Anzeige

Insider Bedrohung

Bedrohungen durch „Insider“ treiben vielen IT-Sicherheits-Abteilungen den Angstschweiß auf die Stirn. Und dies auch zurecht, denn sie sind bereits fest in der Unternehmens-IT verankert.

Sie stellen deswegen nach einer Kompromittierung ein besonders hohes Risiko dar, weil sie von normalen Sicherheitsmechanismen, die sich nach außen richten, kaum erkannt werden können. Es ist also schwierig, sich mit traditionellen Mitteln vollständig gegen Insider-Bedrohungen abzusichern. Um sich gegen Insider-Bedrohungen zu wappnen und um aufzudecken, was innerhalb der Organisation passiert, benötigen Organisationen die richtigen Strategien und technischen Lösungen, die über die traditionellen Methoden der IT-Sicherheit hinausgehen.

Dreiviertel aller Sicherheitsverletzungen durch Insider-Bedrohungen

Schaut man sich an, welche Bedrohungen letzten Endes erfolgreich sind und es schaffen in die IT eines Unternehmens einzudringen, dann sind Insider-Bedrohungen keinesfalls ein zu vernachlässigendes Risiko. Laut dem Information Risk Research Team von Gartner sind Insider-Bedrohungen tatsächlich für 50-70 Prozent aller Sicherheitsvorfälle verantwortlich, und bei Sicherheitsverletzungen im Speziellen sind Insider für drei Viertel davon verantwortlich.

Die Folgen können gravierend sein: Das Ponemon Institute schätzt, dass Insider-Bedrohungen pro Jahr und betroffenem Unternehmen 8,76 Millionen Dollar kosten. Dies liegt nicht zuletzt daran, dass es im Durchschnitt 280 Tage dauert, um jeden Verstoß zu identifizieren und einzudämmen - ein beängstigendes Szenario für jedes Unternehmen.

Die drei Hauptformen der Insider-Bedrohungen

Das berühmteste Beispiel einer Insider-Bedrohung ist sicherlich Edward Snowden.
Aber seine Aktivitäten, auch wenn sie am bekanntesten sind, sind keineswegs typisch für die Szenarien, mit denen die meisten Organisationen konfrontiert sind, insbesondere im kommerziellen Kontext. In der Mehrzahl der Fälle nehmen Insider-Bedrohungen drei Hauptformen an: „Versehentliche“, „kompromittierte“ oder „böswillige“ Insider.

1. Wie der Name schon sagt, ist der "böswillige" Insider typischerweise ein Angestellter oder Auftragnehmer, der Informationen stiehlt. Edward Snowden ist hierfür das wohl berühmteste Beispiel, wobei viele andere böswillige Insider Informationen nicht als Whistleblower sondern für finanziellen Gewinn erbeuten, wie etwa die Diebe der Schweizer Bankdaten vor einigen Jahren.

2. Der "kompromittierte" Insider wird von vielen als die problematischste Form angesehen, da diese Person in der Regel nichts weiter getan hat, als unschuldig auf einen Link zu klicken oder ein Passwort einzugeben. Dies ist oft das Ergebnis von Phishing-Kampagnen, bei denen Benutzern ein Link zu einer authentisch aussehenden Website präsentiert wird, um sie zur Eingabe von Anmeldeinformationen oder anderen sensiblen Daten zu bewegen.

3. Und alternativ, aber nicht weniger gefährlich, ist der "versehentliche" oder "fahrlässige" Insider. Diese Insider zu entlarven kann eine besondere Herausforderung darstellen, denn unabhängig davon, wie viel Sorgfalt Unternehmen und Mitarbeiter auf die Cybersicherheit verwenden, passieren Fehler.

Über Schulungen hinaus gibt es technologische Möglichkeiten der Abwehr

Um solche einfachen aber im schlimmsten Fall sehr weitreichenden Fehler zu vermeiden, nutzen viele Organisation bereits intensiv Schulungen um das Bewusstsein ihrer Mitarbeiter in dieser Richtung zu erhöhen. Zweifelsohne können einige versehentliche und kompromittierte Insider-Angriffe verhindert werden, indem Endanwender einfach darin geschult werden, Phishing-Versuche zu erkennen und zu vermeiden. Doch auch über Schulungen hinaus gibt es technologische Möglichkeiten, die sich auf das Benutzerverhalten konzentrieren, um sich besser gegen Insider-Bedrohungen zu schützen.

User and Entity Behavior Analysis (UEBA)

Die Nutzung von traditionellen, nur nach Außen gerichteten Cybersecuritylösungen erzeugt einen sehr großen blinden Fleck. Um die vielschichtigen Herausforderung von Insider-Bedrohungen anzugehen, benötigen Sicherheitsteams die technologische Infrastrukturen und Tools, um das gesamte Bild und damit alle Bedrohungen zu sehen – auch die von Innen. Hier hilft User and Entity Behaviour Analysis (UEBA), also die Analyse des Verhaltens von Nutzern und Entitäten.Durch das Verständnis typischer Verhaltensweisen können Sicherheitsteams leichter erkennen, wenn ein Problem auftritt. Entsprechende Lösungen, die auf KI und maschinellem Lernen basieren, werden bereits von vielen Organisationen für einen effektiven, proaktiven Schutz eingesetzt.

Fazit: Proaktive Strategie mit Analytics erhöht die Sicherheit dramatisch

Organisationen benötigen die technologische Infrastruktur und Werkzeuge, um das gesamte Bild von Bedrohungen zu sehen. Moderne SOCs nutzen deshalb User and Entity Behaviour Analysis (UEBA) innerhalb ihrer SIEM-Systeme um sich auch von innen heraus gegen menschliches Versagen, Nachlässigkeit und böswillige Insider zu schützen. Kombiniert mit Schulungen kann eine solche proaktive Strategie den blinden Fleck nach Innen dramatisch verkleinern und viele Insider-Bedrohungen frühzeitig erkennen.

Egon Kando, Regional Sales Director Central & Eastern Europe
Egon Kando
Regional Sales Director Central & Eastern Europe, Exabeam

Artikel zu diesem Thema

Cyber Security
Feb 19, 2021

Vertraue niemandem - Das Zero-Trust-Security-Modell

Mit der steigenden Bedrohungslandschaft und erhöhten Anforderungen an die Datensicherheit…
2021 Schlüssel Sicherheit
Jan 07, 2021

IT-Security-Prognosen 2021

Für das Jahr 2021 wird weiterhin eine steigende Cybergefahr für das Gesundheitswesen und…

Weitere Artikel

Cyber Security

Wenige Branchen fühlen sich Herausforderungen der IT-Sicherheit gewachsen

Mit der zunehmenden Vernetzung und Digitalisierung wächst das Bedrohungspotenzial von Cyberattacken erheblich und das Risiko von Datenverlust und Datenmanipulation ist hoch. Wenige Branchen fühlen sich im Bereich IT-Sicherheit gut vorbereitet.
Cyber Security

So schützt sich die deutsche Wirtschaft gegen Diebstahl und Spionage

Diebstahl, Spionage und Sabotage können jedes Unternehmen treffen und zu einer existenziellen Gefahr werden. Doch nur die Hälfte der Betriebe im Land verfügt über geregelte Abläufe und Sofort-Maßnahmen, also ein Notfallmanagement, für den Ernstfall.
Cyber Security

3 aktuelle Faktoren, die die IT-Security beeinflussen

Der Oktober steht ganz im Zeichen der Cybersecurity, um Nutzer daran zu erinnern, im Internet vorsichtig mit ihren Daten umzugehen. Nie war diese Warnung so nötig wie heute – immer mehr Menschen nutzen immer mehr digitale Dienste.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.