Anzeige

Insider Threat

Interne Bedrohungen nehmen viele Formen an: vom abgelenkten Mitarbeiter, der grundlegende Sicherheitsmaßnahmen nicht befolgt, bis hin zum böswilligen Kollegen, der absichtlich versucht, einer Organisation zu schaden. 

Einige Bedrohungen können auf einen einfachen Fehler zurückzuführen sein, andere auf einen persönlichen Rachefeldzug. Manche Insider arbeiten allein, andere auf Geheiß eines Konkurrenten oder gar eines ausländischen Staates. 

Was auch immer die Methoden oder die Motive sein mögen, die Folgen einer solchen Bedrohung können verheerend sein. Die durchschnittlichen Kosten für einen einzigen durch Fahrlässigkeit hervorgerufenen Insider-Vorfall übersteigen aktuell 300.000 US-Dollar. Bei einem kriminellen oder böswilligen Angriff erhöht sich dieser Betrag auf über 755.000 US-Dollar und im Falle eines Diebstahls von Zugangsdaten gar auf 871.000 US-Dollar. 

Im Gegensatz zu vielen anderen Angriffsarten kommt es bei Insider-Bedrohungen nur selten zu einer einmaligen Attacke mit kurzfristigen Folgen. Je länger eine Bedrohung unentdeckt bleibt, desto mehr Schaden kann sie einer Organisation zufügen. Doch je besser IT-Verantwortliche die eigenen Mitarbeiter – ihre Motivationen sowie ihren Umgang mit Daten und Netzwerken – verstehen, desto früher können potenzielle Bedrohungen erkannt und eingedämmt werden. 

Die Beweggründe von Insidern

Interne Bedrohungen lassen sich grob in zwei Kategorien einteilen – fahrlässig und böswillig. Innerhalb dieser Kategorien gibt es eine ganze Reihe von potenziellen Motiven. 

Da sich die Dynamik eines Angriffs je nach Motivation erheblich unterscheiden kann, ist ein umfassendes Verständnis dieser Motive von grundlegender Bedeutung. Es kann den entscheidenden Unterschied zwischen einer potenziellen Bedrohung und einem erfolgreichen Angriff ausmachen. 

Finanzieller Gewinn

Finanzielle Motive stellen vermutlich die häufigsten Beweggründe böswilliger Insider dar. Mitarbeiter aller Hierarchieebenen wissen genau um den Wert von Unternehmensdaten und sensiblen Informationen – dieser kann mitunter sehr hoch sein. Einem Mitarbeiter, der Zugang zu Daten eines Unternehmens hat, kann das Risiko minimal erscheinen, für eine beträchtliche Summe unberechtigten Dritten Zugang zu diesen Informationen zu gewähren.  

In der aktuellen Situation verschärft die Corona-Pandemie diese Form von Bedrohung noch. Millionen von Menschen auf der ganzen Welt spüren bereits finanzielle Auswirkungen der Pandemie. Viele haben schon ihren Arbeitsplatz verloren oder sorgen sich um einen eventuell eintretenden Jobverlust. Was für die Betroffenen einst eine unvorstellbare Handlung zu sein schien, kann sich ihnen nun als eine schnelle Problemlösung darstellen. 

Fahrlässigkeit 

Fahrlässigkeit ist die häufigste Ursache interner Bedrohungen und kostet Organisationen durchschnittlich 4,58 Millionen US-Dollar pro Jahr. Eine fahrlässige Bedrohung ergibt sich in der Regel aus der Nichtbeachtung gängiger Sicherheitsmaßnahmen wie dem nicht ordnungsgemäßen An- und Abmelden bei Systemen des Unternehmens, dem Aufschreiben oder Wiederverwenden von Passwörtern, der Verwendung nicht autorisierter Geräte oder Anwendungen und mangelndem Schutz von Unternehmensdaten. 

Bei fahrlässigen Insidern handelt es sich oft um Wiederholungstäter, die Sicherheitsmaßnahmen umgehen, um schneller, produktiver oder einfach nur bequemer ihrer Tätigkeit nachgehen zu können. 

Abgelenkte Mitarbeiter

Auch abgelenkte Mitarbeiter können in die Kategorie Fahrlässigkeit fallen, dennoch lohnt es sich, diesen Aspekt gesondert hervorzuheben, da diese Art von Bedrohung schwieriger zu erkennen sein kann. 

Während fahrlässig handelnde Mitarbeiter bei den Sicherheitsverantwortlichen regelmäßig die Alarmglocken erklingen lassen, da sie immer wieder bewährte Sicherheitsmaßnahmen ignorieren, kann ein abgelenkter Insider bis zum Moment, in dem er einen Fehler macht, ein geradezu vorbildlicher Mitarbeiter gewesen sein. Das Risiko von Ablenkungen ist derzeit besonders hoch, da eine bislang ungekannte Zahl von Mitarbeitern ihrer Tätigkeit im Homeoffice nachgeht. Viele von ihnen sind zum ersten Mal mit dieser Form des Arbeitens konfrontiert und sind häufig dazu gezwungen, Arbeit und private Aktivitäten wie die Kinderbetreuung unter einen Hut zu bringen. Außerhalb der gewohnten Büroumgebung und teilweise abgelenkt durch Familie und Mitbewohner daheim, legen sie gegebenenfalls andere Verhaltensweisen an den Tag, sind entspannter und neigen dazu, auf bösartige Links zu klicken oder die üblichen Sicherheitsvorkehrungen zu umgehen.

Organisatorischer Schaden

Im Falle einiger böswilliger Insider geht es jedoch nicht um persönlichen Profit. Ihr einziges Ziel ist es, Ihrer Organisation Schaden zuzufügen. Die Zeitungsspalten sind voll von Berichten über die verheerenden Auswirkungen von Datenverstößen wie denen bei Adobe, LinkedIn oder Yahoo. Für jeden, der den Ruf oder die Finanzen eines Unternehmens treffen möchte, gibt es in der digitalen Welt keinen besseren Weg als die Weitergabe vertraulicher Kundendaten. 

Insider mit dieser Motivation hegen in der Regel einen Groll gegenüber ihrem Unternehmen. Dieser kann darin begründet sein, dass sie bei einer Gehaltserhöhung oder Beförderung übergangen wurden oder dass sie kürzlich disziplinarisch gemaßregelt wurden. 

Spionage und Sabotage

Darüber hinaus arbeiten böswillige Insider nicht immer allein. In einigen Fällen können sie Informationen an Dritte weitergeben, beispielsweise an einen Konkurrenten oder gar ausländische Regierungsstellen. Solche Fälle sind generell dem Bereich Spionage oder Sabotage zuzuordnen. Letztere liegt beispielsweise vor, wenn ein Konkurrent einen Angestellten einer fremden Organisation anwirbt, um an geistiges Eigentum, Forschungsergebnisse oder Kundendaten zu gelangen, um sich damit einen Vorteil zu verschaffen. Zuweilen kommt es auch vor, dass feindlich gesinnte Staaten Mitarbeiter von Unternehmen und Organisationen anheuern, um an Staatsgeheimnisse oder andere geheime Informationen zu gelangen. Ihr Ziel ist dabei, Informationen in die Hände zu bekommen, um einen anderen Staat zu destabilisieren. 

Fälle wie diese nehmen in den letzten Jahren zu. Hacker und Geheimdienste aus Russland, China und Nordkorea sind laut einschlägiger Erkenntnisse regelmäßig in Fälle von Insider-Attacken gegen westliche Organisationen verwickelt. 

Wirksame Verteidigung aus dem Inneren

Die Motive der Insider können die Methoden beeinflussen. Analog verhält es sich bei den angemessenen Gegenmaßnahmen. Wirksame Maßnahmen gegen Fahrlässigkeit dürften zwar einen raffinierten und vorsätzlich handelnden Insider, der Ihrer Organisation Schaden zufügen will, kaum abschrecken, dennoch sind sie ein wichtiger Schritt. Grundlage für jede Verteidigung gegen interne Bedrohungen sind umfassende Kontrollen. Organisationen müssen einen vollständigen Überblick über Ihre Netzwerke haben – wer sie nutzt und wer auf welche Daten zugreift. Diese Kontrollen sollten auch dazu herangezogen werden, den Zugang zu sensiblen Informationen auf einen engen Kreis privilegierter Benutzer zu beschränken. Ferner sollte die Übertragung von Daten aus Unternehmenssystemen restriktiv gehandhabt werden. 

Auf dieser Basis können weitere Ebenen zur Verteidigung implementiert werden, insbesondere, um spezifischen Bedrohungen entgegenzuwirken. Zum Schutz vor verärgerten Mitarbeitern können diese zusätzlichen Schutzvorkehrungen beispielsweise Filter umfassen, die bei der Unternehmenskommunikation eingesetzt werden, um risikoreiche Formulierungen zu vermeiden. Ferner können spezifische Kontrollmechanismen eingeführt werden, die auf Angestellte mit hohem Risiko angewendet werden, beispielsweise Mitarbeiter, die bereits disziplinarisch auffällig geworden sind oder die das Unternehmen in Kürze verlassen werden. 

Letztlich sollten bei jeder erfolgreichen Abwehrstrategie gegen interne Bedrohungen die eigenen Mitarbeiter im Zentrum der Betrachtung stehen. Dazu muss eine nachhaltige Sicherheitskultur etabliert werden. Das bedeutet, dass sich alle Anwender bewusst sein müssen, wie ihr Verhalten das eigene Unternehmen unbeabsichtigter Weise gefährden kann. Alle Angestellten müssen sich zudem darüber im Klaren sein, wie man Vorzeichen potenzieller Bedrohungen, gleich welcher Ursache, erkennen kann. Ferner sollten die schwerwiegenden Folgen betont werden, die eine absichtliche Gefährdung der Organisation nach sich ziehen kann, um ein entsprechendes Bewusstsein zu schaffen.

 

Michael Heuer, Vice President DACH
Michael Heuer
Vice President DACH, Proofpoint GmbH

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Smartphone Ablenkung
Sep 04, 2020

Smartphone lenkt Angestellte zwei Stunden ab

US-Angestellte lassen sich pro Tag durchschnittlich 2,5 Stunden lang von ihrem Smartphone…
Datensicherheit
Aug 06, 2020

Datensicherheit und Vertrauensinfrastruktur mit Remote-IT

Unternehmen jeder Größe, vom kleinsten Privatunternehmen bis zum größten öffentlichen…

Weitere Artikel

Hacker

Cyberkriminelle leiten immer mehr Gehaltszahlungen um

Proofpoint sieht einen dramatischen Anstieg im Bereich des genannten Payroll-Diversion-Betrugs. Allein die bei der US-Bundespolizei gemeldeten Fälle stiegen zwischen Januar 2018 und Juni 2019 um 815 Prozent. Bei dieser Betrugsform handelt es sich um eine Form…
Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!