Insider-Bedrohungen und wie Unternehmen sich davor besser schützen können

Immer noch befindet sich eine der größten Sicherheitsbedrohungen, denen Unternehmen derzeit ausgesetzt sind, bereits im eigenen Netzwerk. Insider-Bedrohungen sind nach wie vor schwer zu erkennen, traditionelle Sicherheitstechniken verfangen hier nicht. Jedes Unternehmen, dem der Schutz seiner Marke und seiner Reputation am Herzen liegen, sollte die von Insidern ausgehenden Gefahren nicht unterschätzen. Unabhängig davon, ob es sich um böswillig agierende Innentäter handelt oder ob einem Mitarbeiter versehentlich ein Fehler unterlaufen ist. Der potenzielle Schaden, der durch die Offenlegung vertraulicher Daten oder den Diebstahl geistigen Eigentums entsteht, ist immens.

Leaks wie der von Edward Snowden oder die Datenschutzverletzung bei Capital One haben viel Medieninteresse auf sich gezogen und Unternehmen sensibilisiert. Vorfälle mit Insider-Bedrohungen passieren jeden Tag, und selbst diejenigen, die es nicht in die Schlagzeilen »schaffen«, haben möglicherweise finanziellen Schaden oder einem ramponierten Ruf zur Folge.

Umfragen bestätigen, dass Insider-Bedrohungen großen Anlass zur Besorgnis geben. Laut Insider Threat Report 2019 der Cybersecurity Insiders, fühlen sich 68 % der Unternehmen anfällig für Insider-Bedrohungen, 73 % gehen davon aus, dass Insider-Angriffe immer häufiger auftreten.

 

Verschiedene Arten von Insider-Bedrohungen

Es gibt drei Haupttypen von Insidern, die jeder für sich ein potenzielles Risiko sind. Der fahrlässige Insider ist ein Mitarbeiter oder Auftragnehmer, der aufgrund schlechter Sicherheitspraktiken versehentlich Daten offengelegt oder weitergegeben hat. Der Typus des »selbstgefälligen« Insiders ist ein Mitarbeiter oder Auftragnehmer, der wissentlich Richtlinien und Verfahren ignoriert. Böswillige Insider schließlich sind diejenigen Mitarbeiter, die absichtlich Daten kompromittieren. Es ist weitaus wahrscheinlicher, dass Unternehmen Opfer eines fahrlässigen oder selbstgefälligen Insiders werden als eines mutwillig agierenden Innentäters. Die allerdings sind weitaus gefährlicher. Sie sind in der Regel hoch motiviert und treffen besondere Vorkehrungen, um möglichst lange unentdeckt zu bleiben.

 

Schutz vor Insider-Bedrohungen

Unternehmen kämpfen vor allem damit, die von Insidern ausgehenden Risiken einzugrenzen. Um ein Problem zu lösen, muss man zunächst die richtige Diagnose stellen. Das gilt auch für Unternehmen, die Insider-Risiken eingrenzen wollen. Alles beginnt mit der an sich simplen, aber nicht so leicht zu beantwortenden Frage – welche Assets in Form von Daten, geistigem Eigentum, finanziellen oder physischen Ressourcen für ein Unternehmen am wertvollsten sind und welche davon entscheidend für die Geschäftstätigkeit? Der erste Schritt muss es sein, die Risikobereitschaft eines Unternehmens zu bewerten und die wertvollsten Assets zu identifizieren. Kundenorientierte Unternehmen legen größten Wert darauf, in erster Linie den Ruf der Marke zu schützen, während andere den Schutz des geistigen Eigentums priorisieren. Je nachdem wie Unternehmen diese Fragen für sich beantworten, bildet das die Grundlage für ein Insider-Threat-Programm.

 

Insider-Bedrohungen gemeinsam angehen

Sobald Unternehmen wissen, was genau sie schützen wollen, ist es ratsam, eine Arbeitsgruppe rund um das Thema für Insider-Bedrohungen (Insider Threat Working Group = ITWG) zu bilden. Diese Gruppe besteht in der Regel aus Vertretern unterschiedlicher Abteilungen, um einen Konsens zwischen Abteilungen wie Personal, Recht, Compliance, IT-Risiko und den Fachbereichen zu erzielen. Das Team definiert dann gemeinsam die »Risikobereitschaft«, also den sicherheitstechnischen Toleranzbereich eines Unternehmens. Daneben fällt es in den Aufgabenbereich einer ITWG, Mitarbeiter über die Wichtigkeit grundlegender Sicherheitsmaßnahmen aufzuklären und wie man Insider-Bedrohungen erkennen kann.

Technologien allein lösen nicht das Problem. Unternehmen, die sich lediglich auf die technischen Aspekte konzentrieren, sind letztendlich zum Scheitern verurteilt. Ein Team, das sich mit dem Thema Insider-Bedrohungen befasst, sollte sowohl technische als auch nicht-technische Mitarbeiter an einen Tisch bringen. Letztere haben oft ein klareres Verständnis der Unternehmenskultur und des Betriebsmodells. Ein taugliches Insider-Threat-Programm kombiniert Menschen, Prozesse und Technologien. Die erfolgreichsten Programme stellen sicher, dass jeder Mitarbeiter sich seiner Rolle bei der Prävention und Reduzierung von Cyberbedrohungen bewusst ist. Ein effektives Engagement der Mitarbeiter bietet die Möglichkeit, dass Mitarbeiter mehr für ihr Unternehmen tun. Sie werden sich folglich eher mit den Sicherheitszielen des Unternehmens identifizieren und aktiv Fehler vermeiden wollen, die zu einer Datenschutzverletzung durch Insider führen können.

 

Unterstützende Technologien

Die meisten mittleren und großen Unternehmen überwachen Insider mithilfe von DLP- (Data Loss Prevention) oder PAM-Systemlösungen (Privileged Access Management). Trotzdem kämpfen sie weiterhin damit, die Risiken von Insider-Bedrohungen tatsächlich zu senken. So sehr es auch nach Klischee klingen mag, sie Problematik ist mit Technologie/n allein nicht in den Griff zu bekommen. Menschen und Prozesse müssen so zusammenspielen, dass sie der Eigenart des Unternehmens auch gerecht werden.

Hat man Richtlinien und Verfahren festgelegt, sollte man sich für die Technologie entscheiden, die den Anforderungen des Programms am besten entspricht. Beispielsweise hat sich eine UEBA-Technologie (User and Entity Behavior Analytics) mit einer SIEM-ähnlichen Funktionalität als praktikabel beim Erkennen und Verhindern von Insider-Bedrohungen als effektiv erwiesen. Ein Insider Threat Programm (ITP) entscheidend mit darüber, ob ein Unternehmen zukünftig resilienter gegen Insider-Bedrohungen sein will. Für ein erfolgreiches Insider-Threat-Programm haben sich beispielsweise SIEM-Tools mit einer automatisierten Bedrohungserkennung, sogenannten »Kill Chains« und integrierten Möglichkeiten zur Beseitigung der akuten Bedrohung bewährt.

 

Weitere wichtige Funktionen sind unter anderem:

  • Zentralisierte Protokolle, die eine Vielzahl technischer und nicht-technischer Indikatoren der Nutzungsaktivitäten aufzuzeichnen. In der Regel werden dazu je nach Zielsystem verschiedene Arten von Konnektoren und Collector-Typen verwendet.
  • Um die Datenanalyse etwa auf der Grundlage maschinellen Lernens vorzubereiten, sollte man zuvor Normal-/Ausgangswerte der betreffenden Benutzeraktivitäten ermitteln, aggregieren und zusammenzufassen. Integrierte Standardinhalte sollten so konzipiert sein, dass sie die grundlegenden Anforderungen des Unternehmens an die Überwachung von Insider-Bedrohungen erfüllen und gleichzeitig die Möglichkeit bieten, benutzerdefinierte Inhalte für branchenspezifische Anwendungsfälle zu erstellen.
  • Im Idealfall lassen sich speziell entwickelte Algorithmen für maschinelles Lernen auf bestimmte Fälle anwenden, um Insider-Bedrohungen zu erkennen. Der Erkennungsmechanismus kombiniert dann regelbasierte Auslöser von Datenschutzverletzungen mit Anomalien im Benutzerverhalten. Diese Kombination hat sich inzwischen als besonders wirksam erwiesen.

 

Die erfolgreichsten Programme entwickeln sich mit der Zeit. Wenn das Programm an Dynamik gewinnt, sind die Analyseergebnisse auch bei der Implementierung von IT-Kontrollen und Policy-Änderungen hilfreich. Das Ganze ist ein kontinuierlicher Prozess. Er speist sich aus dem Input von Mitarbeitern und der ITWG genauso wie aus den Resultaten, der zugrunde liegenden Sicherheitstechnologien. Unternehmen, die Cybersecurity solcherart in das Unternehmensgefüge einbinden, haben die besten Chancen, das Risiko von Insider-Bedrohungen zu senken.

Shareth Ben, securonix

 

153 Artikel zu „Insider Bedrohung“

Drei Tipps zum Schutz vor Insider-Bedrohungen

  Die Cybersicherheitslandschaft verändert sich ständig, aber eines ist in den letzten Jahren konstant geblieben: die stetig wachsende Zahl von Insider-Bedrohungen. Die jüngste Cybersicherheitsstudie von SolarWinds hat ergeben, dass interne Benutzerfehler in den letzten 12 Monaten mit 80 Prozent den weitaus größten prozentualen Anteil an Vorfällen im Zusammenhang mit der Cybersicherheit ausgemacht haben [1]. Während…

Elf Bausteine zur wirksamen Bekämpfung von Insiderbedrohungen

Organisationen behandeln Insiderbedrohungen häufig als Tabuthema. Nur zögerlich werden Mitarbeiter, die zu einer Bedrohung für das Unternehmen geworden sind, als solche wahrgenommen. Auch Meldungen und Maßnahmen gegen diese Personen erfolgen zögerlich. Es scheint beinahe so, als ob Insiderbedrohungen ein blinder Fleck innerhalb von Prozessen im Management seien.   Der Verizon Insider Threat Report zielt darauf,…

Cyberkriminalitäts-Analyse fokussiert sich auf Bedrohungen durch Insider

  Die Data Breach Investigations Report (DBIR)-Serie von Verizon gibt Einblicke in die Welt der Cyberkriminalität. Jetzt wurde die Analyse von Daten und Vorfällen neu ausgerichtet und fokussiert sich auf die Rolle von Insidern. Daraus entstanden ist der Verizon Insider Threat Report [1]. 20 Prozent der im Rahmen des Verizon 2018 DBIR erfassten Cybersicherheitsvorfälle und…

Insider-Bedrohungen – Echte Detektivarbeit für die IT

Eine der häufigsten Bedrohungen für die Unternehmenssicherheit sind Gefahren, die auf interne Mitarbeiter und lokale Dienstleister mit erhöhten Benutzerrechten zurückgehen. Aktuellen Studien zufolge vertrauen Unternehmen ihren Vertragspartnern zu sehr und unterschätzen, welche Gefahren von innen kommen. Wie lösen Unternehmen diesen kniffligen Fall?

Abwehr von Insider-Bedrohungen mit User and Entity Behavior Analysis auf Basis von Machine Learning

Beim Stichwort Cyberbedrohung denkt man häufig an großangelegte Malware-Angriffe wie Ransomware, mit denen Kriminelle versuchen, das Firmennetzwerk zu kompromittieren. Unterschätzt wird jedoch oft eine Gefahr, die bereits im Firmengebäude sitzt: Die Insider-Bedrohung. Insider – seien es unachtsame Angestellte oder böswillige Mitarbeiter, die aus finanziellen oder persönlichen Motiven Daten stehlen oder gar löschen – sind ein…

Insider- und Drittanbieterzugriffe als Hauptbedrohung für Unternehmenssicherheit

Sicherheitsstudie »2017 Secure Access Threat Report« [1] zeigt, dass Organisationen weiterhin zu viele ungesicherte, privilegierte Zugriffe von innen und außen auf kritische IT-Systeme und Daten zulassen. IT-Sicherheit: Pro Woche haben durchschnittlich 181 Drittanbieter privilegierten Zugriff auf Unternehmensnetze — mehr als doppelt so viel wie im Vorjahr.   Bomgar, Enterprise-Anbieter für sichere Zugriffslösungen, hat in der…

Mainframes gelten als besonders sicher, doch bleiben Insiderbedrohungen vielerorts ein weißer Fleck

In Deutschland vertrauen 76 Prozent der Unternehmen einseitig auf Logdateien – und setzen sich damit selbst der Gefahr von Datenlecks aus. Laut einer internationalen CIO-Umfrage halten hierzulande 72 Prozent der IT-Verantwortlichen ihre Mainframerechner für sicherer als andere IT-Systeme [1]. Gleichzeitig gehen 85 Prozent der deutschen Studienteilnehmer von signifikanten Insiderrisiken aufgrund mangelnder Transparenz bei Datenzugriffen auf…

Maschinelles Lernen zum Schutz vor Insider-Bedrohungen nutzen

Eine neue Sicherheitslösung berücksichtigt die Entwicklung des Datendiebstahls und -verlustes durch gefährdete, kompromittierte sowie unvorsichtige Nutzer. Die mehrschichtige Sicherheitslösung Imperva CounterBreach wurde speziell für Unternehmen entwickelt, die ihre Daten gegen gefährdete, kompromittierte und unvorsichtige Nutzer schützen müssen. Die Sicherheitslösung nutzt maschinelles Lernen zur Analyse, wie Nutzer auf Daten zugreifen, um auf gefährlichen Datenzugriff und gefährliche…

Whitepaper zu konsistenter Bedrohungsjagd – Umgebungen einheitlich betrachten um Eindringlinge zu erkennen

Das SANS Institute hat im Auftrag von Vectra ein Whitepaper mit dem Titel »Threat Hunting with Consistency« veröffentlicht. Das Whitepaper stellt einen alternativen Ansatz für die Bedrohungssuche vor. Dieser Ansatz setzt voraus, die MITRE ATT&CK Matrix als Vokabular zu verwenden, um den Kontext zu umreißen. Dies bedeutet, zunächst anhand von übergeordneten Begriffen für bestimmte Verhaltensweisen…

E-Mail-basierte Bedrohungen treffen Organisationen dort, wo es sehr schmerzt – beim Geld

Trotz einer Vielzahl an neuen Kommunikationstechnologien steht die altbewährte E-Mail sowohl bei Unternehmen als auch Privatpersonen immer noch hoch im Kurs. Sei es für einfache Nachrichten, Newsletter oder internen Unternehmensdaten. Schätzungen zufolge wurden im Jahr 2019 täglich rund 293,6 Milliarden E-Mails versendet. Ein Großteil davon ist allerdings Spam. Die Varianten sind zahlreich – vom nigerianischen…

Cloud-Sicherheit durch Insider-Attacken gefährdet

Die Cloud macht Insider-Attacken leichter und zudem schwerer erkennbar.   Die Ergebnisse einer Studie von Cybersecurity Insiders in Zusammenarbeit mit Securonix, zeigen, dass die Cloud Unternehmen nicht nur anfälliger für Insider-Bedrohungen macht, sondern diese auch wesentlich schwieriger zu erkennen sind. Laut Angaben von 39 % der im Rahmen des 2019 Insider Threat Report befragten Cybersecurity-Fachkräfte…

Cybersicherheit: größere Zuversicht trotz gleichbleibend hohem Bedrohungsniveau

98 Prozent der befragten deutschen Unternehmen berichten von Sicherheitsverletzungen, Hauptursache sind Phishing-Angriffe.   Carbon Black, Anbieter von Cloud-nativen Lösungen für den Schutz von Endpoints, gibt die Ergebnisse seines zweiten Threat Reports für Deutschland bekannt. Für den Carbon Black Threat Report wurden weltweit gut 2000 CIOs, CTOs und CISOs befragt, davon 256 aus ganz Deutschland. Die…

Cyberbedrohungen im Gesundheitswesen unter der Lupe

Angesichts der vielfältigen Bedrohungsszenarien in Klinikumgebungen ist ein neuer Sicherheitsansatz erforderlich. Die Technologie im Gesundheitswesen ist aktuell gekennzeichnet durch Vernetzung smarter medizinischer Geräte und Digitalisierung von Patientenakten. Der schnelle Ausbau der digitalen Datenumgebung führt gleichzeitig dazu, dass eine enorme Menge an sensiblen Gesundheitsdaten produziert, bewegt und gespeichert wird. Durch die voranschreitende Vernetzung und Digitalisierung wächst…