Gastkommentar von Shawn Henry, CrowdStrike

Schutz vor Online-Kriminalität und Insidern

08. Mai 2020, 07:00 Uhr   |  Shawn Henry, Präsident von CrowdStrike Services

Schutz vor Online-Kriminalität und Insidern

Bereits Anfang 2020 hatte sich die Bedrohungslandschaft im Vergleich zum letzten Jahr deutlich verändert. Das Ökosystem der Online-Kriminalität entwickelt sich stetig weiter und wird zunehmend stärker, wie der Global Threat Reports 2020 zeigt. Nun stehen wir im Zuge der aktuellen COVID-19-Krise vor einem weiteren Paradigmenwechsel, argumentiert Shawn Henry, Präsident von CrowdStrike Services, im nachfolgenden Gastkommentar.

200508 CrowdStrike Shawn Henry
©

Warnt vor Innentätern: Shawn Henry von CrowdStrike. Bild: CrowdStrike

Sowohl Kriminelle als auch nationalstaatliche Angreifer nutzen derzeit die Angst der Menschen vor dem Coronavirus aus und setzen Social-Engineering-Kampagnen ein, um Daten und Finanzinformationen zu stehlen. Dies sind aber nicht die einzigen Angreifertypen, die derzeit ihr Unwesen treiben. Ein weiterer, dritter Akteur tritt derzeit - unbeabsichtigt oder aber, was noch viel schlimmer ist, absichtlich - in Erscheinung: Insider.

Aufgrund der aktuellen Situation arbeiten derzeit die meisten Arbeitnehmer von zu Hause, was die Tür zu einer ganz neuen Welt von Schwachstellen geöffnet hat: unsichere WLANs, veraltete und nicht gepatchte private Endgeräte, nicht richtlinienkonforme Nutzerzugänge und -berechtigungen, um nur einige zu nennen. Hinzu kommt, dass Unternehmen allmählich damit beginnen, ihre Betriebsausgaben neu zu bewerten, um sich auch während der Gesundheitskrise finanziell über Wasser zu halten, was bedauerlicherweise zu betriebsbedingten Entlassungen oder Beurlaubungen von Mitarbeitern führen kann.

Entlassungen können zu verärgerten und/oder verzweifelten Mitarbeitern führen, die schon seit jeher eine Insider-Gefahrenquelle darstellen. Es ist eine Herausforderung, diese Bedrohungen aufzudecken, zu verhindern und zu untersuchen, denn ohne angemessene Sicherheitsmaßnahmen können diese Ereignisse sensible Unternehmensdaten gefährden. Doch es gibt drei Maßnahmen für Unternehmen, um das Sicherheitsrisiko zu mindern.

Incident Response aus der Cloud

Arbeitnehmer an speziell eingerichteten Remote-Arbeitsplätzen arbeiten zu lassen ist der erste Schritt zur Absicherung von Remote Work. Denn selbst wenn ein Mitarbeiter über gepatchte Geräte, VPN, geregelte Zugangsberechtigungen etc. verfügt, besteht immer noch die Gefahr eines unerlaubten Eindringens ins Netzwerk, insbesondere bei böswilligen Insidern.

Kommt es zu einem solchen Vorfall, ist es wichtig, dass das IT-Sicherheitsteam in der Lage ist, den Verstoß zu identifizieren, zu untersuchen und zu beheben, ohne direkt vor Ort sein zu müssen. Dies ist inmitten der COVID-19-Krise besonders wichtig, da Reisen nicht nur die Behebung des Problems verzögern, sondern auch ein vermeidbares Gesundheitsrisiko darstellen.

Das wichtigste Tool zur Sicherung von Remote-Mitarbeitern ist die Cloud. Sie bietet IT-Security-Transparenz im gesamten Unternehmen - unabhängig von der Anzahl an Heimarbeitsplätzen. Die Cloud ermöglicht es dem IT-Team, bei der Reaktion auf Vorfälle agil zu bleiben. So können sie sofort Gegenmaßnahmen für kompromittierte Geräte implementieren und aus der Ferne überwachen.

Darüber hinaus vereinfacht die Cloud die Einhaltung von Sicherheitsvorschriften drastisch, und zwar auf allen Geräten, da die IT Security-Patches und Zugriffsberechtigungen einfach von zu Hause bereitstellen kann. Des Weiteren können Sicherheits- und IT-Teams den Zugang ihrer Mitarbeiter zu sensiblen Informationen per Fernzugriff bewerten, um das Prinzip der geringsten Privilegien (Least Privilege Access Model) zu gewährleisten. Dies stellt sicher, dass Mitarbeiter nur Zugang zu den Materialien haben, die für ihre Arbeit erforderlich sind, und ermöglicht es Unternehmen im Falle bei Entlassungen, den Zugang für die betroffene Person schnell und effizient abzuschalten.

Menschliche und künstliche Intelligenz kombinieren

Eine der größten Herausforderungen im Umgang mit böswilligen Insidern besteht darin, zwischen normaler Arbeitstätigkeit und möglichen böswilligen Handlungen zu unterscheiden, bevor es zu spät ist. Die Unterscheidung ist nicht so, als fände man die sprichwörtliche Nadel im Heuhaufen, sondern eher so etwas wie "eine Nadel im Nadelhaufen finden", da die Aktivitäten von Insidern auf den ersten Blick legitim erscheinen mögen. Böswillige Insider sind ein menschliches Problem, und diese Art von Problemen bedarf oft menschlich gesteuerter Lösungen.

Die IT- und Sicherheitsteams eines Unternehmens müssen angemessen ausgestattet sein, um verdächtige Aktivitäten proaktiv zu überwachen und aufzuspüren, bevor es zu einem größeren Verstoß kommt. Ihr Instrumentarium kann diverse Lösungen enthalten, darunter das Unterbinden der Verwendung von USB-Sticks zur Datenexfiltration oder die Protokollierung in E-Mail-Systemen, um E-Mails mit unternehmenseigenem geistigen Eigentum zu kennzeichnen, die an persönliche E-Mail-Adressen weitergeleitet werden.

Letztlich aber kennt der Mensch den Menschen am besten, sodass ein Threat-Hunter-Team - ob intern oder extern beauftragt - in der Welt der Remote-Arbeit ein Muss ist, um die Infrastruktur abzusichern. Threat-Hunting-Teams sind in der Lage, Techniken und kriminelle Handlungen von Insidern aufzuspüren, indem sie Endpunkttechnik und Datenanalysen einsetzen, um unseriöse Handlungen zu identifizieren.

Es liegt nicht in der alleinigen Verantwortung der IT-Sicherheitsteams, ein Unternehmen vor böswilligen Insidern zu schützen. Während die Chefetage und die Vorstände nach Wegen suchen, das Geschäftsergebnis zu wahren, und gleichzeitig ihre neuerdings dezentralisierte Belegschaft zu führen, muss es eine einheitliche Handlungslinie zwischen IT-, Personal- und anderen Geschäftsbereichsleitern geben.

Diese Geschäftsbereichsleiter müssen Partner sein, die ihre jeweiligen Vorstände strategisch informieren. Dies muss unter anderem wachsende und sich entwickelnde Risiken einbeziehen, die angemessene Investitionen in Sicherheitspraktiken, -instrumente und -ressourcen erfordern, die zum Schutz eines Unternehmens unerlässlich sind.

Viele Mitarbeiter haben unabhängig davon, in welchem Team sie arbeiten, in der einen oder anderen Form privilegierten Zugang zum Netzwerk, den Systemen und sensiblen Informationen des Unternehmens. Um Verstöße von Innentätern zu verhindern, ist von größter Bedeutung, Verständnis auf Unternehmensebene zu schaffen: über die Rechte, die ein Mitarbeiter hat, über die Arten vertraulicher Informationen, mit denen er umgeht, und über die Prozesse, die erforderlich sind, um ihn im Notfall vom Netzwerk zu isolieren.

"Business as usual" in ungewöhnlichen Zeiten

Die Coronakrise hebelt die Normalität des Tagesgeschäfts, wie wir sie kennen, aus. Das bedeutet jedoch nicht, dass Unternehmen Schutzfunktionen in den Wind schlagen müssen. Mit der richtigen Technik, den richtigen Mitarbeitern und den richtigen Prozessen können Unternehmen eine solide Sicherheitsfront gegen externe und interne Bedrohungen aufrechterhalten, selbst wenn die Belegschaft verteilt arbeitet.

Shawn Henry ist Präsident von CrowdStrike Services, www.crowdstrike.com.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Virtual Instruments erweitert Cloud-Monitoring- und -Analyse-Angebot
CrowdStrike präsentiert Endpoint Recovery Service
ExtraHop: 360-Grad-Sichtbarkeit in Multi-Cloud- und IoT-Umgebungen

Verwandte Artikel

Angriffsabwehr

Angriffserkennung

Cloud