenmissbrauch von innen zu verhindern. Die Unternehmen brauchen eine Lösung, um gerade die Aktivitäten privilegierter Benutzer zu monitoren und zu analysieren, auch nachdem sie sich im System angemeldet haben: Nur über die Analyse des Nutzerverhaltens in Kombination mit der Aufzeichnung der Session lässt sich ein solcher Angriff noch stoppen. Dabei wird überprüft, was der Benutzer tut, und es fallen ungewöhnliche Verhaltensweisen auf, etwa bezüglich der Anmeldezeit, oder wenn auf unübliche Daten zugegriffen wird. Das ist vielleicht der einzige Hinweis auf bösartige Aktivitäten.

Immerhin zeigt eine Umfrage, die wir kürzlich durchgeführt haben: IT-Sicherheitsexperten fürchten zwar nach wie vor externe Einbrüche ins IT-Netzwerk durch Hacker, sie sorgen sich aber auch zunehmend über das Risiko, das von innen kommt, also durch einen böswilligen Benutzer oder durch den Missbrauch eines Mitarbeiter-Accounts entsteht. In den USA sagen 70 Prozent der Befragten, dass sie die Bedrohung durch Insider riskanter finden als die durch Externe, in der EU sind es sogar 75 Prozent.