Ein Leitfaden für Insider-Bedrohungen
Veröffentlicht am: 17 Sep. 2019
Zuletzt geändert am: 24 Juli 2025
Der September 2019 wurde vom US National Counterintelligence and Security Center(NSCS) und der National Insider Threat Task Force(NITTF) zum National Insider Threat Awareness Month erklärt.
Die Initiative wurde speziell ins Leben gerufen, um das Bewusstsein für die ernsten Risiken zu schärfen, die von Insider-Bedrohungen ausgehen, und gleichzeitig die Mitarbeiter zu ermutigen, Sicherheitsvorfälle zu erkennen und zu melden, damit frühzeitig eingegriffen werden kann.
Es ist leicht, sich auf die dringlicheren Bedrohungen der Cybersicherheit zu konzentrieren, aber die Realität ist, dass Insider-Bedrohungen ebenso schädlich sein können und die gleiche Wachsamkeit erfordern, um sie zu verhindern und aufzudecken.
Diese Art von Angriffen kommt häufiger vor, als Sie vielleicht denken. Laut dem Verizon Insider Threat Report gehen 20 % der Cybersicherheitsvorfälle und 15 % der Datenschutzverletzungen von Insidern innerhalb einer Organisation aus.
Die Angriffe können auch sehr kostspielig sein, denn ein durchschnittlicher Vorfall kostet die Unternehmen mehr als 8 Millionen Dollar. Wir neigen dazu, diese Angriffe für vorsätzlich und böse zu halten, und oft sind sie das auch, aber die Die meisten Vorfälle mit Insider-Bedrohungen sind auf schlechte Sicherheitspraktiken von Mitarbeitern zurückzuführen.
Was ist eine Insider-Bedrohung?
Eine Insider-Bedrohung ist ein Sicherheitsvorfall, der innerhalb einer Organisation selbst und nicht von einer externen Quelle ausgeht. Dabei kann es sich um einen aktuellen oder ehemaligen Mitarbeiter, einen Auftragnehmer, einen Drittanbieter oder einen anderen Geschäftspartner handeln, der Zugang zu den Daten und Computersystemen des Unternehmens hat.
Jedes Unternehmen ist anfällig, aber bestimmte Branchen wie das verarbeitende Gewerbe, das Gesundheitswesen und das Finanzwesen weisen ein höheres Risikoprofil auf als andere. Das mag an den großen Mengen an wertvollen Informationen liegen, über die sie verfügen.
Arten von Insider-Bedrohungen
Insider-Angriffe können besonders gefährlich sein, denn im Gegensatz zu externen Akteuren, die versuchen, ein Netzwerk zu infiltrieren, haben Insider in der Regel legitimen Zugang zu den Computersystemen eines Unternehmens. Sie können sich Zugang zu sensiblen Daten verschaffen, ohne Verdacht zu erregen, und Angriffe können oft wochen- oder sogar monatelang unbemerkt bleiben.
Damit Unternehmen Insider-Bedrohungen abwehren können, müssen sie die verschiedenen Arten von Bedrohungen und die Beweggründe für die Angriffe kennen.
- Böswilliger Insider – Dies ist ein Mitarbeiter, der seinen privilegierten Zugang ausnutzt, um wissentlich Daten zu stehlen oder andere negative Handlungen gegen das Unternehmen zu begehen. Eine andere Art von böswilligem Insider ist der verärgerte Mitarbeiter. Sie suchen bewusst nach Möglichkeiten, dem Unternehmen Schaden zuzufügen, wenn sie sich schlecht behandelt fühlen. Dies könnte die Bearbeitung oder Löschung großer Mengen sensibler Daten sein oder ein Eingriff in kritische Systeme.
- Kompromittierte Insider – Dies ist oft eine der gefährlichsten Arten von Insider-Bedrohungen, da Mitarbeiter möglicherweise gar nicht merken, dass sie kompromittiert wurden. In der Regel ist ihr Computer infiziert mit Malware als Folge eines Klicks auf eine Phishing-Link oder das Öffnen eines bösartigen Anhangs.
- Nachlässiger Insider – Ein Mitarbeiter, der sich nicht an die richtigen IT-Verfahren hält, wird als nachlässiger Insider bezeichnet. Ganz gleich, ob sie ihren Computer unverschlossen lassen, sensible Daten offen liegen lassen oder einer unbefugten Person Zutritt zum Gebäude gewähren – diese Mitarbeiter setzen ihr Unternehmen durch schlechte Sicherheitspraktiken einem großen Risiko aus.
Warnschilder
Es gibt oft eine Reihe von Warnzeichen, die Unternehmen auf eine Insider-Bedrohung aufmerksam machen können. Dazu gehören:
- Herunterladen oder Zugreifen auf große Mengen sensibler Daten
- Die Verwendung von externen Speichergeräten wie USB-Sticks
- Zugriff auf Daten, die nicht mit der Jobrolle verbunden sind
- Kopieren von Dateien aus sensiblen Ordnern
- Versenden sensibler Daten per E-Mail außerhalb des Unternehmens
- Veränderungen der Persönlichkeit und des Verhaltens
- Ungewöhnliche Arbeitszeiten
Hochkarätige Beispiele
Leider gibt es keinen Mangel an Beispielen von Organisationen, die Opfer von Insider-Bedrohungen geworden sind. Diese öffentlichkeitswirksamen Angriffe haben den finanziellen und rufschädigenden Schaden verdeutlicht, den Insider-Bedrohungen anrichten können. Einige der bemerkenswerteren Fälle sind:
Punjab National Bank
Bei einem der kostspieligsten Insider-Angriffe nutzte ein Mitarbeiter der Punjab National Bank das SWIFT-Interbank-Kommunikationssystem, um die Ausgabe von Geldern über Letters of Undertaking und Foreign Letters of Credit zu autorisieren. Durch diese betrügerischen Transaktionen war der Mitarbeiter in der Lage, Gelder in Höhe von 1,5 Milliarden Pfund zu transferieren.
Morrisons
Im Jahr 2017 wurde Morrisons, eine der führenden Supermarktketten Großbritanniens, zur Rechenschaft gezogen, nachdem ein verärgerter interner Prüfer die Daten von über 100.000 Mitarbeitern veröffentlicht hatte. Dazu gehörten sensible Daten wie Sozialversicherungsnummern, Geburtsdaten und Bankkontodaten. 5.518 Angestellte verklagten Morrisons mit der Begründung, dass sie durch das Leck dem Risiko ausgesetzt waren, dass Identitätsdiebstahl und mögliche finanzielle Verluste. Morrisons wurde für haftbar befunden und es entstanden Kosten von bis zu 2 Millionen Pfund.
Ziel
Der Einbruch bei Target im Jahr 2014 ereignete sich, als ein Angestellter auf einen Phishing-Link klickte, über den die Angreifer in das Netzwerk des HLK-Anbieters und schließlich in das Netzwerk von Target gelangten. Der Angriff kompromittierte die Namen, Adressen, Telefonnummern, E-Mail-Adressen und Kreditkartendaten von über 70 Millionen Menschen. In diesem speziellen Fall hatte der Insider keine böswilligen Absichten, aber der Angriff verursachte einen erheblichen Imageschaden und kostete das Unternehmen 300 Millionen Dollar.
Wie können sich Organisationen gegen Insider-Bedrohungen schützen?
Schulung des Sicherheitsbewusstseins – Schulungen sind von entscheidender Bedeutung, wenn es darum geht, Mitarbeiter über Sicherheitsrichtlinien und die Bedrohungen aufzuklären, mit denen sie in ihrer täglichen Arbeit konfrontiert werden können. Das kann alles sein, von einer Phishing-E-Mail bis hin zur Bedeutung der physischen Sicherheit am Arbeitsplatz. Kleine Unachtsamkeiten können einem Unternehmen großen Schaden zufügen. Daher müssen die Mitarbeiter regelmäßig geschult werden, um sicherzustellen, dass sie wissen, wie sie die sich entwickelnden Bedrohungen erkennen und angemessen darauf reagieren können.
Verwenden Sie eine starke Authentifizierung – Wenn die Konten eines Unternehmens kompromittiert werden können, können sich Insider seitlich im Netzwerk bewegen und sensible Daten stehlen. Mitarbeiter sollten die gemeinsame Nutzung von Passwörter und starke Authentifizierungsverfahren für den Zugang zu sensiblen Anwendungen und Systemen sollten vorhanden sein.
Überwachen Sie das Online-Verhalten Ihrer Mitarbeiter – Unternehmen sollten das Verhalten ihrer Mitarbeiter regelmäßig überwachen, um verdächtige Aktivitäten zu erkennen. Dies könnte das Einloggen zu zufälligen Zeiten sein, der Zugriff auf sensible Daten oder der Versuch, Daten aus Ordnern zu kopieren, für die sie keine Berechtigung haben. Die Verhaltensanalyse kann eine wichtige Rolle bei der Identifizierung von Benutzern spielen, die sich außerhalb der Norm verhalten. Je früher Unternehmen dieses Verhalten erkennen, desto schneller können sie eventuelle Probleme lösen.
Verfahren zur Meldung von Vorfällen – Organisationen sollten über ein klares Verfahren für die Berichterstattung und Protokollierung aller Sicherheitsvorfälle. Die Meldefunktion wird alle möglichen Vorfälle abdecken und angemessene Reaktionen vorgeben. Dies wird dazu beitragen, verdächtiges Verhalten zu erkennen und alle notwendigen Informationen zu liefern, die für die gesetzliche Berichterstattung erforderlich sind.
MetaCompliance ist darauf spezialisiert, die besten auf dem Markt erhältlichen Schulungen zum Thema Cybersicherheit zu entwickeln. Unsere Produkte gehen direkt auf die spezifischen Herausforderungen ein, die sich aus Cyber-Bedrohungen und der Unternehmensführung ergeben, indem sie es den Benutzern erleichtern, sich mit Cybersicherheit und Compliance zu befassen. Setzen Sie sich mit uns in Verbindung, um weitere Informationen darüber zu erhalten, wie wir Sie bei der Umgestaltung der Cybersicherheitsschulung in Ihrem Unternehmen unterstützen können.