Die Gefahr durch Insider, seien es noch aktuell Beschäftigte oder ehemalige Mitarbeiter, wird nach Ansicht von Sophos häufig unterschätzt. So weist der britische Sicherheitsanbieter auf einen Fall in seinem Heimatland hin, bei dem ein entlassener Mitarbeiter alle 23 bei AWS (Amazon Web Services) gehosteten Server seines Arbeitgebers gelöscht haben soll. Der 36-jährige sei mittlerweile zu zwei Jahren Haft verurteilt worden.
Foto: Sophos
"Security wird gerne auf die Abwehr von externen Angriffen reduziert", warnt Michael Veit, Security-Experte bei Sophos. Security müsse jedoch auch intern stattfinden, damit Insider keinen Schaden anrichten können. "Zugangsberechtigungen, sichere Authentifizierungen und der richtige Umgang mit Passwörtern sind elementare Komponenten der internen Security, die sich mit modernen Lösungen leicht umsetzen lassen."
Bei dem von Sophos erwähnten Fall in Großbritannien konnte der Angreifer die Login-Daten eines ehemaligen Kollegen stehlen. Diese soll er dann genutzt haben, um die AWS-Server zu löschen. Der Verlust durch in Folge verlorengegangene Aufträge soll sich nach Angaben von Sophos auf etwa 700.000 US-Dollar belaufen.
Sophos rät folgende Maßnahmen umzusetzen, um vergleichbare Fälle zu vermeiden:
Zugangssperre: Generell sollte es niemanden möglich sein, sich von extern in ein Unternehmensnetzwerk einzuschleichen. Sämtliche Zugänge sollten standardmäßig geschlossen sein und nur denjenigen Zugriff erlauben, die dazu berechtigt sind.
Erweiterter Zugangsschutz: Zugangsdaten können in falsche Hände geraten, extern wie auch intern. Darum rät Sophos zu einer Zwei-Faktor-Authentifizierung insbesondere für sensible Bereiche der Administration und Datenhaltung. Löschungen wie in diesem Beispiel seien dann ohne eine zweite Authentifizierung nicht möglich.
Rechteverteilung: Wenn möglich sollte ein Unternehmen die Administrationsrechte auf mehrere Administratoren verteilen, wobei jeder Administrator nur die Rechte für seine eigentlichen Aufgaben erhält. Ein AWS-Server-Administrator zum Beispiel sollte keinen Zugriff auf Backups haben.
Zentrale Administration der Zugriffskontrolle: Zugriffsmöglichkeiten müssen nach Ansicht von Sophos an einer zentralen Stelle verwaltet werden. Der Sicherheitsanbieter empfiehlt außerdem, dass sich Regeln für Zugriffe automatisch und sofort auf die gesamte Security-Struktur auswirken sollten, gleichgültig ob lokal, remote oder mobil.