Was sind Insider-Bedrohungen und wie kann man dagegen vorgehen?
Hier finden Sie alles, was Sie über Insider-Bedrohungen wissen müssen – was sie sind, wie sie üblicherweise passieren und wie Sie Ihre Organisation davor schützen können.
Insider-Bedrohungen sind ein großes und zunehmendes Problem für Unternehmen, da der menschliche Faktor oft am schwierigsten zu kontrollieren und vorherzusagen ist, wenn es um Datensicherheit und Datenschutz geht. Mit der Digitalisierung wächst die Menge der digitalen Daten exponentiell an, und mit ihr nimmt auch die Anzahl der Systeme und die menschlichen Interaktionen mit Daten zu. Mehr Interaktion bedeutet, dass die Daten mehr Sicherheitslücken ausgesetzt werden.
Die potenziellen Risiken von Insider-Bedrohungen sind zahlreich, darunter Finanzbetrug, Datenkorruption, Diebstahl wertvoller Informationen und die Installation von Malware. Diese Vorfälle können zu Datenverstößen führen, die sensible Informationen wie personenbezogene Daten (PII) oder geistiges Eigentum (IP) offenlegen und hohe Geldstrafen zur Folge haben können, während ihre Entdeckung für die Sicherheitsteams keine leichte Aufgabe ist.
Was sind Insider-Bedrohungen in der Cybersicherheit?
Insider-Bedrohungen sind Cybersicherheitsrisiken, die ihren Ursprung in der Organisation selbst haben. Sie können von Benutzern mit rechtmäßigem Zugriff auf die Vermögenswerte des Unternehmens verursacht werden – einschließlich aktueller oder ehemaliger Mitarbeiter, Auftragnehmer, Geschäftspartner, Drittanbieter usw.
Insider können sich in Bezug auf Bewusstsein, Motivation, Absicht und Zugangsebene erheblich unterscheiden.
Herkömmliche Sicherheitsmaßnahmen wie Firewalls oder Antiviren-Systeme konzentrieren sich auf externe Bedrohungen und sind nicht immer in der Lage, Bedrohungen zu erkennen, die von innerhalb des Unternehmens ausgehen. Abgesehen davon, dass sie für traditionelle Sicherheitslösungen unsichtbar sind, können Angriffe von Insidern schwieriger zu erkennen oder zu verhindern sein als Angriffe von außen und über Monate oder Jahre unbemerkt bleiben.
Fakten und Zahlen zu Insider-Bedrohungen: Wie groß ist das Problem?
Der Gesamtbericht 2020 Cost of Insider Threats Global Report des Ponemon Institute zeigt einen beunruhigenden Trend in der Zunahme von Insider-Bedrohungen sowohl im Hinblick auf die Gesamtkosten als auch auf die Anzahl der Vorfälle. Der Studie zufolge ist die Zahl der von Insidern verursachten Vorfälle im Bereich der Cybersicherheit seit 2018 um 47% gestiegen. Gleichzeitig sind die Kosten für diese Vorfälle um 31% gestiegen, von 8,76 Millionen Dollar im Jahr 2018 auf 11,45 Millionen Dollar im Jahr 2020.
In einer Umfrage des Wall Street Journal Pro Research Survey unter Führungskräften im Bereich der Cybersicherheit in fast 400 Unternehmen sagten 67%, sie seien besorgt über böswillige Mitarbeiter. Die im Juni 2020 veröffentlichten Ergebnisse der Umfrage zeigen einen Zusammenhang zwischen der Größe des Unternehmens und der Besorgnis über Insider-Bedrohungen: Je größer das Unternehmen, desto größer die Besorgnis. Darüber hinaus wächst laut der Umfrage die Besorgnis über Insider in höherem Maße als die Besorgnis über andere Bedrohungen der Cybersicherheit.
Da sich die Insider-Bedrohungslandschaft weiterentwickelt und die Zahl der Vorfälle zunimmt, ist es für Unternehmen an der Zeit, wachsamer gegenüber diesen Bedrohungen zu werden. Insider wissen in der Regel, wo sich die sensiblen Daten innerhalb des Unternehmens befinden, und haben oft erhöhte Zugriffsrechte, so dass die Unterscheidung zwischen der normalen Aktivität eines Benutzers und potenziell böswilligen Aktivitäten eine Herausforderung darstellt.
Verschaffen Sie sich einen Überblick über die Arten, Erkennung und Eindämmung von Insider-Bedrohungen.
Arten von Insider-Bedrohungen
Böswilliger Insider:
Das ist jemand, der seine Zugangsprivilegien nutzt, um Daten zu exfiltrieren oder zu stehlen und sie mit dem Ziel persönlichen oder finanziellen Gewinns zu nutzen.
Zu den böswilligen Insider-Bedrohungen gehören der unbefugte Zugriff auf und die Offenlegung von vertraulichen Informationen, die Durchführung betrügerischer Transaktionen und die Sabotage der Systeme, des Netzwerks oder der Daten der Organisation. Ausscheidende und verärgerte Mitarbeiter sowie Mitarbeiter mit Zugang auf hoher Ebene können diese Art von Vorfällen verursachen.
Fahrlässiger Insider:
Ein fahrlässiger oder nachlässiger Insider hat keine böswillige Absicht, sondern gibt fälschlicherweise sensible Daten preis oder gefährdet versehentlich Unternehmensdaten. Zu diesen Bedrohungen gehören der Missbrauch von Vermögenswerten, der falsche Umgang mit Daten und die Installation nicht autorisierter Anwendungen (Schatten-IT). Nachlässige Insider mögen es gut meinen, aber sie können schnell Opfer von Phishing-Angriffen oder Social Engineering werden.
Koruppter Insider:
Dieser Typ arbeitet mit böswilligen externen Bedrohungsakteuren zusammen, um die Organisation zu kompromittieren. In diesen Fällen handelt es sich in der Regel um Betrug, Datendiebstahl oder eine Kombination aus beidem. Obwohl es sich hierbei um die seltenste Form eines kriminellen Insiderrisikos handelt, kann es dennoch mit hohen Kosten verbunden sein.
Das Ponemon Institute ermittelte als häufigste Art der Insider-Bedrohung einen fahrlässigen Mitarbeiter oder Auftragnehmer, während die kostspieligsten Vorfälle die Diebstähle von Berechtigungsnachweisen waren, die sowohl am wenigsten gemeldet wurden als auch am teuersten waren.
Beweggründe für Insider-Bedrohungen
Die Motive können unterschiedlich sein – böswillige Insider könnten aus Groll gegen ihren Arbeitgeber handeln, vielleicht wollen sie einfach nur Geld, oder es könnte sich um einen Akt der Unternehmens- oder nationalstaatlichen Spionage handeln. Unbeabsichtigte Insider-Bedrohungen können aus Unkenntnis, aus Neugierde oder Bequemlichkeit sowie aufgrund von unangebrachter Technologie geschehen. Wenn man die Beweggründe versteht, können Sicherheitsteams bei der Abwehr von Insider-Bedrohungen proaktiver vorgehen.
Insider-Bedrohungen im Zeitalter der Heimarbeit
Die Covid19-Pandemie hat die Home Office Revolution auf die Überholspur gebracht, und viele Unternehmen waren gezwungen, ihre Arbeit dezentral zu legen und Home Office über Nacht zu ermöglichen.
Home Office eröffnet neue Sicherheitsbedrohungen für Insider, und die Unternehmen bemühen sich, mit diesen beispiellosen Risiken Schritt zu halten. Das Home Office bedeutet keine persönliche Beaufsichtigung und wenig bis gar keine Schulung für den Umgang mit neuen Sicherheitsrisiken. Die Mitarbeiter können auch mehr Ablenkungen in ihrem häuslichen Umfeld ausgesetzt sein, verbunden mit dem übergeordneten Stress der Pandemie und regelmäßigem Arbeitsdruck. Es kann leicht zu versehentlichen Datenverlusten kommen, da die Grenzen zwischen Arbeit und Zuhause, Beruf und Familie verschwommener denn je sind.
Das Arbeiten aus der Ferne kann auch viele Möglichkeiten des Datendiebstahls bieten, einschließlich des Verlusts oder der unrechtmäßigen Aneignung physischer Geräte, der Möglichkeit, Passwörter, Verschlüsselungsschlüssel und Firmen-Laptops mit unbekannten Dritten zu teilen.
Die Insider-Bedrohung ist sehr präsent, wenn Workstream Collaboration (WSC)-Plattformen wie Slack oder Mattermost verwendet werden. Mitarbeiter können versehentlich eine Kundendatenbank gemeinsam nutzen, absichtlich ein Geschäftsgeheimnis preisgeben oder Sozialversicherungsnummern in der öffentlichen Cloud austauschen. Die erhöhte Datenportabilität ist ein weiterer Bedrohungsfaktor, der ein hohes Risiko des Datenverlusts oder -diebstahls birgt. Mitarbeiter, die von zu Hause arbeiten, können Daten leicht übertragen, gemeinsam nutzen oder entfernen, was zu Einnahmeverlusten, Strafen bei Nichteinhaltung oder Rufschädigung des Unternehmens führen kann.
Daher bedeutet Home Office, insbesondere für Organisationen ohne solide Pläne dafür, dass ihre Vermögenswerte und vertraulichen Daten während der globalen Pandemie anfälliger sind. Durch die Implementierung der richtigen Tools und Technologien und besseren Schutz von Unternehmensdaten kann das Risiko von Cybervorfällen verringert werden.
Häufige Arten von Insider-Angriffen
Wir haben die häufigsten internen Vorfälle und Praktiken gesammelt, die eine Bedrohung für die Datensicherheit eines Unternehmens darstellen.
Social Engineering
Social Engineering gilt als eine der größten Sicherheitsbedrohungen für Unternehmen und ist eine bösartige Bedrohung, die menschliche Interaktion impliziert. Normalerweise geht es darum, jemanden innerhalb der Organisation auszutricksen, um einen Sicherheitsfehler zu begehen oder sensible Informationen preiszugeben. Social-Engineering-Angriffe haben verschiedene Formen, einschließlich Phishing und Köder. Böswillige Akteure, die sich auf Social Engineering einlassen, manipulieren menschliche Gefühle wie Neugier oder Angst und kompromittieren die Informationen ihrer Ziele.
Datenaustausch außerhalb des Unternehmens
Mitarbeiter, die vertrauliche Daten entweder öffentlich oder mit unbefugten Dritten austauschen, können ernsthafte Probleme verursachen. Diese Art von Vorfällen geschieht in der Regel aus Unachtsamkeit: Informationen werden an die falsche E-Mail-Adresse geschickt, statt einer einfachen Antwort wird eine Antwort-Alles-Taste gedrückt, vertrauliche Daten werden versehentlich öffentlich bekannt gegeben.
Schatten-IT
Die Nutzung nicht autorisierter Geräte, Software, Anwendungen und Dienste am Arbeitsplatz ist für IT-Abteilungen oft schwer nachzuvollziehen, und daher kommt auch der Begriff Schatten-IT. Schatten-IT kann zwar die Produktivität verbessern und Innovationen vorantreiben, doch stellt Schatten-IT auch eine ernsthafte Bedrohung für die Datensicherheit dar und kann zu Datenlecks, Verstößen gegen Vorschriften und mehr führen.
Verwendung nicht autorisierter Geräte
Mit dem Aufkommen von Bring-Your-Own-Device (BYOD)-Richtlinien und der Verbreitung mobiler Geräte sehen sich Organisationen mit vielen internen Sicherheitsproblemen konfrontiert, einschließlich des Risikos des Datenverlusts aufgrund von Fahrlässigkeit oder böswilligen Absichten der Mitarbeiter. Vor allem tragbare Geräte und USBs sind zwar bequem zu benutzen, aber leicht zu verlieren oder zu stehlen. So kann Fahrlässigkeit leicht zu katastrophalen Datenverlusten führen, wie zum Beispiel der berüchtigte Sicherheitsvorfall am Flughafen Heathrow, bei dem ein unvorsichtiger Mitarbeiter ein USB-Gerät mit über 1.000 vertraulichen Dateien verlor.
Physischer Diebstahl von Firmengeräten
Heutzutage kommt es immer häufiger vor, dass Mitarbeiter ihre Arbeitscomputer oder tragbaren Geräte aus dem Büro mitnehmen. Dies kann aus verschiedenen Gründen geschehen, z.B. bei der Arbeit aus dem Home Office, bei der Teilnahme an einer Veranstaltung oder beim Besuch eines Kunden. Durch das Verlassen der Sicherheit von Unternehmensnetzwerken werden die Arbeitsgeräte anfälliger für physischen Diebstahl und Manipulationen von außen.
Wie man sich vor einem Insider-Angriff schützt: Sicherheitspraktiken
Organisationen sollten damit beginnen, Richtlinien zu entwickeln und umfassende Insider-Bedrohungsprogramme zu implementieren, um Risiken zu reduzieren und gleichzeitig sicherzustellen, dass sie das richtige Gleichgewicht zwischen Menschen, Prozessen und Technologie haben. Proaktives Handeln kann es Unternehmen ermöglichen, böswillige Insider zu erkennen und durch Fahrlässigkeit der Mitarbeiter verursachte Datenverletzungen zu vermeiden und so ihre Vermögenswerte und ihren Ruf zu schützen.
Sicherheitsbewusstsein
Es ist ein wesentlicher Schritt, den Unternehmen in Betracht ziehen müssen, sicherzustellen, dass sich alle Mitarbeiter darüber im Klaren sind, mit welchem wertvollen Gut sie es zu tun haben und wie sie damit umzugehen haben. Die Sicherheitstechnologie schreitet weiter voran, aber das menschliche Verhalten ändert sich viel langsamer.
Zwar kann es schwierig sein, ganze Teams mit wenig bis gar keinem technischen Hintergrund auszubilden, aber jeder sollte die Bedeutung und die besten Praktiken der Cybersicherheit innerhalb des Unternehmens kennen. Mitarbeiter sollten darauf vorbereitet sein, Phishing- und andere Bedrohungsvektoren in den sozialen Medien zu erkennen, sowie darauf, wie Angreifer von außen auf sie zukommen könnten.
Sicherheitsrichtlinien
Klar dokumentierte Organisationsrichtlinien sind ein weiterer kritischer Aspekt, wenn es darum geht, Insider-Bedrohungen zu verhindern. Wenn diese durchgesetzt werden, kann sie auch dazu beitragen, Missverständnisse zu vermeiden. Die Richtlinien sollten Verfahren zur Verhinderung und Aufdeckung böswilliger Aktivitäten sowie eine Richtlinie zur Reaktion auf Vorfälle enthalten. Eine Richtlinie für den Zugriff Dritter, die Kontoverwaltung und eine Richtlinie für die Passwortverwaltung sind ebenfalls äußerst nützlich. Bei der Entwicklung von Cybersicherheitsrichtlinien und -verfahren sollten Unternehmen auch in Erwägung ziehen, den Speicherort ihrer sensiblen Daten zu lokalisieren, den Datenfluss zu überwachen und festzulegen, wer Zugang zu vertraulichen Daten haben kann.
Werkzeuge der Cybersicherheit
Die Einführung robuster technischer Kontrollen ist ebenfalls ein wesentlicher Schritt zur Eindämmung von Insider-Bedrohungen. Um alle Vermögenswerte effizient zu schützen, sollten sich Unternehmen nicht auf eine einzige Lösung verlassen. Für eine erfolgreiche Strategie zur Erkennung von Insider-Bedrohungen ist es ratsam, mehrere Sicherheitswerkzeuge zu kombinieren, die die Transparenz erhöhen und die Aktionen der Mitarbeiter verfolgen. Zu diesen Tools gehören die Überwachung der Benutzeraktivität (User Activity Monitoring, UAM), sichere Informations- und Ereignisverwaltungssysteme (Secure Information and Event Management Systems, SIEM), Software zur Analyse des Benutzerverhaltens (User Behavior Analytics, UBA) und Lösungen zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP).
DLP-Software dient dazu, sensible Daten zu entdecken, Datenverluste über mehrere Kanäle zu verhindern, unbeabsichtigte Offenlegung von Daten zu unterbinden, Verstöße gegen Datenverwendungsrichtlinien zu erkennen und Abhilfemaßnahmen anzubieten. Tools zur Überwachung der Benutzeraktivität sind eher benutzer- als datenzentriert, und im Gegensatz zu DLP-Lösungen, die Datenaktivitäten verwalten, schränkt UAM keine Aktionen ein oder lehnt sie ab. UBA-Software verspricht, potenzielle Insider-Bedrohungen zu erkennen, bevor sie auftreten, basierend auf früheren Verhaltensweisen, bietet aber normalerweise keine Aktion außerhalb eines Alarms, wenn ein Risiko einer Insider-Bedrohung erkannt wurde. SIEM-Tools können Anomalien im gesamten Netzwerk verfolgen und den Sicherheitsteams gefährliche Ereignisse anzeigen; diese Tools konzentrieren sich jedoch in der Regel auf das Aufspüren von externen Bedrohungen und nicht auf die Erkennung von Insider-Bedrohungen.
Bei der Suche nach Lösungen, die zur Eindämmung von Insider-Bedrohungen beitragen, sollten Unternehmen die Auswirkungen auf die Leistung, die einfache Verwaltung und Bereitstellung, die Stabilität und Flexibilität jeder Lösung berücksichtigen.
Es kann schwierig sein, Insider-Bedrohungen zu erkennen, und es kann sogar noch schwieriger sein, sie daran zu hindern, dem Unternehmen Schaden zuzufügen. Durch die Implementierung präventiver Maßnahmen und bewährter Verfahren können Unternehmen jedoch häufige Insider-Bedrohungen eindämmen. Durch die Kombination von Schulung, organisatorischer Ausrichtung und Technologie kann das Risiko dieser Bedrohungen erheblich reduziert werden.
Wie trägt Endpoint Protector zur Eindämmung von Insider-Bedrohungen bei?
Endpoint Protector ist eine fortschrittliche Data Loss Prevention (DLP)-Lösung, die das Risiko von Cyberattacken durch Insider auf ein Minimum reduziert. Durch seinen Einsatz können Unternehmen die Sicherheit ihrer vertraulichen Daten gewährleisten und die Einhaltung von Vorschriften wie DSGVO, PCI DSS, HIPAA oder CCPA erreichen. Unsere DLP-Software verfügt über die folgenden Funktionen und Vorteile:
- Bietet einen datenzentrierten Ansatz zum Schutz vertraulicher Informationen;
- behält den Überblick über sensible Daten und stellt sicher, dass ihre Übertragung, sei es per E-Mail oder über andere Internet-Dienste, eingeschränkt oder gänzlich blockiert wird;
- Schützt Daten unabhängig davon, ob sie in einer physischen oder virtuellen Umgebung gespeichert sind;
- Bietet plattformübergreifenden Schutz für sensible Daten und ist mit den Betriebssystemen Windows, MacOS und Linux sowie mit Thin-Clients und Desktop-as-a-Service (DaaS)-Plattformen kompatibel;
- Entdeckt sensible Daten, die auf Computern, Laptops usw. gespeichert sind, und bietet Abhilfemaßnahmen an;
- ist einfach zu bedienen und erfordert keine fortgeschrittenen technischen Kenntnisse zur Ausführung;
- Bietet die Möglichkeit, auf einfache Weise granulare Sicherheitsrichtlinien für Benutzer, Computer und Gruppen zu erstellen.
- Überwacht und steuert USB-Anschlüsse und tragbare Speichergeräte;
- Bietet Einzelhandelsberichte über Benutzeraktivitäten und gibt wertvolle Einblicke darüber, welche sensiblen Daten wohin und von wem übertragen werden;
- Lässt sich leicht skalieren und verfügt je nach der vorhandenen Infrastruktur der Organisation über verschiedene Einsatzoptionen;
- Bietet eine nahtlose Integration mit Active Directory (AD) und SIEM-Technologie.