Wissenswertes zum Thema Insider-Bedrohungen
Insider Threats, auch Insider-Bedrohungen genannt, sind potenzielle von Menschen ausgenutzte Schwachstellen, die einem Unternehmen unabhängig von seiner Größe Schaden zufügen können. Anders ausgedrückt: Insider-Bedrohungen gehen von Mitarbeitern aus, die mit ihren Privilegien als „Insider“ entweder absichtlich oder unabsichtlich eine Sicherheitsverletzung verursachen.
Firmeninterne Personen sind bestens mit der Struktur und der Arbeitsweise ihres Unternehmens vertraut und dadurch in der Lage, es nachhaltig zu schädigen. Was auch immer ihr Motiv ist, die Folgen können verheerend sein.
Das Insider Risk – also die durch Insider verursachten Risiken – zu verstehen und zu steuern, ist ein wichtiger Aspekt bei der Cybersicherheit.
Insider Threat: eine Definition
Die auf die Cyber- und Infrastruktursicherheit spezialisierte US-Behörde CISA definiert Insider Threats als die potenzielle Fähigkeit einer firmeninternen Person, ihre Zugriffsberechtigungen oder ihr Insiderwissen auszunutzen, um dem Unternehmen Schaden zuzufügen. Dies kann sowohl vorsätzlich mit bösen Absichten als auch versehentlich geschehen.
In diesem Zusammenhang ist die sogenannte CIA-Triade relevant, die die wichtigsten IT-Schutzziele für Daten beschreibt. Das C steht dabei für Confidentiality (Vertraulichkeit), das I für Integrity (Integrität) und das A für Availability (Verfügbarkeit). Alle drei dieser Aspekte müssen in einem Unternehmen gewahrt und geschützt werden: Die Daten müssen bei Bedarf verfügbar sein. Sie müssen vor jenen geschützt werden, die sie gefährden, und wenn nötig vertraulich behandelt werden. Ihre Integrität muss aufrechterhalten werden; d. h., die Daten dürfen nicht manipuliert werden. Ein Insider Threat gefährdet alle drei Aspekte dieser CIA-Triade.
Häufige Eigenschaften von Insider-Bedrohungen
Insider Threats gehen von den Beschäftigten eines Unternehmens aus; unabhängig von ihrer Rolle. Manche verfolgen dabei kriminelle Absichten, während anderen aufgrund von Fahrlässigkeit, Unwissenheit oder Leichtgläubigkeit Fehler unterlaufen, die dem Unternehmen teuer zu stehen kommen.
Mitarbeiter, von denen Insider-Bedrohungen ausgehen – insbesondere bösartige –, haben einige Dinge gemeinsam: Sie sind häufig in Konflikte involviert und bringen gerne ihr Desinteresse an bestimmten Arbeitsaufgaben zum Ausdruck. Sie verstoßen regelmäßig gegen Vorschriften oder Datenschutzregeln und zweckentfremden eventuell Gelder, die ihnen für Reisen, Unterkunft, Verpflegung oder das Arbeiten im Homeoffice zugestanden wurden. Außerdem schneiden viele von ihnen in Leistungsbeurteilungen schlecht ab und zeigen ungewöhnlich großes Interesse an Aktivitäten, die nicht Teil ihrer Arbeit sind.
Auch fahrlässige Insider haben einiges gemeinsam: Diese Mitarbeiter sind nicht ausreichend geschult oder über Best Practices aufgeklärt. Viele sind leichtgläubig und leicht zu manipulieren; andere sind einfach nur faul oder nutzen das System zu ihrem Vorteil aus. All diese Personen stellen eine Bedrohung von innen dar.
Folgen von Insider Threats für Unternehmen
Laut Crowd Research Partners denken 90 % der Cybersecurity-Experten, ihr Unternehmen sei anfällig für Insider Threats. Eine Studie von IBM ergab, dass die Kosten einer böswilligen Insider-Bedrohung im Mittel 4,45 Millionen US-Dollar betrugen und deren Identifizierung und Eindämmung durchschnittlich 314 Tage dauerte. Das sind erschreckende Zahlen.
Arten von Insider Threats
Böswillige vs. fahrlässige Insider
Böswillige Insider wollten einem Unternehmen Schaden zufügen – z. B. aus Prinzip, um sich finanziell zu bereichern oder auch um sich zu rächen, weil sie gekränkt oder verärgert sind. Manche Insider stellen auch nur rein dadurch eine böswillige Bedrohung dar, dass sie Aufgaben mit möglichst wenig Aufwand ausführen und dabei die geltenden Vorschriften und Sicherheitsregeln missachten.
Mitarbeiter, die unbeabsichtigterweise ein Insider Risk darstellen, handeln womöglich mit den besten Absichten und sind ihrem Arbeitgeber sogar freundlich gesinnt. Es fehlt ihnen jedoch am nötigen Know-how oder sie passen nicht genug auf, um einen Sicherheitsvorfall zu verhindern.
Beispiele für Insider Threats
Wir alle haben von Fällen wie diesen gehört: Ein Tierversuchsgegner bewirbt sich bei einem Unternehmen, das Tierversuche durchführt, arbeitet sich hoch, bis er Zugang zu den Käfigen erhält, und setzt die Tiere frei. Oder ein Mitarbeiter, der sich übergangen fühlt, beschädigt auf dem Weg nach Hause den Computer oder das Auto seines Vorgesetzten.
Im Bereich der Cybersicherheit sieht die Sache ähnlich aus: Vielleicht hat ein verärgerter Angestellter, der weiß, dass er demnächst entlassen wird, nach wie vor Zugriff auf die Unternehmenskontakte oder andere Firmendaten und lädt diese für den privaten Gebrauch herunter, oder er nutzt noch nicht aufgehobene Zugriffsrechte, um sich in seiner nächsten Rolle einen Vorteil zu verschaffen und seinem bisherigen Arbeitgeber Schaden zuzufügen.
Oder vielleicht geht eine Mitarbeiterin in Elternzeit, weiß aber, dass sie danach nicht wieder an ihren Arbeitsplatz zurückkehren will. Sie hat nach wie vor Zugriff auf die Firmensysteme und kann Finanzmittel des Unternehmens für private Reisen verwenden.
Es geht allerdings auch noch schlimmer: Vielleicht will ein Mitarbeiter Geschäftsgeheimnisse stehlen, um selbst Werkzeuge zu bauen, oder Geld abzweigen, um eine private Schuld zu begleichen. Böswillige Insider können ihrem Arbeitgeber so viel oder so wenig Schaden zufügen, wie sie wollen. Und jene mit technischem Know-how stellen das größte Insider Risk dar – die Folgen können verheerend sein.
„Unfreiwillige“ Insider gefährden die Sicherheit in der Regel aus Versehen, indem sie z. B. sensible Daten kopieren und auf dem Heimweg in einem Café vergessen, oder indem sie Cyberkriminellen unwissentlich Zugriff gewähren oder ohne ihr Wissen Malware herunterladen.
Motivationsgründe bei Insider-Angriffen
Wie bei den meisten Verbrechen sind böswillige Insider durch finanzielle Gewinne, emotionale Befriedigung oder politische Gründe motiviert.
Andere wiederum hegen keine bösen Absichten, können ihrem Arbeitgeber aber Probleme bereiten, indem sie Geräte unbeaufsichtigt in Fahrzeugen oder nicht versperrten Büros zurücklassen, indem sie Sicherheitsregeln aus reiner Faulheit missachten oder indem sie einfach nicht genügend über das Thema Cybersecurity aufgeklärt sind. Diese Insider Threats lassen sich in zwei Kategorien unterteilen: fahrlässige und versehentliche, und beide können das Unternehmen schädigen.
Wie laufen Insider-Angriffe ab?
Ein Blick auf die bei Insider-Angriffen eingesetzten Methoden
Insider können wichtige und/oder vertrauliche Daten offenlegen, Geräte sabotieren oder sogar Unternehmenseigentum oder ‑daten stehlen – entweder direkt oder über Dritte, denen sie Zugriff gewähren.
Gängige Schwachstellen, die Insider-Angriffe ermöglichen
Hintertüren in Remotezugriffssoftware sind eine häufige Schwachstelle, die Insider Threats Tür und Tor öffnen. Ein weiteres „Schlupfloch“ sind deaktivierte Sicherheitseinstellungen oder nicht genutzte Sicherheitstools. Manche Insider manipulieren Hardware oder deaktivieren Einstellungen oder Konfigurationen manuell, weswegen es wichtig ist, jede Komponente des Systems auf Schwachstellen zu überprüfen.
Bekannte Fälle von Insider Threats
Der Fall Edward Snowden ist ein klassisches Beispiel für eine Insider-Bedrohung. 2013 leakte der US-Amerikaner Millionen von Dateien, auf die er als externer Mitarbeiter des US-Geheimdienstes NSA Zugriff hatte. Eine weitere Whistleblowerin aus dieser Zeit ist Chelsea Manning, ehemalige Angehörige der US-Streitkräfte, die der Enthüllungsplattform WikiLeaks mehr als 500.000 Dokumente mit Insiderinformationen zuspielte. Und in der jüngeren Vergangenheit legten zwei ehemalige Tesla-Mitarbeiter private Informationen wie die Sozialversicherungsnummern von mehr als 75.000 Arbeitnehmern offen. Bei all diesen Fällen handelt es sich um Insider Threats.
Erkennen von Anzeichen einer Insider-Bedrohung
Typische Verhaltensweisen potenzieller Insider Threats
Mitarbeiter, die am Arbeitsplatz gewalttätig sind oder oft mit Kollegen in Konflikt geraten, sollten genau beobachtet oder gar ihres Postens enthoben werden. Auch Personen, die als Einzelgänger oder Heimlichtuer auffallen, sollten Anlass zur Sorge geben. Weitere Verhaltensweisen, die auf ein Insider Risk hindeuten, sind fehlendes Wissen über Best Practices in Sachen Cybersecurity, fahrlässiges Handeln, Missachten von Richtlinien und häufige Probleme mit Führungskräften oder Werte, die den Unternehmenswerten widersprechen.
Technische Indikatoren von Insider-Angriffen
Es gibt einige einfache Anzeichen, die Ihnen die Erkennung von Insider-Bedrohungen erleichtern können.
Halten Sie zunächst nach ungewöhnlichen Datenverkehrsmustern, Systemzugriffen zu später oder ungewöhnlicher Stunde und wiederholten Zugriffen auf sensible Daten Ausschau, die nicht der Norm entsprechen. Auch die bevorzugte Verwendung privater Geräte anstelle von Firmengeräten deutet häufig auf ein Insider Risk hin. Suchen Sie nach möglichen Insider Threats, wenn eine Hintertür in Software gefunden wurde oder Sie festgestellt haben, dass Sicherheitseinstellungen deaktiviert wurden oder Tools nicht genutzt werden. Gewähren Sie Mitarbeitern immer nur so wenig Zugriffsrechte wie nötig und verwalten Sie diese sorgfältig, da Insider Zugriff auf Apps oder Laufwerke anfordern könnten, die sie für ihre eigentliche Arbeit gar nicht benötigen.
Mitarbeitermonitoring zur Erkennung von Insider Threats
Das Monitoring der Arbeitskräfte spielt eine wesentliche Rolle bei der Identifizierung von Insider-Risiken und Erkennung möglicher Insider Threats. Wenn Sie in Ihrem Unternehmen das Bewusstsein für die Cybersicherheit schärfen, Mitarbeitern eine sichere Möglichkeit geben, Sicherheitsvorfälle zu melden, und eine Teamkultur fördern, in der alle – auch wenn sie nicht dieselben Werte teilen – das Gefühl haben, Missstände ansprechen zu können, gehen Sie einen großen Schritt in Richtung dieses Ziels und können potenzielle Bedrohungen herausfiltern. Ein klares Bild der psychosozialen Dynamik, die zu böswilligem Verhalten beiträgt, ist für die Geschäftsführung ebenfalls von Vorteil.
So beugen Sie Insider Threats vor
Einführen von Zugriffskontrollen und des Prinzips der geringsten Rechte
Bei der Zugriffssteuerung geht es darum, den Zugang zu Daten und Ressourcen zu verwalten und zu schützen. Beim Einführen von Zugriffskontrollen sollten IT-Manager sorgfältig vorgehen und das Prinzip der geringsten Rechte (PoLP, Principle of Least Privilege) beachten: Dabei werden Mitarbeitern nur die für ihre Rolle unbedingt erforderlichen Zugriffsberechtigungen gewährt. Im Kampf gegen Insider Threats ist proaktives Handeln das A und O – diese Grundsätze können Ihnen dabei helfen.
Schulen von Mitarbeitern und Schärfen des Bewusstseins
Eine weitere Möglichkeit, proaktiv vorzugehen, besteht darin, über die Personalabteilung Schulungen zum Thema Cybersecurity anzubieten und Mitarbeiter über die korrekten Verhaltensweisen aufzuklären. Egal, ob Sie diese Schulungen selbst zusammenstellen oder ein externes Unternehmen damit beauftragen – Aufklärungs- und Informationsarbeit ist einer der einfachsten Wege, Bedrohungen bereits im Keim zu ersticken.
Technologielösungen zur Minimierung von Insider Threats
Es gibt Technologielösungen, mit denen sich das Insider Risk minimieren lässt. Ein Passwort-Manager ist beispielsweise eine sehr gute Wahl, da er für die Einhaltung der passwortbezogenen Empfehlungen und Richtlinien Ihres Unternehmens sorgt. Heutzutage gibt es für so gut wie jedes Budget Tools und Optionen auf dem Markt, um die Sicherheit zu verbessern, Informationen zu erfassen und Bedrohungen zu erkennen und zu bekämpfen.
Reaktion auf Insider Threats
Entwickeln eines Incident-Response-Plans
Jedes Unternehmen braucht einen Incident-Response-Plan, der unter anderem festlegt, welche Aspekte eines Netzwerks zur kritischen Infrastruktur zählen, und mögliche Problemstellen identifiziert. Die regelmäßige Datensicherung sollte ebenfalls Teil dieses Plans sein. Überwachen Sie alle Geräte und Systeme und evaluieren Sie den Plan nach jedem Vorfall, um zu sehen, was dazugelernt wurde und was angepasst oder geändert werden kann.
Schritte bei erkannten Insider Threats
Wenn eine Insider-Bedrohung gefunden wurde, sollten Sie versuchen, so viele Informationen wie möglich über den Zugriff und die Rechte des Insiders einzuholen. Analysieren Sie als Erstes die Auswirkungen und versuchen Sie, die Bedrohung so schnell wie möglich in den Griff zu bekommen. Im Anschluss an den Vorfall sollten Sie das Gelernte analysieren und Ihren Incident-Response-Plan anpassen, um das nächste Mal (noch) schneller und besser reagieren zu können.
Zusammenarbeit mit Strafverfolgungs- und Justizbehörden
Geschäftsinhaber und IT-Manager sollten sich mit Strafverfolgungsbehörden und staatlichen Sicherheitsorganen über Best Practices austauschen, um eine Strategie zur Bekämpfung von Insider Risks und Insider Threats zu erstellen und umzusetzen. Müssen Vollzugsbehörden involviert werden, so ist eine detaillierte, gut strukturierte und leicht verständliche Dokumentation des Vorfalls von Vorteil.
Wenden Sie sich an diese Behörden, wenn Sie eine Frage haben, und folgen Sie ihren Best-Practice-Empfehlungen. Vergewissern Sie sich, dass Ihr Incident-Response-Plan sämtliche Vorgaben in Bezug auf die zur strafrechtlichen Verfolgung erforderlichen Beweismittel und den Dokumentationsumfang erfüllt.
Best Practices für den Umgang mit Insider Threats
Aufbau einer Sicherheitskultur im Unternehmen
Die Sicherheit kann und sollte Teil der Unternehmenskultur sein. Wenn Sie ein Umfeld fördern, das Best Practices in puncto Cybersecurity forciert, Mitarbeitern sichere Möglichkeiten zur Meldung von Vorfällen bietet und sie gleichzeitig über die erwarteten Verhaltensweisen aufklärt, dann ist das der beste Weg in Richtung einer Kultur, die Insider-Bedrohungen bereits im Keim erstickt.
Darüber hinaus sollten Sie Wert aufs Teambuilding legen, versuchen, einen Draht zwischen der Geschäftsführung und den Mitarbeitern herzustellen, sowie Erfolge feiern und belohnen. Auch das ist eine ausgezeichnete Strategie, um das Insider Risk zu minimieren und sofort auf etwaige Bedrohungen zu reagieren.
Definieren klarer Richtlinien und Verfahren
Nachdem Sie einen Plan erstellt haben, müssen Sie mit operativen Standards dafür sorgen, dass alle Mitarbeiter am gleichen Strang ziehen. Darüber hinaus sollten Sie bei den Entwicklern Ihrer Tools oder Systeme nachfragen, ob es Best Practices für die Sicherheit gibt, und diese ggf. anwenden. Und nicht zuletzt benötigen Sie klare Verfahren zur Identifizierung, Meldung, Überwachung und Beseitigung von Insider Threats, an die sich alle Personen im Unternehmen halten sollen. Auch hier empfiehlt es sich, das Prinzip der geringsten Rechte anzuwenden.
Kontinuierliches Monitoring und Auditing privilegierter Konten
Sie sollten alle Konten überwachen und regelmäßig überprüfen. PAM (Privileged Access Management) und PIM (Privileged Identity Management) sind zwei ähnlich aufgebaute Sicherheitslösungen, die Ihnen helfen können, das Insider Risk zu minimieren.
Darüber hinaus profitieren Unternehmen vom Zero-Knowledge-Modell eines Passwort-Managers wie LastPass, bei dem nicht einmal der Hersteller Zugriff auf die Zugangsdaten der Benutzer hat, und von der Einführung der Multifaktor-Authentifizierung (MFA).
Monitoringtools, strengste Verschlüsselungsmechanismen und regelmäßige externe Audits und Zertifizierungen können die Sicherheit wesentlich erhöhen. LastPass steht Ihnen dabei mit Tools zum Identifizieren und Aktualisieren schwacher oder mehrmals verwendeter Passwörter zur Seite. So können Sie nicht nur Ihre allgemeine Sicherheit beurteilen und verbessern und Formulare sicher ausfüllen, sondern sich auch benachrichtigen lassen, wenn Daten von Ihnen geleakt wurden.
Mit sorgfältiger Planung und den richtigen Tools ist es möglich, Insider Threats zu erkennen und entsprechend darauf zu reagieren. Testen Sie LastPass jetzt.
