English

Das interne Risiko: Könnte ein Ex-Mitarbeiter für den Angriff auf Sony verantwortlich sein?

von VPNHaus | 15.01.2015 |Endpoint Management, IT policy

Vor einem Monat hatten wir die Frage gestellt: „Was können wir aus dem Angriff auf Sony lernen?“ Seither sind kaum neue Informationen durchgesickert. Lediglich das FBI behauptete Mitte Dezember, die Regierung Nordkoreas sei verantwortlich für die Ereignisse.

Obgleich diese Meldung so definitiv erscheint, sind viele Mitglieder der Cybersecurity-Community noch nicht davon überzeugt, dass Nordkorea der alleinig Schuldige ist. Tatsächlich sind einige so weit gegangen, Gegendarstellungen zu konstruieren, um die verantwortlichen Parteien zu entlarven.

Einer der vehementen Gegner der Nordkorea-Theorie des FBI ist Norse, ein Cyber-Intelligence-Provider. Kurt Stammberger, Senior Vice President des Unternehmens, erklärte kürzlich gegenüber der Huffington Post, wieso er der Ansicht ist, dass interne Faktoren – insbesondere ein Ex-Mitarbeiter von Sony – möglicherweise eine zentrale Bedeutung im Zusammenhang mit dem Angriff gehabt haben.

Wie Stammberger erläuterte, enthielt die für den Angriff verwendete Malware Sony-Zugangsdaten, Server-Adressen und digitale Zertifikate. Er sagte: „An diese Informationen heranzukommen ist praktisch unmöglich; es sei denn, man ist Insider oder war Insider oder hat mit einem Insider zusammengearbeitet.“

Diese Feststellung an sich ist schon überzeugend. Aber selbst wenn schließlich herauskommen sollte, dass kein Insider in den Angriff verwickelt war, so hat Norse mit dieser These den IT- und Cybersecurity-Experten viel Stoff zum Nachdenken geliefert – zum Nachdenken darüber, welchen Schaden Ex-Mitarbeiter auch nach Beendigung ihrer Tätigkeit für ein Unternehmen noch anrichten können.

Die inhärenten Risiken von Netzwerkprivilegien

An ihrem ersten Arbeitstag erhalten neue Mitarbeiter von der IT-Abteilung sämtliche für ihre Arbeit notwendigen Tools: die Geräte, die notwendigen Zugangsberechtigungen, die Einrichtung des Remote Access usw. Dies ist allerdings nicht unproblematisch. Ein Mitarbeiter könnte dasselbe Wissen, welches er zuvor zugunsten des Unternehmens genutzt hat, nach seinem Ausscheiden aus dem Unternehmen verwenden, um dieses zu schädigen.

Ein vergleichsweise harmlos wirkender Vorgang wäre beispielsweise, dass sich ein Ex-Mitarbeiter per Fernzugriff in das Netzwerk einloggt, um auf eine persönliche E-Mail in seinem alten Firmen-Account zuzugreifen. Jedoch könnte auch eine böswillige Aktion dahinterstecken. So könnte ein gekündigter Mitarbeiter etwa vorsätzlich vertrauliche Informationen nach außen sickern lassen, um sich für seine Entlassung zu rächen.

In einigen Fällen könnten bestimmte Ex-Mitarbeiter, sogenannte „privilegierte Nutzer“ sogar noch mehr Schaden anrichten. Sie verfügen nämlich über wesentlich mehr Informationen als der durchschnittliche Arbeitnehmer. Es sind dies Netzwerkingenieure, Datenbank-Administratoren oder Anwendungsentwickler, welche verantwortlich für die Betreibung des Netzwerks sind. Diese Nutzer kontrollieren die Netzwerk-Ressourcen, haben aber möglicherweise weniger Übersicht oder Kontrolle über die Auswirkungen ihrer Handlungen. Kann ein Angreifer sich die Zugangsdaten solcher Mitarbeiter beschaffen oder werden diese privilegierten Nutzer selbst zu böswilligen Akteuren, könnte die Integrität des Netzwerks gefährdet sein.

Aus diesem Grund müssen Arbeitgeber sicherstellen, dass die Trennung von Ex-Mitarbeitern sowohl sauber als auch endgültig ist. Selbst, wenn nur noch einer ihrer Zugangscodes funktioniert – sei es für Server, Netzwerke oder Endgeräte – so ist dies mit Sicherheit eine Schwachstelle, die für einen Angriff ausgenutzt wird.

Ob diese Art der Übersicht entscheidend im Zusammenhang mit dem Angriff auf Sony war, muss noch geklärt werden – zumindest, wenn man der Version des FBI keinen Glauben schenkt. Sollte jedoch ein Ex-Mitarbeiter involviert und in der Lage gewesen sein, einen der landesweit größten Entertainment-Giganten lediglich mit Insider-Wissen und ein paar Tasteneingaben öffentlich zu demütigen, so wären Netzwerkadministratoren jetzt offiziell über das Risiko in Bezug auf die eigenen Mitarbeiter und das massive Potential interner Bedrohungen aufgeklärt.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK