Kuckuckskräfte : Bedrohungen durch Innentäter im Cyber- und KI-Zeitalter

Darüber hinaus werden Mitarbeiter von Firmen weiterhin über soziale Medien oder aber Foren gezielt angesprochen, um Insider Informationen herauszugeben. Solche Offerten sind vor allem monetär unterfüttert und gerade bei freiberuflichen Mitarbeitern von Drittfirmen wirksam, die aus der Ferne im Auftrag einer Unternehmung arbeiten. Sie sind oft schlecht bezahlt, leiden unter schwierigen Arbeitsbedingungen und sind dadurch weniger loyal als festangestellte Pendants.

Hacker-Gruppen suchen in den einschlägig bekannten Foren und Gruppen gezielt nach Insidern und bieten Belohnungen an, beispielsweise zwischen 1800 und 4500 Euro für Mitarbeiter von Lebensmittel-Lieferdiensten mit Zugang zu Fahrern. In manchen Fällen konnten Insider in Technologieunternehmen sogar auf bis zu 92.000 Euro hoffen.

Zu Beginn dieses Jahres haben Sicherheitsforscher von Check Point aufgedeckt, dass einige findige Innentäter den Spieß umgedreht hatten und ihre Informationen aktiv im Darknet verkauften: In einer Fallstudie [7] stellten sie dar, dass es sich dabei vor allem um Mitarbeiter handelte, die sich schlecht behandelt fühlten. Ein Mitarbeiter eines großen russischen Mobilfunkanbieters bot im Darknet illegale Dienstleistungen wie den Austausch von SIM-Karten an – ähnliche Angebote gab es auch von Angestellten bei US-amerikanischen Telekommunikationsunternehmen. Insider-Angebote aus dem Finanzsektor und der Krypto-Welt waren laut den Untersuchungen ebenfalls beliebt.

Insider-Bedrohungen aufdecken

Bei der Erkennung von Insider-Bedrohungen gilt es abzuwägen zwischen organisatorischen und technischen Maßnahmen: Letztlich ist menschliche Intelligenz der beste Weg, um ungewöhnliches Verhalten zu erkennen. Die Insider-Bedrohungsmatrix [8] und andere Ontologien bieten dabei einen hilfreichen Rahmen, um Bedrohungen zu identifizieren. Unternehmen sollten ihre Mitarbeiter sensibilisieren, damit sie ungewöhnliches Verhalten erkennen und bei der Aufdeckung von Innentätern helfen. Sie müssen Ermittlungen einleiten, wenn der Verdacht einen bestimmten Schwellenwert überschreitet. Solche Schwellenwerte müssen definiert und für alle Beteiligten klar kommuniziert werden, damit sie in einen Plan umgesetzt werden können. Verfahren, um Verdachtsmomente zu untersuchen und eventuellen Betrug zu ermitteln, dürfen jedoch nicht zu einer Vorverurteilung verkommen.

Die jüngsten Fortschritte bei der Datenverarbeitung durch maschinelles Lernen und der Einsatz von generativer KI wecken natürlich auch großes Interesse an technischen Werkzeugen zur Früherkennung von Insider-Threats. Die Vision: mit der maschinellen Intelligenz ähnliche Abweichungen von Normalverhalten erkennen, wie auch Menschen dazu in der Lage sind. Technische Lösungen sind jedoch schwierig umzusetzen – sogar als Hilfsmittel sind sie aus Compliance- und Datenschutz-Sicht problematisch: Eine große Herausforderung stellt dabei die Erhebung eines Normalzustands dar. Netzwerke sind beispielsweise hochdynamisch, ändern sich vom Umfang her ständig und sind stark unregelmäßigem Datenaustausch ausgesetzt.

Dennoch sind technische Informationen als Indizien zur „Triangulation“ von Informationen sehr wertvoll. Daher greifen Unternehmen heute nicht selten auf eine Reihe von Tools zurück: User-and-Entity-Behaviour-Analytics-( UEBA)-Lösungen können nützliche Erkenntnisse liefern, um ungewöhnliches Nutzerverhalten zu erkennen. Data-Loss-Prevention (DLP) hilft bei der Überwachung von Datenströmen und der Verhinderung von Datenverlusten oder unbefugtem Zugriff. Darüber hinaus gibt es auch dedizierte Lösungen für das Insider-Threat-Management, die Unternehmen dabei helfen können, entsprechende Bedrohungen zu erkennen und darauf zu reagieren, indem sie Benutzeraktivitäten und Datenbewegungen überwachen, abnormale Verhaltensmuster identifizieren und Reaktionen auf potenzielle Sicherheitsvorfälle automatisieren. Indikatoren werden anhand technischer Kennzahlen aus diesen Lösungen etabliert und ergänzen das auf menschlicher Intelligenz basierende Gesamtbild.

Strukturierte Vorgehensweisen und Modelle ermöglichen den gezielten und ethisch korrekten Umgang mit Verdachtsmomenten. Ursprünglich entwickelte Lockheed Martin aus Eigeninteresse eine „Cyber Kill Chain“ [7] – die Auseinandersetzung mit der Materie hat sich in Fachkreisen seither deutlich weiterentwickelt. Die von Security Team Training ins Leben gerufene Insider-Threat-Matrix (ITM) [8] beschreibt als offenes Framework, wie Innentäter vor und nach einem Sicherheitsverstoß vorgehen, um forensischen Ermittlern eine Struktur für die Kategorisierung von Beweisen zu geben (vgl. Abb. 1) – sie lässt außerdem Rückschlüsse auf das Motiv, die Mittel und Methoden, die eingesetzt wurden, zu. Die Matrix wurde entwickelt, um die verschiedenen Konzepte und Begriffe für digitale Ermittler zu vereinheitlichen und eine gemeinsame Sprache für Menschen, Prozesse und Technologie zu schaffen, um die Herausforderung von computergesteuerten Insider-Bedrohungen besser zu bewältigen.

Durch eine Überprüfung ihrer eingesetzten Technik und Verfahrensweisen können Unternehmen potenzielle Lücken in ihren Detection Prozessen identifizieren und die über die Matrix bereitgestellten Informationen nutzen, um neue Regeln in Bezug auf Insider Bedrohungen zu erstellen. Sie eignet sich jedoch auch, um in Playbooks aufgenommen werden, um Security-Analysten mehr Kontext zu liefern, worauf sie genauer achten müssen.

Daneben dient die ITM ebenfalls dazu, um IDs als Artefakte und Beobachtungsdaten in einer Case-Management-Plattform oder im Incident-Reporting festzuhalten: Mit diesen Daten lassen sich Trends erkennen und entsprechende Gegenmaßnahmen ableiten. Des Weiteren hilft sie bei der Dokumentierung von Vorfällen und der Entwicklung entsprechender Policies zur zukünftigen Verhinderung von Innentäter-Vorfällen.

Neben dem Monitoring gilt es jedoch auch, Whistleblower zu schützen (vgl. Kasten) und bestehende Richtlinien zu ihrem Schutz zu beachten, um Missbrauch zu vermeiden. Hierfür hat die EU die Whistleblower-Richtlinie [9] beschlossen: Sie bietet Schutz vor Vergeltungsmaßnahmen von Kollegen wie Arbeitgebern und schützt Vertraulichkeit sowie Anonymität. Sie sorgt für sichere und vertrauliche Meldewege, rechtzeitige und wirksame Reaktion. Darüber hinaus fördert sie Schulungen und die Sensibilisierung.

Bewerbungsprozesse prüfen

Statistisch gesehen besteht die größte Bedrohung durch den Missbrauch von Zugriffsrechten und Privilegien. Dabei sind die meisten Insider keine impulsiv handelnden Personen, sondern sie gehen vielmehr behutsam und bestimmt vor. Einige bekannte Methoden lassen sich bereits während des Bewerbungs- und Onboarding-Prozesses enttarnen und somit als Risiko für das Unternehmen abwenden. Gerade vor dem Hintergrund jüngster Aktivitäten der nordkoreanischen Threat-Actors ist hier ein kritischer Blick auf die eigenen Prozesse angebracht.

Aufgrund der Bedrohungslage speziell bei falschen Bewerbern, die über Drittfirmen oder aber remote von einem anderen Kontinent aus arbeiten wollen (und sollen), ist es wichtig, auch die Personalabteilung in die Schutzmaßnahmen einzubeziehen. Die folgenden 12 Tipps schützen Personalabteilungen und Sicherheitsteams vor Bedrohungsakteuren, die sich als IT-Mitarbeiter ausgeben, um sich Zugriff auf wichtige Systeme und sensible Daten zu verschaffen.

Vor dem Job-Interview

• Prüfen von Anschreiben und Lebenslauf auf verdächtige Muster
• Prüfen der Telefonnummern von Referenzkontakten auf deren Echtheit
• Abgleich des Bewerbungsprofils mit im Netz einsehbaren Profilen des Bewerbers
• Abgleich des Bewerbungsprofils mit im Netz einsehbaren offiziellen Quellen
• Nutzung neuester Identitätsprüfungstechnologie, um gefälschte oder nachgemachte Ausweisdokumente zu erkennen

Während des Job-Interviews

• Durchführung telefonischer Screenings als Referenz
• Virtueller Bewerbungs-Call, wobei „Video on“ sowie die Abschaltung von Unschärfen, Filtern und Hintergrundbildern eine zwingende Voraussetzung sein sollte, die jeder Bewerber zu erfüllen hat
• Nutzung neuester Identitätsprüfungstechnologie, um die Echtheit des Gesichts des Kandidaten in der Videokonferenz zu verifizieren
• Einflechtung konkreter Fragestellungen, die der Bewerber nur beantworten kann, wenn seine angegebene Identität zutrifft (z. B. zu Lokalitäten am Geburtsort, am derzeitigen Wohnort oder zu angegebenen Hobbys)

Nach dem Job-Interview

• Sollte vor oder während des Interviews der Verdacht entstehen, dass es sich bei einem oder mehreren Kandidaten um Betrüger handelt, sollte umgehend dem CISO Meldung erstattet werden.
• Wird ein Bewerber angenommen, sollte darauf geachtet werden, dass beim Versand von Firmengeräten – wie Mobiltelefone, Laptops, Tablets und Hardware-Token – an dessen Privatadresse, ausschließlich dieser persönlich die Geräte in Empfang nehmen darf – und dies auch nur dann, wenn er sich mittels offizieller Dokumente ausgewiesen und den Empfang gegenüber dem Versandunternehmen schriftlich quittiert hat.
• Überdies sollte ein neuer Mitarbeiter in der Anfangsphase seiner neuen Anstellung nur begrenzten Zugriff auf das Unternehmensnetzwerk erhalten.

Fazit

Insider-Bedrohungen haben über die Zeit und angesichts von Vernetzung und KI nicht an Relevanz verloren – ganz im Gegenteil: Die vielen Vorfälle mit nordkoreanischen Bedrohungsakteuren zeigen vielmehr, dass Betrüger mithilfe von KI und unter dem Deckmantel neuester Arbeitsmethoden leichtes Spiel haben, um in Organisationen einzudringen. Selbst in gewachsenen Unternehmen mit zahlreichen Sicherheitsvorkehrungen, einer ausgeprägten Sicherheitskultur und zahlreichen technischen sowie organisatorischen Maßnahmen gelingt es Tätern, einzudringen und sensible Informationen zu stehlen.

Dr. Martin Krämer ist Security Awareness Advocate bei KnowBe4.

Literatur

[1] European Union Agency for Cybersecurity (ENISA), Insiderbedrohung – von Januar 2019 bis April 2020, ENISA Threat Landscape, Oktober 2020, www.enisa.europa.eu/publications/report-files/ETL-translations/de/etl2020-insider-threat-ebook-en-de.pdf

[2] FBI Internet Crime Complaint Center (IC3), Additional Guidance on the Democratic People‘s Republic of Korea Information Technology Workers, Alert Number I-101823-PSA, Oktober 2023, www.ic3.gov/PSA/2023/PSA231018

[3] Stu Sjouwerman, Wie ein nordkoreanischer falscher IT-Mitarbeiter versucht hat, uns zu infiltrieren, KnowBe4 News und Wissenswertes, September 2024, www.knowbe4.de/blog/nordkoreanischer-falscher-it-mitarbeiter

[4] Peter Kálnai, Lazarus luring employees with trojanized coding challenges: The case of a Spanish aerospace company, ESET Research, September 2023, www.welivesecurity.com/en/eset-research/lazarus-luring-employees-trojanized-coding-challenges-case-spanish-aerospacecompany/

[5] ClearSky Cyber Security, Operation ‚Dream Job‘, Widespread North Korean Espionage Campaign, August 2020, www.clearskysec.com/wp-content/uploads/2020/08/Dream-Job-Campaign.pdf

[6] Cybersecurity Insiders, Insider Threat Report – New Data Shows Spike in Insider Attacks in 2024, undatiert, www.cybersecurity-insiders.com/2024-insider-threat-report/

[7] Chiara Schönbrunn, Komplizensuche im Darknet: Verprellte Mitarbeiter im Fokus, IT-Sicherheit online, Februar 2024, www.itsicherheit-online.com/news/security-management/komplizensuche-im-darknet-verprellte-mitarbeiter-im-fokus/

[8] Lockheed Martin, The Cyber Kill Chain, undatiert, www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

[9] Insider Threat Matrix (ITM) Contributors, Insider Threat Matrix, undatiert, https://insiderthreatmatrix.org

[10] Europäische Union, Richtlinie (EU) 2019/1937 DES Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, in: Amtsblatt der Europäischen Union L 305, S. 17, November 2019, mehrfach geändert von Oktober 2020 bis Juli 2024, konsolidierte Fassung auf https://eur-lex.europa.eu/legal-content/EN/TXT/uri=CELEX%3A02019L1937-20240725