Thought Leadership
Cyberkriminelle verstärken ihre Angriffe auf die Unternehmen immer weiter. Von Business Email Compromise (BEC), bei denen Mitarbeiter mittels gefälschter E-Mails zu bestimmten Aktivitäten verleitet werden sollen bis hin zu Malware gibt es eine Vielzahl von Bedrohungen, die einen erheblichen Schaden anrichten können.
Allerdings kommen nicht alle Angriffe aus externen Quellen – auch die eigenen Mitarbeiter können ein Risiko darstellen.
Diese Insider-Bedrohungen häufen sich zusehends. Laut einer Studie, die das Ponemon-Institut in Zusammenarbeit mit ObserveIT und IBM durchgeführt hat, ist die Häufigkeit von Insider-Bedrohungen in nur zwei Jahren um 47 Prozent gestiegen und Insider-Bedrohungen kosteten Organisationen 2019 31 Prozent mehr als im Jahr 2018.
Genau wie Bedrohungen von außen haben auch solche, die von innen kommen, das Potenzial, erheblichen Schaden anzurichten. Jedoch sind nicht alle Bedrohungen böswillig, die von internen Quellen stammen. Unbeabsichtigte Bedrohungen oder Risiken können beispielsweise die Installation nicht autorisierter Anwendungen oder die Verwendung schwacher oder wiederverwendeter Passwörter darstellen. Daher kann man bei der Häufigkeit von Insider-Bedrohungen von einer hohen Dunkelziffer ausgehen.
Ob nun menschliches Versagen oder böswillige Absichten zugrunde liegen, Bedrohungen von innen sind bekanntermaßen schwer abzuwehren. Der Angreifer befindet sich nicht nur bereits innerhalb des eigenen Netzwerks und damit des Abwehr-Perimeters, böswillige Insider können beispielsweise über einen privilegierten Zugang und Informationen verfügen und so einer Entdeckung aktiv entgehen.
Insider-Bedrohungen verstehen
Beim Aufbau einer Abwehr gegen Insider-Bedrohungen sollten IT-Sicherheitsverantwortliche der Maxime „vertraue niemandem“ folgen. Jedoch behindert dieser Ansatz natürlich den betrieblichen Informationsfluss, so dass ein allzu striktes Befolgen kaum förderlich für die Führung eines modernen Unternehmens ist. Glücklicherweise existieren auch weniger drastische Schritte, die Insider-Bedrohungen verhindern beziehungsweise aufdecken können.
Zunächst sollte genau verstanden werden, was einen Insider zu einer Bedrohung werden lässt. Die motivierenden Faktoren lassen sich im Allgemeinen in drei Kategorien einteilen:
- Unbeabsichtigt: Von der Installation nicht genehmigter Anwendungen über den Verlust des Firmenlaptops bis hin zur Wiederverwendung von Passwörtern können unachtsame Mitarbeiter eine ernsthafte Bedrohung darstellen.
- Emotional motiviert: Bedrohungen dieser Art stammen von Mitarbeitern, die einen persönlichen Rachefeldzug gegen das Unternehmen führen. Emotional motivierte, böswillige Insider können versuchen, dem Ruf ihres Arbeitgebers zu schaden, indem sie geschützte Informationen durchsickern lassen oder interne Systeme stören.
- Finanziell motiviert: Hier geht es darum, einen finanziellen Gewinn abzuschöpfen: etwa durch missbräuchliche Nutzung eines privilegierten Zugangs, indem sensible Daten nach außen gegeben werden oder durch den Verkauf des Zugangs zu internen Netzwerken. Finanziell motivierte Insider stören mitunter absichtlich interne Systeme, um damit den Aktienkurs des Unternehmens zu beeinflussen.
Insider-Bedrohungen können unabhängig von ihrer Intention auf jeder Ebene des Unternehmens auftreten. Hier sind besonders Aktivitäten, die auf den unteren Ebenen der Unternehmenshierarchie stattfinden, möglicherweise schwierig zu erkennen.
Während privilegierte Benutzer in der Regel genau überwacht werden, gilt das für die übrigen Mitarbeiter nicht immer. So haben letztere zwar Zugang zu sensiblen Daten, da sie diese für ihre tägliche Arbeit benötigen, werden aber selbst minimal überwacht. Daneben sind diese Arbeitnehmer mitunter weniger in die Sicherheitsmaßnahmen eingebunden und sind demzufolge auch weniger sensibilisiert. Dies steigert das Risiko einer unbeabsichtigten Insider-Bedrohung. Außerdem könnten diese Mitarbeiter im Falle böswilliger Kampagnen von Cyberkriminellen eher geneigt sein, gegen Bezahlung ihren Zugang zu Unternehmens-IT-Ressourcen weiterzugeben.
Warnzeichen erkennen
Angriffe von außen werden oft innerhalb von Stunden oder sogar Minuten entdeckt, Insider-Bedrohungen bleiben jedoch lange Zeit unentdeckt. Lediglich 10 Prozent der Insider-Angriffe fallen innerhalb von Tagen auf, während 40 Prozent bis zu fünf Jahre lang unbekannt bleiben. Entsprechend gilt es sich zum einen sich dieser Bedrohung bewusst zu werden und zum anderen entsprechend vorsichtig zu agieren. Zudem existieren einige Indikatoren, auf die die Sicherheitsteams der Unternehmen besonders achten sollten. Dazu zählt beispielsweise Nachlässigkeit bei der Umsetzung von Sicherheitsrichtlinien, etwa das Notieren oder Weitergeben von Passwörtern oder die Verwendung nicht zugelassener Anwendungen.
Während fahrlässiges Verhalten leicht erkennbar ist, verwischen böswillige Täter ihre Spuren. Daher sollten die Alarmglocken schrillen, wenn etwa Mitarbeiter auf ungewöhnliche Weise und ohne triftige Gründe Zugriff auf interne Systeme erlangen wollen. Auch plötzliche oder grundlos veränderte Arbeitszeiten können ein Indiz sein – besonders wenn es sich um verärgerte oder frustrierte Mitarbeiter handelt.
Weitreichende Verteidigungsmaßnahmen
Die Erkennung von und der Schutz vor Insider-Bedrohungen erfordern eine breite und robuste Verteidigung, eine umfassende Kombination von Instrumenten, Strategien und Ausbildung. So sollten Mitarbeiter regelmäßig geschult werden, um keine unbeabsichtigte Bedrohung für Ihre Organisation zu werden. Hierzu gehören Themen wie Passwort-Wiederverwendung, Phishing und BEC. Darüber hinaus sollten Mitarbeiter aufgeklärt werden, wie ungewöhnliches Verhalten unter Kollegen erkannt werden kann und welche Folgen es hat, eine böswillige Aktivität zu begehen oder zu begünstigen.
Außerdem sollten im Unternehmen Systeme zur Überwachung der Netzwerkaktivitäten der Benutzer implementiert sein. Diese sollten wiederholte oder ungewöhnliche Anfragen für Systemzugänge aufzeichnen, damit ein möglicher Missbrauch von Privilegien erkannt wird. Eine weitere Maßnahme ist die Begrenzung von Drucken und Kopieren sensibler Daten und die Gestattung des Zugriffs auf sensible Informationen nur dann, wenn ein legitimer und dokumentierter triftiger Grund vorliegt.
Schließlich sollten Richtlinien bezüglich der Verwendung von E-Mail, der akzeptablen Nutzung, externer Speichergeräte und der Verwendung Mitarbeiter-eigener Endgeräte (Bring your own Device – BYOD) implementiert und überwacht werden. Diesen Richtlinien müssen alle Personen zustimmen, die Zugang zu den Systemen haben, also Mitarbeiter, Auftragnehmer und alle anderen Dritten.
Letztendlich kann die Abwehr von Insider-Bedrohungen zwar eine Herausforderung sein, aber sie ist nicht unmöglich. Aber Transparenz und Wachsamkeit sind der Schlüssel. Zu wissen, wer Zugang zu internen Daten hat, ist von entscheidender Bedeutung. Dazu gehört das Verständnis, warum und wie jemand auf diese Daten zugreift. So lassen sich Unregelmäßigkeiten oder Verhaltensänderungen erkennen und potenzielle Insider-Bedrohungen bekämpfen.
