So schützen Sie Ihr Netzwerk vor Bedrohungen von Innen - Emsisoft

Lösungen für Netzsicherheit und Zugriffsschutz

Schutzfunktionen der nächsten Generation und Echtzeitinformationen zur Bedrohungslage

Während Sie dies lesen, arbeiten Angreifer unablässig daran, in Ihr Netz einzudringen. Dabei nutzen sie immer ausgefeiltere Methoden, um sich Zugang zu verschaffen. Haben Sie den nötigen Einblick, um sie aufzuhalten? Und was ist mit denen, die sich bereits Zugang verschafft haben?

IBM® kann Ihnen helfen, Ihr gesamtes Netzwerk mit Netzwerksicherheitslösungen der nächsten Generation zu schützen. Diese Lösungen erkennen selbst unbekannte Sicherheitsbedrohungen auf intelligente Weise und nehmen Anpassungen vor, um sie in Echtzeit abzuwehren.

WLan schützen: 5 Tipps für mehr Sicherheit

dpa/Franziska Koark/dpa

Ein nicht gesichertes Wlan oder auch ein Wlan, das auf den Standardeinstellungen bleibt, ist äußert riskant. Dabei ist es gar nicht schwierig, das Wlan zu schützen und für mehr Sicherheit zu sorgen.

Cyberkriminelle können beispielsweise nach persönlichen Angaben sowie Kreditkartendaten suchen oder Informationen abgreifen. Damit wird Identitätsdiebstahl ganz leicht. Letzteres passiert normalen Nutzern tagtäglich weit häufiger, als man vielleicht denkt. Doch nicht nur die Identität des Users ist in Gefahr. Schnell können das private Netzwerk bzw. angeschlossene Geräte wie PCs und IoT-Geräte (Internet der Dinge, dazu gehören etwa vernetze Fernsehgeräte und intelligente Stromzähler) in ein sogenanntes Bot-Netzwerk eingebunden werden. Mit diesem führen Hacker dann E-Mail-Betrug durch oder starten einen DDOS-Angriff (Distributed denial-of-service Angriff). Bei einem solchen DDOS-Angriff werden Server in feindlicher Absicht massenhaft mit Informationen oder Aufrufen geflutet, um sie zum Erliegen zu bringen. Besonders gemein: In der Regel merken Sie nicht einmal, dass Ihre Geräte in einem solchen Hacker-Netzwerk missbraucht werden.

Zur Person Christian Mueller ist Security Awareness Advocate bei Norton Central Europe. Er befasst sich seit über 20 Jahren in der Softwareindustrie und im digitalen Marketing mit IT-Infrastrukturen, eCommerce, Data Privacy und Online Communities.

So schützen Sie Ihr Wlan Es ist also ratsam, sein Wlan angemessen zu sichern. Das ist auch kein Hexenwerk, wie folgende Tipps zeigen: 1. Richten Sie ein sicheres Passwort ein: So banal es klingen mag – aber eine der wichtigsten Schutzmaßnahmen überhaupt ist ein sicheres Passwort für das Wlan-Netz. Oft sind voreingestellte und niemals geänderte Passwörter wie z.B. „1234“, „Admin“ oder „Password“ ein einfacher Weg ins Wlan. Ebenso unsicher bzw. leicht zu erraten sind Passwörter, die den eigenen Geburtstag enthalten. Besser sind dagegen Passwörter mit mindestens acht Zeichen, bei denen Sie zwischen Groß- und Kleinschreibung wechseln sowie Zahlen und Sonderzeichen einbinden. Damit stellen Sie sicher, dass nicht jeder das Netzwerk ungefragt nutzen kann. Das Passwort ihres Routers können Sie ganz einfach ändern: Geben Sie im Adressfenster im Browser die Router-IP (ohne „www.“-Ergänzung ein) – die IP finden Sie in der Bedienungsanleitung des Routers. Ist das Fenster geladen, werden der Benutzername und das Kennwort abgefragt, das Sie ebenfalls der Bedienungsanleitung entnehmen können. Nach dem Login gelangen Sie zu den Router-Konfigurationen und können das Standard-Passwort zurücksetzen. 2. Verlassen Sie sich nicht darauf, dass Ihr Wlan verborgen ist. Ein verborgenes Wlan ist nicht unauffindbar: „Homeland“, „Alice im Wlan“ oder „Fritz!Box FON Wlan 7270“ – Wlans haben die unterschiedlichsten Benennungen. Der Anzeigename Ihres Heimnetzwerks wird auch bezeichnet als SSID (Service Set Identifier). In der Standard-Einstellung des Herstellers besteht die SSID in der Regel aus verschiedenen Zahlen und Buchstaben. Sie können die Übertragung Ihrer SSID deaktivieren, sodass Ihr Netzwerk verborgen und nicht für jeden sichtbar ist. Allerdings können Hacker auch verborgene SSID finden. Stellen Sie daher sicher, dass das Netzwerk passwortgeschützt ist, um Kriminellen den Zugriff zu erschweren.

Anzeige

3. Halten Sie Ihren Router auf dem neuesten Stand: Haben Sie Ihren Router im Blick. Mit automatischen Updates bleibt der Schutz eines Routers up to date. Damit werden neueste Funktionen sowie Sicherheitsfeatures aktualisiert, mit denen Sie sich den aktuellsten Schutz bewahren. 4. Richten Sie Gästezugänge ein: Sie haben Ihr Wlan-Netzwerk bereits mit einem Passwort geschützt? Sehr gut! Indem Sie darüber hinaus Gästenetzwerke einrichten und ein separates Passwort für diese anlegen, erhöhen Sie die Kontrolle. So haben Sie den Überblick, wer in Ihrem Netzwerk auf welche Informationen und Seiten zugreift. Das Gäste-Wlan ist dann ein eigenes Netzwerk, welches logisch von Ihrem eigentlichen Wlan getrennt ist. Neben dem eingerichteten Passwort hat das Gästenetzwerk auch eine eigene SSID, also Netzwerkkennung, und einen eigenen IP-Adressbereich. Durch die Firewall des Routers bleiben die IP-Pakete des Gastzugangs vom Heimnetz unabhängig. Solche Netzwerke können Sie in der Regel über die Konfigurationsoberfläche des Routers im Browser einrichten. Wie es bei Ihrem Router speziell funktioniert, entnehmen Sie der Bedienungsanleitung – dies unterscheidet sich nämlich von Hersteller zu Hersteller. 5. Verschlüsseln Sie Ihr Netzwerk: Nutzen Sie WPA2 (Wi-Fi Protected Access) und stellen Sie sicher, dass die Einstellung auch aktiviert ist. Fast alle aktuellen Wlan-Router sind WPA2-kompatibel, wie auch aktuelle, kopplungsfähige Geräte. Bei der Einrichtung unterstützt Sie bei Fragen Ihr Internetdienstanbieter. Auf diese Weise können Sie Ihre Sicherheit zumindest erhöhen. Mit Sinn und Verstand das Wlan schützen Grundsätzlich gilt, dass es keinen hundertprozentigen Schutz gibt und wie bei vielen Themen der gesunde Menschenverstand hilft. Wer umsichtig ist und Vorsicht walten lässt, hat bereits eine gute Basis geschaffen. Außerdem empfiehlt sich der Einsatz von kommerzieller Internet Security Software auf Ihren Geräten und Rechnern. Mit diesen Maßnahmen erhöhen Sie Ihre Sicherheit deutlich und machen es Hackern sehr schwer. Video: Mehr Tempo, weniger Ärger: So entlarven Sie dreiste WLAN-Schnorrer

Mehr Tempo, weniger Ärger: So entlarven Sie dreiste WLAN-Schnorrer

CHIP

So schützen Sie Ihr Netzwerk vor Bedrohungen von Innen - Emsisoft

Herkömmliche Cybersicherheitsstrategien konzentrieren sich hauptsächlich auf die Verteidigung eines Netzwerks vor Angriffen von außen. Doch das kann zu einem blinden Fleck führen, nämlich wenn die Bedrohung von Innen kommt.

In diesem Artikel erläutern wir Ihnen, was es mit sogenannten Insiderbedrohungen auf sich hat und wie Sie Ihr Unternehmen davor schützen können.

Was sind Insiderbedrohungen?

Ein Insider ist in diesem Zusammenhang jede Person, die über die Ressourcen des Unternehmens informiert ist oder sogar auf diese zugreifen darf. Folglich handelt es sich bei Insiderbedrohungen um mögliche Schäden, die ein Insider aufgrund dieses Wissens oder Zugriffs anrichten kann.

Insider können in eine von drei Kategorien fallen:

Nachlässig: Nachlässige Insider bringen das Unternehmen unabsichtlich in Gefahr. Sie sind nicht aktiv darauf aus, Schaden anzurichten, aber ihr Verhalten kann ungewollt zu einer Sicherheitslücke werden. Nachlässigkeit ist der Grund für über die Hälfte aller Insiderbedrohungen.

Bösartig: Bösartige Insider wollen dem Unternehmen absichtlich Schaden zufügen, indem sie in der Regel Daten stehlen oder Dritten Zugriff auf das System geben. Typische Motivationsfaktoren dafür sind finanzieller Profit, mangelnde Anerkennung am Arbeitsplatz oder Verlust der Anstellung. Einige stehlen auch intellektuelles Eigentum, um die eigene Karriere voranzubringen.

Firmenfremd: Firmenfremde Insider sind Personen, die dem Unternehmen nicht vollständig angehören, aber denen auf einer gewissen Ebene Zugriff auf dessen Betriebsmittel gegeben wurde. Hier besteht die Gefahr einer Insiderbedrohung darin, dass diese Betriebsmittel entweder direkt beschädigt oder bösartigen Dritten zugänglich werden.

Aktive Rekrutierung von Insidern durch Ransomware-Gangs

Der schwierigste Teil für Ransomware-Gangs bei einem Angriff besteht darin, sich Zugriff auf das Ziel zu verschaffen. Daher agieren viele Gruppen nach dem Ransomware-as-a-Service-Modell. Dabei suchen sich die Ransomware-Entwickler Partner, die das Netzwerk für sie infiltrieren und im Gegenzug einen Anteil am Lösegeld erhalten.

Einige Ransomware-Gruppen haben diesen Zwischenschritt komplett abgeschafft und nutzen stattdessen Insider, um Zugriff auf Unternehmensnetzwerke zu erhalten. Kurz gesagt, sie bezahlen Mitarbeiter großer Unternehmen dafür, dass sie ihnen eine Hintertür öffnen.

Im März 2022 gab Lapsus$ (eine für hochrangige Angriffe auf Samsung, Nvidia, Ubisoft und weitere verantwortliche Ransomware-Gang) bekannt, dass sie Insider in großen Technikkonzernen wie Microsoft, Apple, EA und AT&T rekrutiert hatten, die ihnen Zugriff auf das Firmen-VPN, Citrix oder AnyDesk geben konnten. Derartige Fernzugriffstools werden von Angreifern häufig als erster Einstiegspunkt ins Netzwerk genutzt. Anschließend ist es relativ einfach, die restliche Angriffskette ins Laufen zu bringen.

Lapsus$ ist nicht die erste Ransomware-Gruppe, die mit Insidern arbeitet. 2021 hatte LockBit denjenigen Unternehmensinsidern „Millionen von Dollar“ angeboten, die ihnen Zugriff auf firmeninterne RDP-, VPN- und E-Mail-Konten geben würden.

Wie können Sie Ihr Netzwerk vor Insiderbedrohungen schützen?

Da große Unternehmen häufig Hunderte oder Tausende Mitarbeiter mit den unterschiedlichsten Berechtigungen, Zugriffsrechten und Geräten haben, kann die Überwachung jedes einzelnen Betriebsmittels schnell zu einer Sisyphusarbeit werden.

Stattdessen sollten sich Unternehmen darauf konzentrieren, den Zugriff auf diese Betriebsmittel einzuschränken. Im folgenden finden Sie einige hilfreiche Maßnahmen, um das Risiko durch Insiderbedrohungen zu minimieren.

Risikobewertung durchführen

Bevor Sicherheitsmaßnahmen umgesetzt werden können, muss ein Unternehmen zunächst erst einmal verstehen, was genau es zu schützen gilt. Mit einer umfangreichen Risikobewertung werden Betriebsmittel und Vermögenswerte sowie deren Schwachstellen und mögliche Gefahren für sie identifiziert und dokumentiert.

Besonders anfällig für Insiderbedrohungen sind Hardware, Software und Kommunikationssysteme sowie Daten, wozu geistiges Eigentum, Kundeninformationen, firmeneigene Software und betriebsinterne Abläufe zählen.

Dieser Leitfaden für Asset-Management (auf Englisch) wurde vom US-Ministerium für Innere Sicherheit bereitgesellt und soll Unternehmen dabei helfen, ihre Vermögenswerte zu bestimmen und zu dokumentieren. Zugriff beschränken

Unternehmen sollten unbedingt den Zugriff ihrer Mitarbeiter nur auf die Systeme, Anwendungen, Prozesse und Datenträger beschränken, die sie zum Durchführen ihrer jeweiligen Rolle benötigen. Dieses Konzept ist als Prinzip der geringsten Berechtigungen bekannt. Durch Beschränkung des Zugriffs werden die Auswirkungen eines Angriffs begrenzt und damit das Risiko minimiert, dass vertrauliche Daten in die falschen Hände geraten. Laut der Agentur der Europäischen Union für Cybersicherheit (ENISA) wurden im Jahr 2021 34 Prozent der Unternehmen Opfer von Identitätsdiebstahl oder unterbrochenen Versorgungsketten, weil Insider ihre Berechtigungen missbraucht hatten.

Die Zugriffsberechtigungen sollten regelmäßig überprüft werden, um sicherzustellen, dass diese immer noch den jeweiligen Anforderungen der Arbeitskräfte entsprechen, da sich deren jeweilige Verantwortungsbereiche innerhalb des Unternehmens ändern können. Sobald ein Mitarbeiter den Zugriff auf eine Ressourcen nicht länger benötigt, sollte die entsprechende Berechtigung unbedingt entzogen werden.

Das gleiche gilt für Konten von Mitarbeitern, die nicht länger für das Unternehmen arbeiten. Auch sie sollten so schnell wie möglich deaktiviert oder mit einem neuen Passwort gesichert werden. Idealerweise ist die Deaktivierung von Konten ein formeller Schritt beim Offboarding, um die Unternehmensdaten auch beim Ausscheiden eines Mitarbeiters zu schützen. Anwenderverhalten überwachen

Indem sie das Verhalten der Anwender im Netzwerk überwachen, können Unternehmen leichter verdächtige Netzwerkaktivitäten erkennen und folglich frühzeitig eingreifen, um die Auswirkungen eines Insiderangriffs zu minimieren.

UEBA-Tools (User and Entity Behavior Analytics; Benutzer- und Entitätsverhaltensanalyse), die das Grundverhalten von Menschen und Geräten innerhalb eines Netzwerks nachstellen, können eingesetzt werden, um ungewöhnliche Muster zu erkennen und automatisch IT-Sicherheitskräfte zu benachrichtigen. Ähnlich wirksam kann ein Intrusion Detection System (IDS) – also ein Angriffserkennungssystem – sein, um strategische Punkte innerhalb des Netzwerks zu überwachen und im Falle von bösartigen Aktivitäten oder Richtlinienverletzungen die Administratoren zu informieren.

Einem Informationsbericht von IBM X-Force zu Sicherheitsbedrohungen zufolge werden 40 Prozent der mutmaßlichen Insiderbedrohungen dank Warnmeldungen erkannt, die von internen Überwachungstools ausgegeben wurden. Cybersicherheitssysteme absichern

Selbst die fortschrittlichsten Cybersecurity-Lösungen sind nutzlos, wenn ein Insider über genügend Berechtigungen verfügt, um diese Sicherheitssysteme schlicht deaktivieren zu können. Um dieses Risiko zu verringern, müssen Unternehmen sicherstellen, dass alle Sicherheitssteuerungen angemessen mit einem Administratorkennwort und/oder mehrstufiger Authentisierung abgesichert sind. Das ist insbesondere für Firmen wie MSPs unerlässlich, die die Cybersicherheit anderer Unternehmen verwalten.

Emsisoft Management Console beispielsweise verfügt über mehrstufige Authentisierung (MFA). Darüber hinaus lässt sich die Emsisoft-Schutzsoftware durch das Einrichten eines Administratorpassworts absichern. Auf diese Weise wird sichergestellt, dass ein Insider, selbst wenn er sich Zugriff auf Emsisoft Management Console verschaffen und in den Besitz eines MFA-Codes gelangen konnte, dennoch die Schutzsoftware weder deaktivieren noch löschen kann.

Um ein Administratorpasswort festzulegen, gehen Sie zu: MyEmsisoft > Workspace > Schutzrichtlinien > Passwort > Ein > Administratorpasswort . Durch diesen Schritt stellen Sie sicher, dass nur Anwender mit Administratorberechtigungen die Emsisoft-Schutzeinstellungen ändern können. Nachdem Sie das Administratorpasswort festgelegt haben, beschränken Sie die Anzahl der Benutzer mit Administratorberechtigungen, indem Sie den Zugriff auf Geräteebene auf „Basiszugriff“ setzen:

MyEmsisoft > Berechtigungsrichtlinien > Gruppe „Administratoren“ > Stufe > Basiszugriff In diesem Blogartikel erhalten Sie weitere Informationen, wie Sie Ihre Antivirus-Software absichern können. Netzwerk in Subnetze unterteilen

Bei einer Netzwerksegmentierung wird das Netzwerk in mehrere Teile bzw. Subnetze aufgeteilt, die jeweils selbst wie ein eigenes kleines Netzwerk funktionieren.

Der Datenverkehr zwischen den einzelnen Segmenten lässt sich genau überwachen und steuern, wodurch sich unnötiges Lateral Movement (Seitwärtsbewegung) beschränken lässt. Die Entwicklungsabteilung eines Unternehmens benötigt beispielsweise keinen Zugriff auf Anwendungen, Dateien oder Netzwerkfreigaben des Marketingteams und umgekehrt.

Durch das Abschotten vom restlichen Netzwerk können Insider nicht auf angrenzende Umgebungen zugreifen, wodurch sich folglich die Ausmaße eines Angriffs minimieren lassen. Physischen Zugriff beschränken

Auch der physische Zugriff auf wichtige Betriebsmittel muss beschränkt werden. Verriegelungen, Sicherheitstore und Vereinzelungsanlagen lassen sich beispielsweise mit Kartenschließsystemen, PIN-Codes, Kennwörtern oder biometrischen Lesegeräten kombinieren, um Insider daran zu hintern, an wichtige IT-Anlangen wie Serverräume zu gelangen.

In relevanten Bereichen sind Videoüberwachungssysteme mit Bewegungssensoren empfehlenswert. Auch Geofencing (also eine virtuelle Begrenzung) ist ein nützliches Hilfsmittel, um zu erkennen, wenn ein vordefinierter Bereich (z. B. das Gelände, das Gebäude oder ein Bereich davon) von einer Person betreten oder verlassen wird.

Alte Geräte und Unterlagen müssen auf sichere Art so gelöscht oder wiederverwertet werden, sodass sich die vormaligen Daten nicht wiederherstellen lassen. Alte Festplatten und andere IT-Geräte, auf denen besonders vertrauliche Informationen gespeichert waren, sollten komplett vernichtet werden, damit die Daten zweifelsfrei unwiederbringlich zerstört wurden. Bewusstsein für Insiderbedrohung auch bei Mitarbeiterschulungen vermitteln

Unternehmen sollten regelmäßig Schulungen bereitstellen, in denen dem Personal beigebracht wird, wie es potenziell bösartige Aktivitäten im Unternehmen erkennen kann. Häufige Anzeichen für bösartiges Insiderverhalten sind beispielsweise: Wiederholte Versuche, auf vertrauliche Daten zuzugreifen oder diese herunterzuladen

Versuche, bestehende Sicherheitsverfahren zu umgehen

Fernzugriff auf das Netzwerk außerhalb der regulären Arbeitszeiten

Verschieben oder Kopieren von Dateien an ungewöhnliche Speicherorte

Zugriffsanfragen auf Ressourcen, die nichts mit der eigentlichen Rolle im Unternehmen zu tun haben

Datenübertragungen außerhalb der Standardkommunikationskanäle des Unternehmens

Arbeit außerhalb der regulären Zeiten ohne entsprechende Genehmigung

Unangemessenes Interesse an Angelegenheiten, die mit dem eigentlichen Aufgabenfeld nichts zu haben

Genaue Beobachtung des Bildschirms von Kollegen über deren Schulter hinweg

Mithören von Gesprächen oder Besprechungen

Ungewöhnliche Anfragen Zusammen mit Personalabteilung Cybersecurity-Prozesse gegen Insiderbedrohungen entwickeln

Unternehmen sollten eine positive Berichtskultur fördern und sicherstellen, dass jedes Teammitglied genau weiß, an wen es sich im Falle eines mutmaßlichen Zwischenfalls wenden kann.

Die IT- und Personalabteilung müssen eng zusammenarbeiten, um starke Entlassungs- und Offboarding-Prozesse zu entwickeln. Nur so lässt sich sicherstellen, dass beim Ausscheiden eines Mitarbeiters aus dem Unternehmen sofort alle Konten gesperrt und sämtliche firmeneigenen Geräte übergeben werden.

Je nach Unternehmensgröße und Personalverfügbarkeit ist möglicherweise auch der Aufbau eines Teams zum Bedrohungsmanagement empfehlenswert, das mögliche Insiderbedrohungen überprüft und bei Bedarf eingreift.

Mehr zum Thema

Bitte beachten Sie, dass dieser Artikel nicht als umfassende Anleitung zu Insiderbedrohungen gedacht ist, sondern lediglich einen Überblick geben soll. Ausführlichere Informationen zu vorbeugenden Maßnahmen finden Sie auf der Website der Cybersecurity and Infrastructure Security Agency (auf Englisch).

Übersetzung: Doreen Schäfer

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels