Hackerangriff von Innen

So wird man zum Innentäter

04.04.2017
Von Dennis Buroh
Dennis Buroh ist Security Consultant und internationaler Projektmanager bei der Consist Software Solutions GmbH. Seine Schwerpunkte liegen vor allem im Finanz- und Gesundheitssektor sowie kritischen Infrastrukturen (KRITIS-Unternehmen).
Die Furcht vor Hackerangriffen greift im Unternehmensumfeld schon länger um sich. Dabei geht die Gefahr - bewusst und unbewusst - oft von den eigenen Mitarbeitern aus.

Viele Unternehmen betreiben einen hohen technischen Aufwand, um die IT-Schutzziele zu erreichen. In der Praxis orientiert sich die angestrebte Informationssicherheit im Rahmen des IT-Sicherheitsmanagements an verschiedenen internationalen Standards, wie der ISO/IEC 2700-Reihe. Dabei verlässt man sich inzwischen auf immer ausgeklügeltere Techniken.

Regelmäßig unterschätzt, wenn es um IT-Sicherheit geht: der Faktor Mensch.
Regelmäßig unterschätzt, wenn es um IT-Sicherheit geht: der Faktor Mensch.
Foto: turlakova - shutterstock.com

Es wäre jedoch illusorisch anzunehmen, dass alleine durch technische Maßnahmen, wie Firewalls, Zugriffbeschränkungen oder ein Privileged Identity ManagementIdentity Management (PIM), hundertprozentige Sicherheit gewährleistet werden kann. Die Erfahrungen der verschiedensten Unternehmen zeigen, dass insbesondere der Faktor Mensch häufig stark unterschätzt wird. Vor allem bei kritischen Infrastrukturen gibt es eine Vielzahl von Nutzern und beteiligten Personen, die nicht immer direkt durch technische Maßnahmen überwacht werden können. Alles zu Identity Management auf CIO.de

Innentäter: Status Quo

Laut einer Studie des deutschen Verfassungsschutzes aus dem Jahr 2014 wurden mehr als 30 Prozent der öffentlich gewordenen Hackerangriffe durch Innentäter ausgelöst. Die Dunkelziffer liegt wesentlich höher. Innentäter können ihr Wissen um die Strukturen des Unternehmens und dessen Sicherheitsschwachstellen jederzeit ausnutzen. Hinzu kommt, dass die meisten Mitarbeiter über die nötigen Rechte verfügen, Firewalls und Zugriffsbeschränkungen zu umgehen, um ihre Regeltätigkeit ausüben zu können. Ein Innentäter besitzt also ausreichend Informationen, um einem Unternehmen Schaden zuzufügen und seine Aktionen anschließend zu verschleiern.

Durch die notwendige Einbindung externer Fachkräfte oder Dienstleister in interne Arbeitsprozesse, um am dynamischen, nationalen und internationalen Markt zu bestehen, wird das Bedrohungsszenario wesentlich erweitert. Und bei einem externen Mitarbeiter liegt die Hemmschwelle wesentlich niedriger, wenn es darum geht Daten und Informationen des Kunden zu entwenden.

Motive: So werden Mitarbeiter zur Bedrohung

Es gibt verschiedene Gründe, warum aus loyalen Mitarbeitern aktive Innentäter werden. Laut Bundesverfassungsschutz und einschlägiger Studien zum Thema sind folgende Beweggründe und Indikatoren hervorzuheben:

  • Unzufriedenheit am Arbeitsplatz, fehlende Identifikation mit dem Unternehmen

  • Diskrepanzen im beruflichen Werdegang

  • Fehlende Schulung am Produkt

  • Unkenntnis über Arbeitsprozesse

  • Auffällige Neugier

  • Whistleblowing

  • Nutzung von mobilen Datenträgern

  • Überschreitung der Zugriffsberechtigung

Es geht also nicht immer ums Geld. Enttäuschung, Frust am Arbeitsplatz oder private Probleme spielen ebenso mit hinein, wie die einfache Unkenntnis über sensible Schwachstellen in Arbeitsabläufen. Amerikanische Studien gehen noch einen Schritt weiter. Wissenschaftler des "American Board of Professional Psychology" (ABPP) beleuchten in ihrem forensischen Ansatz die psychologischen Risikofaktoren, die Mitarbeiter überhaupt erst anfällig für eine Innentäterschaft machen.

An erster Stelle steht natürlich die psychische und gesundheitliche Verfassung, die sich unmittelbar auf die Wahrnehmungs- und Urteilsfähigkeit des Mitarbeiters auswirkt, insbesondere auf dessen soziale Interaktion und Performance am Arbeitsplatz. Die daraus gebildete Persönlichkeit des Einzelnen, seine sozialen Fähigkeiten und seine Vorgehensweise in der Entscheidungsfindung sind die Faktoren, die im Weiteren dessen Eigenwahrnehmung und dessen Wahrnehmung der Umgebung beeinflussen. Sie bestimmen die Wahrscheinlichkeit sozialer Konflikte und möglicher Isolation. Nach außen hin zeigt sich dies beispielsweise durch:

  • Probleme in der Zusammenarbeit,

  • Impulsivität,

  • das Gefühl über den Regeln zu stehen,

  • die Schwierigkeit bei der Übernahme von Verantwortung

  • und der Tendenz, eher andere für Fehler verantwortlich zu machen.

Kommen persönliche Stressfaktoren wie finanzielle Schwierigkeiten oder Krankheiten und Zurücksetzung außerhalb des Arbeitswelt hinzu, können die beruflichen Stressfaktoren (Ärger mit dem Vorgesetzten, drohende Entlassung oder unerfüllte Erwartungen) weiter verstärkt werden. Es droht zur Eskalation zu kommen. In jedem Fall festigt sich so eine verstimmte Grundhaltung, die in der Regel mehr und mehr offensichtlich zu Tage tritt. Interessant ist dabei die Umkehr der Wertewelt: Falsches Benehmen und Vorteilsnahme werden als lohnend eingestuft, harte Arbeit nicht. Kollegen wollen einem eher schaden und müssen besiegt werden, so wie das ganze Unternehmen, das die eigenen Interessen nicht schützen will. Offensichtlicher Ärger schlägt um in das Gefühl, provoziert zu werden und nun quasi zum Handeln gezwungen zu sein.

Sollten Unternehmen nun schon bei der Auswahl der Mitarbeiter möglichst all diese Kriterien einbeziehen und psychologische Integritätstests durchführen? Wenn es danach ginge, müsste es zumindest eine Gruppe schwer haben: Laut begleitender empirischer Forschung der ABPP-Wissenschaftler ist der klassische Innentäter nämlich männlich, 37 Jahre alt und hat eine technische Position inne. Er kann Ingenieur, Wissenschaftler, Manager oder Programmierer sein. Die Mehrheit dieser Täter hat Vereinbarungen in Sachen geistiges Eigentum unterschrieben. Eine Compliance-Politik allein reicht da wohl nicht aus.

Allerdings müssen genannte Gründe oder Indikatoren nicht zutreffen, damit es zu einem gezielten "Datenverrat" kommt. Ein Mitarbeiter oder externer Dienstleister kann die Kontrolle über seinen User Account beispielsweise durch einen Hackerangriff, eine gezielte oder ungezielte Malware-Infektion und ähnliches verlieren, so dass unter seinem Account (und damit mit seinen Mitarbeiterrechten) dem Unternehmen Schaden zugefügt wird. Ein gezielter Akt der Cyberspionage (Advanced Persistant Threats) wird im Schnitt übrigens erst nach 243 Tagen entdeckt.