Amazons Plan, die Tastenanschläge von Arbeitnehmern zu verfolgen: Ein Zeichen für künftige Kontrollen?

  • Datendiebstahl, Insider-Bedrohungen und Betrüger, die auf sensible Kundendaten zugreifen, sind bei Amazon offenbar so schlimm geworden, dass das Unternehmen erwägt, die Tastaturanschläge seiner Kundendienstmitarbeiter zu überwachen.

    Ein vertrauliches Memo von Amazon erklärt, dass der Missbrauch von Kundendaten und Datendiebstahl zunimmt, wie Motherboard berichtet, das das Dokument eingesehen hat. Die Überwachung der Tastatureingaben wäre eine Möglichkeit für das Unternehmen, die Identität derjenigen zu überprüfen, die auf Daten zugreifen.

    “Wir haben eine Sicherheitslücke, da wir nicht über einen zuverlässigen Mechanismus verfügen, um zu überprüfen, ob die Benutzer die sind, die sie vorgeben zu sein”, heißt es in dem Dokument.

    Amazons Memo fügte hinzu, dass ausgelagerte Mitarbeiter, die von zu Hause aus in Ländern wie Indien und den Philippinen arbeiten, wo die meisten dieser Sicherheitsvorfälle auftreten, ein “hohes Risiko der Datenexfiltration” geschaffen haben, wie Motherboard berichtet.

    Mitbewohner von legitimen Kundendienstmitarbeitern, die nachschauen wollen, was berühmte Leute bei Amazon gekauft haben; Hacker, die Anmeldedaten von Kundendienstmitarbeitern kaufen; sogar die Verwendung eines USB-Gummientchens zur schnellen Eingabe von Tastenanschlägen, um Zugang zu Systemen zu erhalten, sind laut dem Bericht alles Wege, auf denen Angreifer Amazon-Daten missbraucht haben.

    Das Unternehmen fügte hinzu, dass es erwägt, ein Unternehmen namens BehavioSec einzusetzen, das die aggregierten Daten der Mausklicks und Tastatureingaben eines Benutzers verwendet, um ein Profil seines typischen Verhaltens zu erstellen. Sobald diese Basislinie des typischen Verhaltens erstellt ist, kann das BehavioSec-Tool erkennen, wenn die Aktivität eines Benutzers ungewöhnlich ist. Nach den Berichten von Motherboard scheint sich Amazon jedoch noch nicht auf einen endgültigen Plan festgelegt zu haben.

    “Wir ziehen eine Option in Betracht, die die Erfassung aller Tastenanschläge vorsieht, und wenn diese Funktionalität aktiviert ist, können wir die Standardlösung möglicherweise nicht einsetzen”, so das Unternehmen.

    Aber selbst diese Offenlegung spielt wahrscheinlich herunter, wie weit verbreitet das Problem ist, sagte Gaurav Banga, CEO von Balbix, gegenüber Threatpost.

    “Amazon ist ein zielgerichtetes Unternehmen”, sagte Banga. “Sie tun nichts ohne Grund.”

    Was ist, wenn Sie Ihre Mitarbeiter nicht kennen?

    Die grundlegendste Sicherheitskontrolle in jedem Unternehmen ist der Vorgesetzte, erklärte er. Der Vorgesetzte weiß, wer die Mitarbeiter sind, was sie zu tun haben und wie sie es zu tun haben. Als die Mitarbeiter begannen, von Heimarbeitsplätzen aus zu arbeiten, ging diese grundlegende Sicherheitskontrolle verloren.

    “Man kann nicht mehr erkennen, wer ein Insider und wer ein Außenseiter ist”, so Banga. “Wie kompensieren Sie also, dass Sie nicht wissen, wer Ihre Mitarbeiter sind?”

    Er sagte, dass die Überwachung der Tastenanschläge die Art von Sicherheit ist, an die sich Remote-Mitarbeiter in Zukunft gewöhnen müssen.

    “Cyberkriminelle werden immer raffinierter, wenn es darum geht, in Unternehmen einzudringen, und wenn sie erst einmal drin sind, bleiben sie für lange Zeit unentdeckt”, so Ordr-CEO Greg Murphy gegenüber Threatpost. “Die Erstellung von Verhaltensprofilen wird immer wichtiger, um diese Bedrohungsakteure aufzuspüren, und zwar nicht nur anhand des Nutzerverhaltens, sondern auch anhand anomaler Verhaltensmuster in angeschlossenen Geräten.”

    Murphy erklärte, dass, wenn eine Videoüberwachungskamera plötzlich mit einer bösartigen Ransomware-Domäne kommuniziert, dies eine offensichtliche Abweichung vom normalen Verhalten ist, die untersucht werden sollte.

    “Amazon scheint noch einen Schritt weiter zu gehen und überwacht die Tastenanschläge auf den Geräten der Kundendienstmitarbeiter”, sagte er. “Dies wird nützlich sein, um Geräte zu erkennen, die bereits kompromittiert wurden, insbesondere da viele Kundendienstmitarbeiter jetzt von zu Hause aus arbeiten, wo sie gemeinsam wohnen und die physische Sicherheit schlecht ist.

    Murphy warnte Unternehmen davor, diese Art von Überwachungskontrollen nur bei unternehmenseigenen Geräten einzusetzen. Er fügte hinzu, dass Unternehmen wie Barclays ihre Mitarbeiter bereits mit ähnlichen Softwareüberwachungsinitiativen aufgeschreckt haben.

    Für Mitarbeiter, die sich Sorgen um ihre Privatsphäre machen, hat Banga eine einfache Lösung parat: Tun Sie nichts Persönliches auf einem Arbeitscomputer.

    Die Kehrseite der Medaille sei, so Banga weiter, dass die Unternehmen die Kontrolle über die Technologie, mit der sie ihre Geschäfte abwickeln, selbst in die Hand nehmen und feste Richtlinien zur Gewährleistung der Sicherheit einführen müssten. Abgesehen von der grundsätzlichen Erkenntnis, dass Mitarbeiter überwacht werden, glaubt Banga nicht, dass sich die meisten Menschen darum scheren, dass Daten über ihre Arbeitsgewohnheiten gesammelt werden.

    Außerdem, so fügte Banga hinzu, gibt es Arbeitsplätze in Branchen wie dem Finanzwesen und der Regierung, wo der Datenschutz schon immer Teil der Rolle eines Mitarbeiters im Unternehmen war.

    “Wenn Sie für einen großen Fisch arbeiten und mit Daten eines großen Fisches umgehen, müssen Sie diese Daten schützen”, fügte er hinzu.

    Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Registrieren Sie sich jetzt für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs. Finden Sie heraus, wo genau Angreifer Sie ins Visier nehmen und wie Sie zuerst dorthin gelangen können. Seien Sie dabei, wenn Moderatorin Becky Bracken und die Uptycs-Forscher Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST an dieser LIVE-Diskussion teilnehmen.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2020/07/16085343/amazon-e1594904037657.jpg]

    Einige Teile dieses Artikels stammen aus:
    threatpost.com