Die Minderung des Risikos von Insider-Bedrohungen erfordert ständige Wachsamkeit

Insider-Bedrohungen treten nicht sehr oft auf, aber wenn sie auftreten, sind die Folgen verheerend.

Ein ehemaliger Ingenieur für die Kerninfrastruktur eines nicht genannten Industrieunternehmens mit Hauptsitz in Somerset County, New Jersey, wurde festgenommen, nachdem er angeblich eine E-Mail geschickt hatte, in der Administratoren darüber informiert wurden, dass sie von 254 Windows-Servern ausgesperrt wurden.

Laut Gerichtsdokumenten erhielten die Mitarbeiter des Unternehmens im vergangenen November eine E-Mail, in der ihnen mitgeteilt wurde, dass alle IT-Administratoren aus ihren Konten ausgesperrt und Server-Backups gelöscht worden waren, um eine Datenwiederherstellung unmöglich zu machen. In der Nachricht wurde außerdem damit gedroht, in den nächsten zehn Tagen täglich 40 zufällig ausgewählte Server im Netzwerk des Unternehmens abzuschalten, falls nicht ein Lösegeld von 20 Bitcoins, im Wert von etwa 750.000 Dollar, gezahlt würde.

Eine von FBI Special Agent James E. Dennehy in Newark geleitete Untersuchung ergab, dass ein 57-jähriger Daniel Rhyne aus Kansas City, Missouri, der als Kerninfrastruktur-Ingenieur für das Unternehmen arbeitete, zwischen dem 9. und 25. November per Fernzugriff auf die Computersysteme des Unternehmens zugegriffen hatte, um mit einem Administrator-Konto des Unternehmens unbefugt Passwörter zu ändern. Er wurde Ende letzten Monats in Missouri verhaftet. Die Anklagepunkte Erpressung, vorsätzliche Computerschädigung und Überweisungsbetrug werden mit einer Höchststrafe von 35 Jahren Gefängnis und einer Geldstrafe von 750.000 Dollar geahndet.

Unabhängig vom Ergebnis der Studie gehören Insider-Bedrohungen zu den herausforderndsten Problemen, denen sich jedes Cybersecurity-Team stellen muss. Die Hauptquellen dieser Bedrohungen sind in der Regel verärgerte Mitarbeiter, aber es kann sich auch um versehentliche Verstöße handeln, die von einem internen Mitarbeiter oder einem externen Auftragnehmer verursacht werden. In seltenen Fällen kann ein Mitarbeiter auch versuchen, geistiges Eigentum an einen Konkurrenten zu verkaufen. Die einzige Möglichkeit, diese Art von Angriffen zu verhindern, besteht darin, sicherzustellen, dass Tools zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) eingesetzt werden, um sicherzustellen, dass der Zugriff auf die Daten kontinuierlich überwacht wird. Schließlich ist die Art und Weise, wie auf Daten zugegriffen wird, ziemlich konsistent, so dass jede ungewöhnliche Aktivität untersucht werden sollte.

Natürlich können diese Ermittlungen viel Zeit in Anspruch nehmen. Glücklicherweise haben Strafverfolgungsbehörden, insbesondere das FBI, ihre Fähigkeiten in der digitalen Forensik in den letzten Jahren im Zeitalter der Ransomware deutlich verbessert. Tatsächlich ist es oft viel einfacher, die Quelle einer Insider-Bedrohung zu ermitteln, als die eines Cyberangriffs, der möglicherweise aus Russland oder Nordkorea stammen könnte.

Wie das Sprichwort sagt, drehen sich die Mühlen der Justiz langsam, aber sie mahlen sehr fein. Für Unternehmensleiter, die mit Systemstörungen zu kämpfen haben, ist das vielleicht nur ein schwacher Trost. Dennoch dient es als Abschreckung, indem es jeden potenziellen Übeltäter daran erinnert, dass er wahrscheinlich erwischt wird, egal wie geschickt er sich selbst einschätzt. Eine der effektivsten Methoden besteht wohl darin, Personalprobleme im Auge zu behalten und falls erforderlich, einen Background Check der Mitarbeiter durchzuführen. Wer zum Beispiel hohe Schulden angehäuft hat, ist vielleicht eher bereit, Geheimnisse zu verkaufen oder den Zugang zu seinen Zugangsdaten preiszugeben, wenn er dafür eine finanzielle Hilfe erhält.

In der Zwischenzeit kann es nicht schaden, alle von Zeit zu Zeit sanft daran zu erinnern, dass die Menschen, denen sie im Gefängnis begegnen werden, von ihren IT-Kenntnissen vermutlich nicht sonderlich beeindruckt sein werden.