In letzter Zeit haben sich Insider-Bedrohungen zu einem der komplexesten Probleme in verschiedenen Unternehmen entwickelt. Besonders akut ist dieses Problem in Strukturen, die eng mit der Gewährleistung der Sicherheit verbunden sind, einschließlich der staatlichen Sicherheit. In solchen Situationen sind vor allem Systeme mit einem gewissen Grad an Offenheit betroffen, wie z. B. Systeme von Regierungen, Industrie, Universitäten und Forschungslabors (National Counterintelligence and Security Center [NCSC], 2017). Der Verlust wertvoller Informationen in solchen Strukturen kann eine Vielzahl von Konsequenzen nach sich ziehen. Deshalb muss der IC-Manager und -Leiter alle Kräfte darauf konzentrieren, alle Schutzmaßnahmen und Programme zur Spionageabwehr sicherzustellen. In diesem Aufsatz soll die Rolle verschiedener neuer Technologien bei der Abwehr von Insider-Bedrohungen erörtert werden.
Zunächst muss bestimmt werden, was genau die Insider-Bedrohung ist und wer der Insider ist. Nach Hunker und Probst kann ein Insider eine Person sein, die privilegierten, legalen Zugang zu einer Organisationsstruktur hat und das Recht hat, diese zu vertreten oder zu verändern (2011). Dementsprechend kann eine Insider-Bedrohung als eine Bedrohung beschrieben werden, die von einer Person ausgeht, die ihren Zugang für andere Zwecke nutzt oder deren Zugang zu einer missbräuchlichen Nutzung des Systems führt. Die kritischsten Aspekte, die einen Insider definieren, sind der Zugang zum System, die Fähigkeit, das System gegenüber Außenstehenden zu repräsentieren, sowie das Vertrauen der Organisation und das Wissen (Hunker & Probst, 2011). Die Bekämpfung von Insidern sollte sich daher an diesen Aspekten orientieren.
Alle Ansätze zur Lösung des Problems der Insider-Bedrohung lassen sich in zwei Arten unterteilen: soziale und technische. Laut Safa und Furnell et al. haben Faktoren wie die Strenge der Sanktionen und eine geringere Vergütung einen erheblichen Einfluss auf die Einstellung der Mitarbeiter gegenüber dem Unternehmen (2019). Um die Risiken zu verringern, wird den Führungskräften daher empfohlen, auf Umweltfaktoren zu achten und das Arbeitsumfeld zu verbessern (Safa & Watson et al., 2018). Diese Faktoren können die Situation jedoch nur allgemein verbessern, und für wirksame Ergebnisse ist es notwendig, technische Maßnahmen einzusetzen. Solche Maßnahmen können beispielsweise hostbasierte Analysen sein, bei denen Daten analysiert werden, die vom Host, d. h. von jedem Computer, erfasst werden.
Eine Vielzahl von Statistiken kann in die Kategorie dieser Daten fallen, von den einfachsten Werten bis hin zu Daten aus Anwendungen. Solche Daten mögen nutzlos erscheinen, aber durch die Anhäufung von Statistiken ermöglicht uns dieser Ansatz, das Nutzerverhalten zu bewerten (Liu et al., 2018). Wie bereits erwähnt, wird ein Host durch eine Vielzahl von Parametern bewertet, angefangen bei Systemaufrufen. Diese Operationen vermitteln ein Konzept und eine Vorstellung davon, wie genau das Programm auf die internen Ressourcen des Computers zugreift. Daher ist diese Methode nützlich für eine eingehende Analyse der Benutzeraktionen auf dem Host-Computer, die es ermöglicht, Verstöße bei der Arbeit zu erkennen.
Die Dynamik der Tastatur- und Mausnutzung steht in direktem Zusammenhang mit dem Nutzerverhalten. Da die erfassten Daten direkt personenbezogen sind, eignet sich diese Methode am besten für die Identifizierung von Personen, die sich als Arbeitnehmer ausgeben, die sogenannten “Masquerader” (Liu et al., 2018). Eine der ausgefeiltesten Methoden ist schließlich die Verfolgung der Protokolle von begangenen Handlungen. Die Komplexität dieser Methode liegt in der riesigen Menge der gewonnenen Daten, aber auch in diesen können nützliche Informationen gefunden werden. So kann beispielsweise eine lange Kette von Anmeldefehlern auf einen unverhohlenen Versuch hinweisen, in ein System einzubrechen (Liu et al., 2018). Neben diesen drei Faktoren gibt es noch viele weitere, zum Beispiel die Untersuchung des Netzwerkverkehrs, aber sie alle eint die gleiche Idee.
Somit ist die hostbasierte Analyse eine wirksame und vielseitige Methode zur Verhinderung und Erkennung von Insider-Bedrohungen. Im Gegensatz zu verschiedenen sozialen Methoden ermöglicht diese Methode die direkte Identifizierung eines Eindringlings durch die Erfassung von Informationen über den Benutzer. Der Nachteil dieser Methode ist jedoch die Schwierigkeit, diese Algorithmen zu implementieren, da es nicht nur darauf ankommt, ein korrektes Ergebnis zu liefern, sondern auch auf die Geschwindigkeit, mit der dieses Ergebnis erzielt wird. Dementsprechend sind für die Durchführung einer hostbasierten Analyse leistungsfähige Maschinen und geschulte Spezialisten erforderlich.
Referenzen
Hunker, J., & Probst, C. W. (2011). Insider und Insider-Bedrohungen – Ein Überblick über Definitionen und Abwehrtechniken. JoWUA, 2(1), 4-27. Web.
Liu, L., De Vel, O., Han, Q. L., Zhang, J., & Xiang, Y. (2018). Erkennung und Verhinderung von Cyber-Insider-Bedrohungen: A survey. IEEE Communications Surveys & Tutorials, 20(2), 1397-1417. Web.
National Counterintelligence and Security Center. (2017). Strategischer Plan | 2018-2022. Web.
Safa, N. S., Maple, C., Furnell, S., Azad, M. A., Perera, C., Dabbagh, M., & Sookhak, M. (2019). Auf Abschreckung und Prävention basierendes Modell zur Eindämmung von Insider-Bedrohungen der Informationssicherheit in Organisationen. Future Generation Computer Systems, 97, 587-597. Web.
Safa, N. S., Maple, C., Watson, T., & Von Solms, R. (2018). Motivations- und chancenbasiertes Modell zur Reduzierung von Insider-Bedrohungen der Informationssicherheit in Organisationen. Journal of information security and applications, 40, 247-257. Web.