Kenne deinen Feind : Bösartige Innentäter – eine Differenzierung nach Bedrohungstypen
Forscherinnen und Forscher der Universität der Bundeswehr haben im Rahmen des Projekts LIONS böswillige Innentäter untersucht und elf Bedrohungstypen abgeleitet. In unserem Artikel stellen sie diese Typologie vor und beschreiben geeignete Gegenmaßnahmen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert potenzielle Innentäter als „sämtliche Personen mit (privilegiertem) Zugriff auf bzw. Zutritt zu IT-Komponenten, IT-Diensten, Installationen, Dokumenten oder sonstigen ggf. kritischen Informationen und Geräten“. Dabei sind besonders Sicherheitsvorfälle durch vorsätzlich handelnde, böswillige Innentäter (Malicious Insider-Threats) eine große Herausforderung. Allerdings ist das empirische Wissen über diese Tätergruppe begrenzt, da es nur wenige öffentlich zugängliche Fälle gibt – was vor allem daran liegt, dass Organisationen solche Ereignisse aus Angst vor Reputationsverlusten bei Kunden und Partnern ungern offenlegen.
Um die Gruppe der böswilligen Innentäter dennoch untersuchen zu können, haben Wissenschaftler von der Universität der Bundeswehr im Rahmen des Projekts LIONS das Lernspiel „Operation Digital Butterfly“ entwickelt, das fiktive, aber plausible und realitätsnahe Rollen und Angriffsszenarien erzeugt, um eine Grundlage für weitere Forschung zu schaffen. Mithilfe dieses wissenschaftlich validierten Spiels identifizierten sie 40 Bedrohungsszenarien. In einer parallel durchgeführten Interviewstudie mit Sicherheitsverantwortlichen aus der Praxis wurden weitere 21 Instanzen beziehungsweise Gruppen von Angriffsszenarien erhoben. Diese Bedrohungsszenarien werteten die Forscher in qualitativen Analysen aus und entwickelten so eine Typologie mit elf Bedrohungstypen. Zudem identifizierten sie Risikofaktoren und mögliche Gegenmaßnahmen.
Bedrohungstypen
Im Folgenden beschreiben die Autoren die abgeleiteten Bedrohungstypen näher:
Verärgerter Mitarbeiter
Der verärgerte Mitarbeiter („disgruntled employee“) ist in erster Linie durch Rache und das Streben nach „Gerechtigkeit“ motiviert. Dieser Typus wird in vielen Studien über Insider-Threats diskutiert und taucht auch im analysierten Material häufig auf. Der Wunsch nach Rache kann verschiedene Ursachen haben, beispielsweise Entlassung, Streitigkeiten mit Vorgesetzten oder der Geschäftsleitung, mangelnde Anerkennung, ungleiche Gehaltsstrukturen oder verpasste Gehaltserhöhungen, die ein (subjektives) Gefühl der Ungerechtigkeit hervorrufen. In diese Kategorie gehört als Unterform auch der sogenannte „disgruntled leaver“, der die gleichen Merkmale aufweist, außer dass der Vorfall im Zusammenhang mit einer Beendigung des Arbeitsverhältnisses steht – entweder durch den Arbeitgeber oder durch den Arbeitnehmer aufgrund eines Ungerechtigkeitsempfindens.
Der Typ „Verärgerter Mitarbeiter“ versucht üblicherweise, das Unternehmen zu schädigen, oft durch Sabotage oder Rufschädigung mittels physischer Sabotage (z. B. von Produkten oder Maschinen) oder Datenmanipulation. Er ist ein reiner Insider, der einen Vertrag mit dem Unternehmen hat und eine beliebige Position in einer beliebigen Abteilung innehaben kann. Ein solcher Vorfall ist in der Regel ein einmaliges Ereignis zu einem willkürlichen Zeitpunkt während des Beschäftigungsverhältnisses („disgruntled employee“) oder nach Beendigung des Arbeitsverhältnisses („disgruntled leaver“).
Datenmitnahme zur Konkurrenz
Bei dieser Art von Bedrohung nimmt ein Insider Daten wie geistiges Eigentum (z. B. Quellcode, Konstruktionspläne) oder andere wertvolle Informationen (z.B. Kundendaten, Preisgestaltung) mit, wenn er oder sie zur Konkurrenz wechselt.
Die Tat ist naturgemäß ein einmaliges Ereignis, das mit der Beendigung des Arbeitsverhältnisses zusammenhängt, und zielt meistens auf einen persönlichen Vorteil ab. Sie kann jedoch auch zusätzlich durch Rache oder Neugierde motiviert sein. Täter oder Täterinnen dieser Art können reine Insider oder externe Vertragspartner sein, beschränken sich aber auf Personen mit Zugang zu wertvollen Daten, zum Beispiel Dateien, Anwendungen, Datenbanken.
Industriespionage
Insider, die Industriespionage betreiben, nutzen bestehende Privilegien aus, um wertvolle Informationen wie geistiges Eigentum zu stehlen, während sie eine beliebige (interne oder externe) Position mit Zugang zu Daten innehaben. Sie werden in der Regel von externen Akteuren angeworben, üblicherweise durch Bestechung. Die Bereitschaft, Bestechungsgelder anzunehmen, kann durch Faktoren wie Arbeitszufriedenheit oder die finanzielle Situation beeinflusst sein. Die Tat ist oft ein einmaliges Ereignis zu einem beliebigen Zeitpunkt während der Zusammenarbeit mit der Organisation.
Staatliche Spionage
Ähnlich wie bei der Industriespionage nutzen Insider, die sich an staatlicher Spionage beteiligen, gegebene Privilegien, um wichtige Informationen zu stehlen, während sie eine beliebige Position mit Zugang zu Daten innehaben. Sie werden von externen Agenten angeworben, bestochen oder erpresst, zum Beispiel nachdem sie privat kompromittiert wurden. Die Bereitschaft, Bestechungsgelder anzunehmen oder sich erpressen zu lassen, kann durch zusätzliche Faktoren wie Arbeitszufriedenheit, die finanzielle Situation oder familiäre Umstände beeinflusst werden. Wie bei der Industriespionage ist die Tat meistens ein einmaliges Ereignis zu einem beliebigen Zeitpunkt.
Ausnutzen von Privilegien zum persönlichen Vorteil
Wenn Insider Privilegien ausnutzen, um sich persönlich zu bereichern, sind die Motive vielfältig: In einigen Fällen gibt es finanzielle Probleme, zum Beispiel durch einen zu hohen Lebensstandard oder Schulden, andere sind subjektiv der Meinung, dass ihnen der Profit zusteht, der ihnen von der Organisation nicht gewährt wird, und wieder andere sind neidisch, zum Beispiel auf Kunden, wenn es um teure Produkte oder Dienstleistungen geht.
Um sich persönlich zu bereichern, stehlen diese Innentäter entweder Eigentum (z. B. IT-Ausstattung) oder nutzen ihren Zugang zu IT-Systemen, um Betrug zu begehen. Die Taten fangen oft klein an und werden dann im Erfolgsfall immer größer, bis sie auffallen. Es handelt sich also typischerweise um eine Reihe von Ereignissen.
Unautorisierte Inspektion von persönlichen Daten
Personen, die unbefugt Einsicht in personenbezogene Daten nehmen, sind Nutzer oder Administratoren – in der Regel reine Insider – mit Einblicken in Datenbanken, auf die sie entweder direkt oder über Anwendungen zugreifen können.
Die Handlung ist kurzfristig und entweder durch persönliche Gründe oder politisch motiviert. Persönliche Gründe können Neugier oder Zuneigung zu einer Person sein, die sich in der Datenbank befindet. Ein politisches Ziel kann beispielsweise das Ausspähen von vermeintlichen Feinden sein.
Verkauf von geistigem Eigentum
Wenn geistiges Eigentum auf Schwarzmärkten (z. B. im Darknet) verkauft wird, handelt es sich bei den Tätern oder Täterinnen oft um Personen mit technischen Kenntnissen wie Administratoren oder Entwickler und damit typischerweise um reine Insider. In diesem Fall kann es sich bei dem geistigen Eigentum um Entwürfe von Produkten oder um den Quellcode von Softwareprodukten handeln. Wenn es geleakter Quellcode ist, erhöht sich unter Umständen auch das Risiko weiterer Cybersicherheitsvorfälle.
Die Motivation liegt hier im persönlichen (finanziellen) Vorteil und in der Möglichkeit des Zugangs zu wertvollen Daten (z. B. Repositories), unterstützt durch geringes Engagement und ethische „Flexibilität“.
Whistleblower
Whistleblower folgen ihrem politischen oder moralischen Verständnis und versuchen, kritische Daten der Organisation zu veröffentlichen, zum Beispiel solche, die in den Augen des Verursachers Beweise für Unrecht sind. Diese Personen identifizieren sich selbst als Whistleblower – auch wenn sie es in der Wahrnehmung der allgemeinen Gesellschaft nicht sind. Sie sind der Meinung, dass die Organisation den Schaden verdient und dass sie zum Wohle der Allgemeinheit handeln. Im Prinzip kommt bei diesem Typ als Täter oder Täterin jede Person infrage, die Zugang zu relevanten Daten hat, einschließlich Dritter. In manchen Fällen kann der Insider von (externen) Beteiligten ermutigt sein. Die Tat ist ein einmaliges Ereignis während der Zugehörigkeit zur Organisation.
Politisch motivierte Sabotage
Wie der Typus des Whistleblowers sind auch politisch motivierte Saboteure der Meinung, dass die geschädigte Organisation den Schaden verdient hat und dass sie zum Wohle der Allgemeinheit handeln.
Diese Personen versuchen jedoch, dem Unternehmen durch physische oder digitale Sabotage oder Rufschädigung aktiv zu schaden, weil sie es ablehnen. Das gilt vor allem für den öffentlichen Sektor oder für Unternehmen, bei denen die Moral der Ziele oder der Methoden umstritten ist. Täter und Täterinnen dieses Typs können jede beliebige Position in der Organisation einnehmen, während der von ihnen gewählte Angriffsvektor von ihrer Position und den entsprechenden Fähigkeiten und Möglichkeiten abhängt.
Erpressung
Bei diesem Typ erpressen Insider die Organisation mithilfe ihrer physischen oder digitalen Zugriffsberechtigungen. Das Angriffsziel können dabei Daten oder physische Güter sein. Diese Täter sind in der Regel finanziell motiviert, was auf wirtschaftliche Probleme zurückzuführen sein kann. Sie können auch einen kriminellen Hintergrund haben oder psychisch krank sein. Im Allgemeinen haben sie ein geringes berufliches Engagement und schätzen unter Umständen die Folgen ihrer Handlungen falsch ein. Sie können eine beliebige Position im Unternehmen einnehmen. Der von ihnen gewählte Angriffsvektor hängt von ihrer Position und den entsprechenden Fähigkeiten und Möglichkeiten ab.
Illegale Nutzung der IT-Infrastruktur
Hierbei nutzen Individuen die IT-Infrastruktur der Organisation über einen längeren Zeitraum für ihre eigenen illegalen Zwecke, wie zum Beispiel die Verwendung von IT-Geräten zur Speicherung und Bereitstellung von illegalem Material (z. B. Videomaterial) oder die Nutzung der IT-Infrastruktur für illegale Transaktionen (z. B. Geldwäsche).
Diese Art von Tätern benötigt informationstechnische Kenntnisse und Zugang zur IT-Infrastruktur.Typisch für diesen Bedrohungstyp sind IT-Mitarbeiter wie Systemadministratoren.
Gegenmaßnahmen
Neben der vorgestellten Typologie mit elf Bedrohungstypen wurden in den Analysen des wissenschaftlichen Projekts Gegenmaßnahmen auf technischer, organisatorischer, menschlicher und infrastruktureller Ebene identifi ziert. Die wichtigsten sind die nachfolgend skizziert:
Technische Gegenmaßnahmen
Von besonderer Relevanz sind in diesem Zusammenhang Ansätze, die auf die Erkennung von Änderungsmustern in Informationssystemen abzielen. So könnten Systeme zum Beispiel bei Änderung von ungewöhnlich vielen Datensätzen oder Dateien in kurzer Zeit eine Warnung ausgeben. Auch bei Ausreißern im Datenbestand, beispielsweise bei hohen Beträgen in Abrechnungssystemen, könnte eine Warnung erfolgen, sodass ein Mitarbeiter die Transaktion noch einmal manuell überprüft. Auf diese Art lassen sich betrügerische oder destruktive Aktivitäten zeitnah detektieren. Bei bestimmten, kritischen Geschäften kann es auch Sinn machen, dass sie ein zweiter Benutzer freigeben muss (Vier-Augen-Prinzip). Auch durch eine regelmäßige Plausibilitätsüberprüfung der Datenbestände können ungewöhnliche Transaktionen erkannt und schadhafte Aktivitäten entdeckt und unterbunden werden.
In den Informationssystemen ist vor allem wichtig, wie granular das Berechtigungsmanagement ausgestaltet ist. Sind sämtliche Daten für alle Nutzer einsehbar, spielt das möglichen Tätern oder Täterinnen in die Hände, während eine saubere Rollen- und Rechtetrennung die Zugriffsmöglichkeiten und damit auch die Handlungsmöglichkeiten eines internen Angreifers begrenzt. Zweioder Mehrfaktor-Authentifi zierung erschwert Innentätern den Zugriff auf Accounts und Geräte von Kollegen. Damit wird es auch erschwert, Berechtigungen auszuweiten oder Spuren zu verwischen. Unternehmen sollten zudem generische Accounts vermeiden, da hier eine Zuordnung zu einzelnen Personen und damit eine mögliche Vorfallsaufklärung erschwert ist. Hinzu kommt, dass solche Accounts auch nach dem Ausscheiden von Personal weiterbestehen und so ehemalige Mitarbeiter eventuell noch darauf zugreifen können. Für die Aufklärung von Vorfällen und für eine präventive Wirkung ist das Logging von Interaktionen mit IT-Systemen, zum Beispiel Anmeldungen, Datenzugriffe und -änderungen wichtig, um bösartige Handlungen nachvollziehen zu können. Dabei ist es wünschenswert, dass auch Administratoren die Logdaten nicht ohne Weiteres löschen können.
Organisatorische Gegenmaßnahmen
Ein weiterer wichtiger Faktor sind angemessene Onboarding- und Offboarding-Prozesse. Beispielsweise kann es in kritischen Bereichen sinnvoll sein, neue Mitarbeiter und Mitarbeiterinnen einer Sicherheitsüberprüfung zu unterziehen und im Falle einer Kündigung durch den Arbeitgeber die betroffene Person nach Ausspruch der Kündigung freizustellen. Zugewiesene Systemzugänge sollten die Verantwortlichen revidieren.
In der Organisationsstruktur der IT ist es wichtig, die Zuständigkeiten festzulegen. Befi nden sich hier viele Verantwortungsbereiche in einer Hand, ist das Risiko höher, als wenn diese auf unterschiedliche Personen oder Teams verteilt sind, beispielsweise durch Trennung von operativen Administrationstätigkeiten gegenüber Nutzer- und Berechtigungsmanagement.
Eine zeitnahe Aufklärung ungewöhnlicher Ereignisse kann zur Identifi zierung möglicher Täter oder Täterinnen beitragen, da solche Ereignisse im Zusammenhang mit einem möglicherweise unbemerkten Angriff stehen oder Vorboten eines Angriffs sein können. Delinquente Handlungen stehen oft nicht für sich allein.
Auch eine Bewertung der Kritikalität von Kunden oder Partnern kann Grundlage für weitere Schutzmaßnahmen sein, die dann das Risiko mindern können, zum Beispiel besondere Vorkehrungen und Berechtigungsstrukturen bei den spezifi schen Kundendaten.
Menschliche Gegenmaßnahmen
Einer der wichtigsten Faktoren für das Risiko von Insider-Threats ist das Betriebsklima. Eine aktive Förderung der Zufriedenheit und der Arbeitsatmosphäre beugt Handlungen aus Unzufriedenheit und Rachemotiven vor und verringert somit die Wahrscheinlichkeit von Vorfällen. Aber auch für Bestechlichkeit oder Erpressbarkeit kann die Zufriedenheit ein moderierender Faktor sein. Für die gezielte Förderung ist ein Monitoring des Betriebsklimas essenziell, zum Beispiel durch Mitarbeitergespräche oder anonyme Umfragen. Auch die Förderung zwischenmenschlicher Kontakte kann vorbeugend wirken, da Mitarbeiter, die in soziale Gefl echte innerhalb der Organisation eingebunden sind, weniger wahrscheinlich delinquent handeln.
Ebenfalls zu den relevanten Maßnahmen auf der menschlichen Ebene zählen Awareness-Kampagnen und Mitarbeiterschulungen. Besonders Schulungen zu den Auswirkungen und Konsequenzen kriminellen Verhaltens können präventiv wirken, da in manchen Fällen den Tätern die Tragweite des eigenen Handelns nicht bewusst ist. Auch Inhalte zur Förderung der Wachsamkeit gegenüber ungewöhnlichen Ereignissen und radikalem Sprachgebrauch kann hilfreich bei Prävention und Detektion sein. Weiterhin sollten Awarenesskampagnen die Absicherung der Arbeitsplätze durch die Belegschaft thematisieren. Verlassen Mitarbeiter oder Mitarbeiterinnen ihre Arbeitsplätze, ohne den Computer zu sperren oder notieren wichtige Informationen wie etwa Zugangsdaten auf Notizblättern, kann das den Handlungsspielraum von Innentätern erweitern oder sogar zu einer Tat verleiten.
Daneben spielen spezielle Schulungen für Vorgesetzte eine Rolle. Da viele Vorfälle in der Unzufriedenheit oder in den individuellen Problemen einzelner Personen begründet sind, ist es wichtig, dass Führungskräfte einen geeigneten Umgang mit den Mitarbeitern und Mitarbeiterinnen pfl egen und Antennen für persönliche (auch private) Probleme entwickeln und betroffene Mitarbeiter oder Mitarbeiterinnen adäquat unterstützen.
Infrastrukturelle Gegenmaßnahmen
Offene Zugänge zu Technikräumen und Verkabelungen bieten möglichen Innentätern viel Angriffsfläche, da sie hier mit wenig Mitteln einen großen Schaden verursachen können, zum Beispiel durch einfache physische Einwirkung oder zugängliche Datenströme. Zutrittskontrollsysteme – bestenfalls mit Protokollierung – begrenzen den physischen Zugang zu bestimmten Bereichen wie Technikräumen oder Produktionsanlagen. Videoüberwachung in kritischen Bereichen (z. B. Produktionsbereichen, Serverräumen) und auf Fluren kann bei der Aufklärung von Vorfällen nützlich sein und einen präventiven Effekt haben.
Fazit
Die im Rahmen des wissenschaftlichen Projektes identifi zierten Bedrohungstypen ergänzen die bisherigen Innentätertypologien und ermöglichen eine erweiterte Betrachtung des komplexen Themenfeldes sowie eine bessere Anpassung der Sicherheitsmaßnahmen an die Vielfalt der Bedrohungen. Darüber hinaus geben die vorgestellten Gegenmaßnahmen Hinweise für relevante Stellschrauben. Dabei wird aber auch sichtbar, dass für eine funktionierende Risikominimierung in Bezug auf böswillige Innentäter verschiedene Organisationsbereiche zusammenarbeiten müssen – besonders IT, HR und Offi ce-Management.
Ferner zeigt sich, dass kreative Ansätze – hier in Form eines „Serious Games“ (Lernspiels) – die Ergebnisse erweitern können, zum Beispiel im Hinblick auf Intentionen und Motivationen. Das Spiel „Operation Digital Butterfl y“ ist unter einer Creative-Commons-Lizenz auf GitHub verfügbar.
Serious Game „Operation Digital Butterfly“
Operation Digital Butterfly“ ist ein Tabletop-Spiel, in dem drei bis vier Teams mit zwei bis fünf Spielern pro Team im Wettbewerb stehen.
Jedes Team entwickelt mithilfe eines Kartendecks eine Rolle und einen Angriff sowie eine Sicherheitsmaßnahme. Die Teams werden angewiesen, vier Fragen auf der Rollenkarte zu beantworten, um die kreative Entwicklung von Angriffsmaßnahmen anzuleiten:
- Wer ist der Innentäter bzw. die Innentäterin (Position in der Organisation)?
- Was möchte er oder sie erreichen (Intention)?
- Warum möchte er oder sie das (Motivation)?
- Wie rechtfertig er oder sie das vor sich selbst (Neutralisierung)?
Diese Rollencharakteristika helfen dabei, eine plausible Rolle zu entwickeln, die Hinweise auf Risikofaktoren geben kann. Auf diese Weise ermöglichen sie eine detaillierte Analyse der Spielergebnisse im Hinblick auf mögliche Gegenmaßnahmen. Besonders Rechtfertigungen von Angriffen (Neutralisierungen) haben sich dabei als nützlich erwiesen.
Der Angriff wird anhand von Szenenkarten entwickelt. Die Film-Metapher wird verwendet, um Beschreibungen von Angriffen einfach zu gestalten – auch für Spieler, die nicht mit formalen Notationen vertraut sind. Ein Angriff ist eine Abfolge von Szenen. So ist jedes Team in der Lage, seinen fiktiven Angriff anhand einer Abfolge von Szenen zu beschreiben.
Das Siegerteam wird durch ein Bewertungssystem ermittelt, bei dem sich die Teams gegenseitig in drei vorgegebenen Kategorien bewerten: (1) Plausibilität der Rolle, (2) Plausibilität der Angriffsstory und (3) Schadenspotenzial. Jedes Team kann bis zu zehn Punkte für jede Kategorie an die anderen Teams vergeben. Die Bewertungskriterien motivieren im Spiel dazu, realitätsnahe, relevante Angriffsszenarien mit Schadenspotenzial zu entwickeln. Das Spiel wird mit einer Diskussion zu Sicherheitsmaßnahmen gegen Innentäter abgeschlossen.
„Operation Digital Butterfly“ steht unter einer offenen Lizenz (CC-BY) und ist verfügbar auf GitHub: https://github.com/LIONS-DLT/operation-digital-butterfly.
Manfred Hofmeier ist Wissenschaftlicher Mitarbeiter an der Universität der Bundeswehr München und Projektleiter des Forschungsprojekts LIONS.
Prof. Dr. Ulrike Lechner ist Professorin für Wirtschaftsinformatik an der Universität der Bundeswehr München und beschäftigt sich im Schwerpunkt mit der IT-Sicherheit in Kritischen Infrastrukturen, Unternehmensarchitekturen und Digitalen Geschäftsmodellen.