Insider-Bedrohungen nehmen seit Jahren zu. Um die eigenen Assets zu schützen, sind neben Awareness-Trainings und Sicherheitsrichtlinien technische Maßnahmen zum Schutz der sensiblen Unternehmensdaten erforderlich.
Bei Insider-Bedrohungen geht die Gefahr für Daten und Systeme von den eigenen oder von ehemaligen Mitarbeitern aus, von Kunden, Dienstleistern oder Partnern. Insider sind zumindest in Ansätzen mit dem Unternehmen und dem Wert von Daten vertraut und verfügen über Zugangsberechtigungen oder über Ansprechpartner mit Zugangsberechtigung. Mit der Größe dieses Personenkreises wachsen die Bedrohungen für das Unternehmen, da mehr Datenzugriffe stattfinden und mehr Geräte benutzt werden. Risiken bergen zudem das zunehmende Datenvolumen und die steigende Zahl von Anwendungen, die im Unternehmen verwendet werden, beispielsweise auch die zur Produktivitätssteigerung immer häufiger verwendeten Plattformen für Workstream Collaboration.
Immer mehr Insider-Vorfälle
Die Zahl der Vorfälle mit Insidern steigt seit Jahren. Wie auf security-insider.de berichtet, sollen der Cybersicherheitsstudie von Solarwinds zufolge 80 Prozent der Vorfälle im vergangenen Jahr auf interne Benutzerfehler zurückzuführen sein. Im Überblick „Wirtschaftsschutz in der digitalen Welt“ des Branchenverbandes Bitkom, in dem allerdings nicht zwischen Datendiebstahl, Industriespionage oder Sabotage und digitalen oder analogen Aktivitäten unterschieden wird, nennt ein Drittel der betroffenen Unternehmen ehemalige Mitarbeiter als Täter mit Schädigungsabsicht. 20 Prozent der Firmen gegenüber 15 Prozent im Jahr 2017 gehen von Wettbewerbern als Täter aus, 14 Prozent von derzeitigen Mitarbeitern ohne Schädigungsabsicht.
Breites Spektrum von Bedrohungen
Insider-Bedrohungen können recht unterschiedlich ausfallen, zu den hauptsächlichen gehören:
- Datenexfiltration durch Versehen oder falsche Bedienung von Anwendungen;
- Datendiebstahl durch verärgerte Mit- oder Ex-Mitarbeiter, Wettbewerber oder Organisationen bzw. Staaten mit Interesse an bestimmten Technologien;
- Identitätsdiebstahl oder Diebstahl von Anmeldedaten;
- Versehentliches oder absichtliches Einschleusen von Schadcode.
Entsprechend breit ist das Spektrum der Auswirkungen von Insider-Aktivitäten. Sie reichen von Wettbewerbsnachteilen, Umsatzeinbußen oder sogar Firmenzusammenbrüchen beim Verlust von Firmendaten und Geschäftsgeheimnissen über Image-Schäden und Bußgeldern bei Vorfällen mit personenbezogenen Daten bis zu Betriebsstörungen und –ausfällen und den daraus resultierenden Umsatzverlusten sowie den Kosten für Aufklärung und Wiederherstellung von Daten und Systeme.
Vorbeugen ist besser als Reparieren
Vertrauen in die Loyalität und die Cyber-Kompetenz der Mitarbeiter ist schön und gut. Aber Vorbeugung sieht anders aus. Auf der untersten Ebene sensibilisieren Schulungen Mitarbeiter für den Stellenwert von Cybersicherheit für das Unternehmen. Zusätzlich sind Sicherheitsrichtlinien ein Muss. Sie sollten zumindest Richtlinien zur Reaktion auf Vorfälle enthalten, für den Zugriff Dritter, für die Verwaltung der Benutzerkonten und der Passwörter. Unternehmen sollten auch wissen, wo sensible Daten gespeichert sind, und festlegen, wer Zugriff darauf hat.
Die Einhaltung von Policies mit technischen Maßnahmen überwachen
Die besten Policies nützen nichts, wenn ihre Einhaltung nicht mit technischen Lösungen überwacht wird. Herkömmliche Sicherheitsmaßnahmen fokussieren meist externe Bedrohungen und sollten um Lösungen wie Verschlüsselung und Data Loss Prevention (DLP) ergänzt werden, die Unternehmen dabei unterstützen, den Datenabfluss durch Insider zu verhindern.