Die Data Breach Investigations Report (DBIR)-Serie von Verizon gibt Einblicke in die Welt der Cyberkriminalität. Jetzt wurde die Analyse von Daten und Vorfällen neu ausgerichtet und fokussiert sich auf die Rolle von Insidern. Daraus entstanden ist der Verizon Insider Threat Report [1].
20 Prozent der im Rahmen des Verizon 2018 DBIR erfassten Cybersicherheitsvorfälle und 15 Prozent der untersuchten Datenverletzungen gingen von Personen innerhalb der Organisation aus [1]. Finanzielle Interessen (47,8 Prozent) sowie »purer Spaß« (23,4 Prozent) führen die Liste der Motive an. Bei diesen Angriffen wurden interne Berechtigungen verwendet, um auf Daten oder Systeme zuzugreifen. Häufig werden diese Angriffe erst Monate oder Jahre später aufgedeckt, wodurch sich beträchtliche potenzielle Auswirkungen für ein Unternehmen ergeben können.
Organisationen behandeln Insiderbedrohungen jedoch häufig als Tabuthema. Nur zögerlich werden Mitarbeiter, die zu einer Bedrohung für das Unternehmen geworden sind, als solche wahrgenommen. Auch Meldungen und Maßnahmen gegen diese Personen erfolgen zögerlich. Es scheint beinahe so, als ob Insiderbedrohungen ein blinder Fleck innerhalb von Prozessen im Management seien.
Der Verizon Insider Threat Report zielt darauf ab, diese Wahrnehmung zu ändern. Die Analyse bietet Unternehmen eine datengestützte Sichtweise darauf, wie sich Risikopotenziale unter den Mitarbeitern identifizieren lassen. Außerdem werden reale Fallbeispiele und Strategien für Gegenmaßnahmen aufgezeigt, die Unternehmen bei der Entwicklung eines umfassenden Programms zur Bekämpfung von Insiderbedrohungen berücksichtigen sollten.
»Viel zu lang sind Datenschutzverletzungen und Cybersicherheitsvorfälle durch Insider beiseitegeschoben und nicht ernst genommen worden. Oft werden sie schlicht als peinlich abgetan oder als ein Problem der Personalabteilung eingestuft«, sagt Bryan Sartin, Executive Director Security Professional Services, Verizon. »Das muss sich ändern, denn Cyberbedrohungen kommen nicht nur von externen Quellen. Um Cyberkriminalität in ihrer Gesamtheit zu bekämpfen, müssen wir uns auch auf Bedrohungen konzentrieren, die innerhalb eines Unternehmens auftreten.«
Merkmale einer internen Bedrohung
Besonderes Augenmerk legt der Report darauf, welchen Arten von Insiderbedrohungen ein Unternehmen ausgesetzt sein kann. Aus spezifischen Fallszenarien der von Verizon untersuchten Fälle – von Vorfallregistrierung (und -bewertung) über Reaktion und Untersuchung bis hin zu gewonnen Erkenntnissen und Gegenmaßnahmen – ließen sich fünf Insiderpersönlichkeiten identifizieren:
- Der fahrlässige Mitarbeiter kann ein Angestellter oder ein Unternehmens-Partner sein. Die Person dahinter missbraucht Ressourcen, verstößt gegen Nutzungsrichtlinien, geht in unzulässiger Weise mit Daten um, installiert nicht zugelassene Anwendungen und verwendet nicht genehmigte Behelfslösungen. Die Person verhält sich unangemessen, im Gegensatz zu einem böswilligen Vorsatz. Viele dieser Handlungen fallen in die Kategorie Schatten-IT (d. h. jenseits der Kenntnisse von IT und Management).
- Der Inside-Agent ist ein Insider, der von externen Parteien rekrutiert, angeworben oder bestochen wurde, um Daten zu filtrieren.
- Der verärgerte Mitarbeiter ist ebenfalls ein Insider, der versucht, seinem Unternehmen durch Datenvernichtung oder Unterbrechung der Geschäftstätigkeit Schaden zuzufügen.
- Der böswillige Insider: Dies sind Mitarbeiter oder Partner mit Zugängen zu Unternehmenswerten, die Berechtigungen zu Informationen zum persönlichen Vorteil nutzen.
- Die nichtsnutzigen Dritten sind Geschäftspartner, die die Sicherheit durch Fahrlässigkeit, Missbrauch oder böswilligen Zugriff auf Unternehmenswerte oder durch die Nutzung dieser gefährden.
Elf Bausteine für ein wirksames Programm zur Bekämpfung von Insiderbedrohungen
Der Bericht »Verizon Insider Threat Report« enthält praktische Ratschläge und Gegenmaßnahmen, die Unternehmen bei der Umsetzung eines umfassenden Programms zur Bekämpfung von Insiderbedrohungen unterstützen. Eine solche Initiative sollte unbedingt auf enger Koordination sämtlicher Abteilungen aufbauen – von IT-Sicherheit über die Rechts- und Personalabteilung bis hin zu Incident-Response-Teams und digitalen Forensikern.
Zwei Faktoren sind entscheidend für den Erfolg: die Vermögenswerte präzise identifizieren zu können und zu wissen, wer Zugang zu ihnen hat.
»Insiderbedrohungen zu erkennen und abzuschwächen erfordert einen anderen Ansatz als die Jagd auf externe Bedrohungen«, sagt Sartin. »Unser Ziel ist es, ein Rahmenwerk für Unternehmen bereitzustellen, um diesen Prozess proaktiver zu gestalten und die Ängste, Unsicherheiten und Unannehmlichkeiten, die diese Form der Insider-Cyberkriminalität umgeben, zu überwinden. Verizon hat tagtäglich mit Verursachern und Opfern von Cyberkriminalität zu tun. Wir informieren über reale Fälle und hoffen, dass Unternehmen die von uns empfohlenen Gegenmaßnahmen nutzen und in eigene Initiativen umsetzen.«
Diese elf Gegenmaßnahmen können Risiken reduzieren und die Reaktionsfähigkeit bei Vorfällen verbessern:
- Sicherheitsstrategien und -richtlinien integrieren: Durch Integration der nachfolgend aufgeführten zehn Gegenmaßnahmen lassen sich Effizienz, Kohäsion und Kurzfristigkeit bei der Bewältigung von Insiderbedrohungen intensivieren. Ideal ist ein umfassendes Programm zur Bekämpfung von Bedrohungen durch Insider, kombiniert mit anderen vorhandenen Strategien wie Risk Management Framework, Human Resources Management und Intellectual Property Management.
- Bedrohungen aufspüren: Verfeinerung von Funktionen der Bedrohungssuche wie etwa Bedrohungsaufklärung, Dark-Web-Überwachung, Verhaltensanalyse sowie EDR-Lösungen (Endpoint Detection and Response), um so verdächtige Aktivitäten bei Benutzern und Anwenderkonten innerhalb und außerhalb des Unternehmens aufzuspüren, zu überwachen, zu erkennen und zu untersuchen.
- Schwachstellen-Scanning und Penetrationstests durchführen: Nutzung der Ergebnisse von Schwachstellenanalysen und Penetrationstests, um Lücken innerhalb einer Sicherheitsstrategie zu identifizieren. Unternehmen sollten herausfinden wie sich Insider-Bedrohungen möglicherweise durch das Unternehmen bewegen.
- Maßnahmen zur Personalsicherheit implementieren: Kontrollen im Personalbereich (z. B. Prozesse beim Ausscheiden von Mitarbeitern), Grundsätze für einen sicheren Zugang und Schulung des Sicherheitsbewusstseins der Mitarbeiter können die Anzahl der Cybersicherheitsvorfälle im Zusammenhang mit unbefugtem Zugriff auf Unternehmenssysteme reduzieren.
- Maßnahmen zur physischen Sicherheit umsetzen: Verwenden Sie Zugangskontrollen wie Identitätsausweise, Sicherheitstüren und Wachpersonal zur Einschränkung des physischen Zugangs, ebenso digitale Zugangskontrollen, beispielsweise das Durchziehen von Karten sowie Bewegungsmelder und Kameras, um Zugangsmuster und -aktivitäten zu überwachen, zu melden und aufzuzeichnen.
- Netzwerksicherheitslösungen implementieren: Nutzung von Netzwerk-Perimeter- und Segment-Sicherheitslösungen wie Firewalls, Systeme zur Erkennung und Verhinderung von unbefugtem Eindringen sowie Gateways und Lösungen zur Verhinderung von Datenverlusten. So kann verdächtiger Datenverkehr, der möglicherweise eine Insider-Bedrohung bedeutet, erkannt werden und Informationen dazu analysiert werden. Dadurch können ungewöhnliche Aktivitäten außerhalb der Geschäftszeiten, auffällige Volumina ausgehender Aktivitäten sowie die Nutzung von Remote-Verbindungen leichter erkannt werden.
- Lösungen für Endpunktsicherheit umsetzen: Einsatz etablierter Endpoint-Sicherheitslösungen wie z. B. wichtige Bestandsinventuren, Richtlinien für Wechselmedien, Geräteverschlüsselungs- und FIM-Tools (File Integrity Monitoring), um nutzerbezogene Aktivitäten abzuwehren, zu überwachen, zu verfolgen, zu sammeln und zu analysieren.
- Maßnahmen für Datensicherheit anwenden: Eigentumsverhältnisse, Klassifizierung und Schutz von Daten sowie ihre fachgerechte Entsorgung sicherstellen, den Datenlebenszyklus verwalten und Vertraulichkeit, Integrität und Verfügbarkeit unter Berücksichtigung von Insiderbedrohungen aufrechterhalten.
- Maßnahmen für Identitäts- und Zugangsmanagement anwenden: Implementierung von Identitäts-, Zugangs- und Authentifizierungs-Management, um den Zugriff auf die Unternehmensumgebung einzuschränken und diese zu schützen. Dies kann durch den Einsatz einer PAM-Lösung (Privileged Access Management) für privilegierten Zugriff noch eine Stufe weitergeführt werden.
- Incident-Management einrichten: Entwicklung von Prozessen für das Incident-Management einschließlich eines Insider Threat Playbooks mit geschulten Experten zur Behandlung des Vorfalls, gestalten das Bewältigen von Insider-Bedrohungsaktivitäten effizienter und effektiver.
- Digitale Forensik-Dienste aufrechterhalten: Unternehmen sollten ein Investigative Response Team bereithalten, das in der Lage ist, in heiklen und persönlichen (oder Benutzerkonto-bezogenen) Cybersicherheitsvorfällen das komplette Spektrum an tiefgreifenden Untersuchungen durchzuführen, also die Analyse von Protokollen, Dateien, Endpunkten und Netzwerkverkehr.
[1] Der Insider Threat Report von Verizon ist unter diesem Link abrufbar. https://enterprise.verizon.com/resources/reports/verizon-threat-research-advisory-center/
90 search results for „Insider Bedrohung“
AUSGABE 1-2-2019 | SECURITY SPEZIAL 1-2-2019 | NEWS | IT-SECURITY | TIPPS
Insider-Bedrohungen – Echte Detektivarbeit für die IT
Eine der häufigsten Bedrohungen für die Unternehmenssicherheit sind Gefahren, die auf interne Mitarbeiter und lokale Dienstleister mit erhöhten Benutzerrechten zurückgehen. Aktuellen Studien zufolge vertrauen Unternehmen ihren Vertragspartnern zu sehr und unterschätzen, welche Gefahren von innen kommen. Wie lösen Unternehmen diesen kniffligen Fall?
NEWS | IT-SECURITY | KÜNSTLICHE INTELLIGENZ | LÖSUNGEN | ONLINE-ARTIKEL | STRATEGIEN | TIPPS
Abwehr von Insider-Bedrohungen mit User and Entity Behavior Analysis auf Basis von Machine Learning
Beim Stichwort Cyberbedrohung denkt man häufig an großangelegte Malware-Angriffe wie Ransomware, mit denen Kriminelle versuchen, das Firmennetzwerk zu kompromittieren. Unterschätzt wird jedoch oft eine Gefahr, die bereits im Firmengebäude sitzt: Die Insider-Bedrohung. Insider – seien es unachtsame Angestellte oder böswillige Mitarbeiter, die aus finanziellen oder persönlichen Motiven Daten stehlen oder gar löschen – sind ein…
NEWS | TRENDS SECURITY | TRENDS INFRASTRUKTUR | BUSINESS PROCESS MANAGEMENT | TRENDS CLOUD COMPUTING | CLOUD COMPUTING | TRENDS KOMMUNIKATION | TRENDS SERVICES | GESCHÄFTSPROZESSE | TRENDS 2017 | IT-SECURITY | KOMMUNIKATION | RECHENZENTRUM | SERVICES
Insider- und Drittanbieterzugriffe als Hauptbedrohung für Unternehmenssicherheit
Sicherheitsstudie »2017 Secure Access Threat Report« [1] zeigt, dass Organisationen weiterhin zu viele ungesicherte, privilegierte Zugriffe von innen und außen auf kritische IT-Systeme und Daten zulassen. IT-Sicherheit: Pro Woche haben durchschnittlich 181 Drittanbieter privilegierten Zugriff auf Unternehmensnetze — mehr als doppelt so viel wie im Vorjahr. Bomgar, Enterprise-Anbieter für sichere Zugriffslösungen, hat in der…
NEWS | TRENDS SECURITY | TRENDS INFRASTRUKTUR | TRENDS CLOUD COMPUTING | DIGITALE TRANSFORMATION | EFFIZIENZ | INFRASTRUKTUR | TRENDS 2017 | IT-SECURITY | STRATEGIEN
Mainframes gelten als besonders sicher, doch bleiben Insiderbedrohungen vielerorts ein weißer Fleck
In Deutschland vertrauen 76 Prozent der Unternehmen einseitig auf Logdateien – und setzen sich damit selbst der Gefahr von Datenlecks aus. Laut einer internationalen CIO-Umfrage halten hierzulande 72 Prozent der IT-Verantwortlichen ihre Mainframerechner für sicherer als andere IT-Systeme [1]. Gleichzeitig gehen 85 Prozent der deutschen Studienteilnehmer von signifikanten Insiderrisiken aufgrund mangelnder Transparenz bei Datenzugriffen auf…
NEWS | TRENDS 2015 | INFOGRAFIKEN | IT-SECURITY | LÖSUNGEN | PRODUKTMELDUNG
Maschinelles Lernen zum Schutz vor Insider-Bedrohungen nutzen
Eine neue Sicherheitslösung berücksichtigt die Entwicklung des Datendiebstahls und -verlustes durch gefährdete, kompromittierte sowie unvorsichtige Nutzer. Die mehrschichtige Sicherheitslösung Imperva CounterBreach wurde speziell für Unternehmen entwickelt, die ihre Daten gegen gefährdete, kompromittierte und unvorsichtige Nutzer schützen müssen. Die Sicherheitslösung nutzt maschinelles Lernen zur Analyse, wie Nutzer auf Daten zugreifen, um auf gefährlichen Datenzugriff und gefährliche…
NEWS | IT-SECURITY | KOMMENTAR | TIPPS
Gezielte Angriffe: Wie beruflich genutzte soziale Netzwerke zur Insider-Bedrohung werden
Ein Kommentar von Sicherheitsexperte Udo Schneider [1]. Online-Gangster und -Betrüger lieben soziale Netzwerke über alles. Schließlich geben dort Menschen völlig Fremden gegenüber so viel preis, dass Cyberkriminelle leichtes Spiel haben, ihre Opfer in die Falle zu locken. Ein authentisch klingender Post, der zum Beispiel einen Link zum Lieblingsgericht eines Nutzers enthält – und schon ist…
NEWS | TRENDS SECURITY | TRENDS INFRASTRUKTUR | BUSINESS PROCESS MANAGEMENT | TRENDS KOMMUNIKATION | GESCHÄFTSPROZESSE | TRENDS 2018 | IT-SECURITY | SERVICES
IT-Sicherheit: Insider und externe Dienstleister bereiten die größten Sorgen
Nur weniger als 35 % der IT-Security-Experten sind zuversichtlich, dass sie über die technischen Fähigkeiten zur Erkennung von Bedrohungen durch Mitarbeiter mit privilegierten Zugriffsrechten verfügen. 75 % der Verantwortlichen verzeichnen eine höhere Zahl an Drittanbietern mit Zugriffsrechten auf ihre Netze im Vergleich zum Vorjahr — 33 % der Verantwortlichen konstatieren, dass sie zu wenig Zeit…
NEWS | TRENDS SECURITY | TRENDS 2017 | IT-SECURITY
Bedrohungstrends: Zurück in die Zukunft
Angriffe mit schädlichen URLs sind mit neuem Schwung zurück. Ransomware führt die Rangliste an. Betrüger imitieren vertrauenswürdige Marken in E-Mails, Social Media und im Web. Das sind einige der wichtigsten Trends im 3. Quartal 2017 wie sie im Proofpoint-Bedrohungsbericht enthalten sind. Dieser Thread Report kommt zu einer Reihe doch eher kritisch zu bewertender Ergebnisse: Das…
NEWS | TRENDS SECURITY | TRENDS KOMMUNIKATION | IT-SECURITY | KOMMUNIKATION
Für Attacken auf Telekommunikationsanbieter werden Insider rekrutiert oder erpresst
Cyberkriminelle setzen auf Insider in Unternehmen, um Zugang zu Telekommunikationsnetzen und Kundendaten zu erhalten. Die Methode: Unzufriedene Angestellte werden über Untergrundkanäle angeworben oder Mitarbeiter über kompromittierende Informationen – aus öffentlich zugänglichen Quellen – erpresst. Das geht aus einem Bericht von Kaspersky Lab über Cyberbedrohungen für die Telekommunikationsbranche [1] hervor. Telekommunikationsanbieter sind ein sehr begehrtes Ziel…
INFRASTRUKTUR | IT-SECURITY | AUSGABE 7-8-2016
Daten- und Informationssicherheit – Interne IT-Bedrohungen entdecken und aktiv abwehren