Umfassender Leitfaden zu Insider-Bedrohungen und Prävention in der Cybersicherheit

Niemand denkt gerne daran, dass es in seinem Unternehmen Insider-Bedrohungen gibt, die das Unternehmen dem Risiko einer Datenverletzung aussetzen oder der Grund für eine Strafe wegen Nichteinhaltung von Vorschriften sind, die mehrere Tausend Euro kostet. Doch die Bedrohung durch Insider ist nur allzu real. Laut mehreren Berichten sind Insider-Bedrohungen die Ursache für viele der Sicherheitsprobleme, mit denen wir heute konfrontiert sind. Der „Cybersecurity Insiders Insider Threat Report“ hat zum Beispiel ergeben, dass 68% der Unternehmen glauben, dass Insider-Bedrohungen immer häufiger auftreten. In einer Umfrage von Egress, „2020 Insider Data Breach Survey„, gaben fast alle IT-Führungskräfte, die geantwortet haben, an, dass das Risiko von Insider-Verletzungen eine „erhebliche Sorge“ darstellt.

In der Cybersicherheitsbranche heißt es oft, dass Insider-Bedrohungen am schwierigsten zu bekämpfen sind. Denn wie kann eine böswillige Aktion oder ein versehentliches Datenleck entdeckt werden? Hier ist unser Leitfaden zu Insider-Bedrohungen und wie man sie verhindern kann.

Arten von Insider-Bedrohungen

Ein Insider ist jeder, der gegenwärtig für Ihr Unternehmen arbeitet oder früher für Ihr Unternehmen gearbeitet hat. Diese Definition umfasst Angestellte und Nicht-Angestellte wie z.B. Auftragnehmer. Insider können auch Geschäftspartner oder Unternehmen aus dem Ökosystem Ihrer Lieferanten sein. Eine IBM-Umfrage hat ergeben, dass die Sicherheitsprobleme noch dadurch verschärft werden, dass Unternehmen nicht sicherstellen, dass die Sicherheitsrichtlinien für die Arbeit an entfernten Standorten eingehalten werden.

Der zufällige Insider

In einem Artikel des EC-Council heißt es, dass 64% der Datenverluste auf Insider zurückzuführen sind, die es „gut gemeint“ haben, mit anderen Worten: Unfälle passieren. Der Oberbegriff der versehentlichen Insider-Bedrohungen deckt ein breites Spektrum möglicher „Unfälle oder Missgeschicke“ ab. Einige dieser Missgeschicke sind darauf zurückzuführen, dass man bei der Ausführung einer Aufgabe die Sicherheitsrisiken einfach nicht versteht; andere, wie Phishing oder Social Engineering, sind darauf zurückzuführen, dass Personen von externen Kräften manipuliert werden. Die Fehlkonfiguration von IT-Systemen ist ein weiterer Bereich, der zwar unbeabsichtigt ist, aber es externen Kräften ermöglicht, ein System auszunutzen. Der versehentliche Insider lässt sich häufig auf vier Hauptproblembereiche zurückführen:

• Der Oops-Faktor: Missverständnisse oder mangelndes Wissen über Sicherheitsprozesse und -risiken. Die Egress-Studie ergab, dass 31 % der Sicherheitsverstöße darauf zurückzuführen sind, dass ein Mitarbeiter Informationen an die falsche Person geschickt hat.
• Betrug: Manipulation durch externe Kräfte, z.B. Phishing. Die Egress-Studie ergab, dass 41 % der versehentlich abgeflossenen Daten auf eine Phishing-E-Mail zurückzuführen waren.
• Schlechte Haltung: Schlechte Sicherheitsvorkehrungen eines Unternehmens und mangelnde Durchsetzung und Aufklärung über Sicherheit
• Mangelnde Sicherheitskenntnisse: Fehlkonfiguration von Systemen aufgrund schlechter Ausbildung oder mangelndem Verständnis von Sicherheit auf der Ebene der IT-Administration

Böswillige Insider

Diejenigen Mitarbeiter und Nicht-Mitarbeiter, die absichtlich Schaden an IT-Systemen anrichten oder Daten stehlen wollen, werden als böswillig bezeichnet. Im Gegensatz zu versehentlichen Insidern sind böswillige Insider-Bedrohungen in der Regel durch Geld oder Rache motiviert. Ein Bericht von Fortinet über Insider-Bedrohungen ergab, dass 60 % der Unternehmen über die Gefahr einer Datenverletzung durch böswillige Insider-Bedrohungen besorgt sind. Die Umfrage befasste sich auch mit den Beweggründen böswilliger Insider, wobei die drei wichtigsten Gründe waren:

1. Betrug (55%)
2. Geld (49%)
3. Diebstahl von geistigem Eigentum (44%)

Böswillige Insider werden sogar im Dark Web angeworben. In einem Bericht wird auf eine Anzeige im Dark Web hingewiesen, in der ein Bankangestellter gesucht wird, der als böswilliger Insider agiert. Für eine Stunde Arbeit pro Tag werden 370.000 Rubel (4.400 £) pro Monat bezahlt.

Beispiele für Insider-Bedrohungen

Unabhängig davon, ob die Datenschutzverletzung oder ein anderes Sicherheitsereignis böswillig oder versehentlich verursacht wurde, sind die Auswirkungen dieselben. Datenschutzverletzungen und andere Sicherheitsprobleme führen zu hohen Bußgeldern wegen Nichteinhaltung von Vorschriften, zum Verlust des Vertrauens der Kunden in die Fähigkeit eines Unternehmens, sensible Daten zu schützen, und sogar zu einem Rückgang des Aktienwerts eines Unternehmens. Im Folgenden finden Sie drei Beispiele, bei denen Insider-Angriffe einem Unternehmen geschadet haben:

Der verärgerte Mitarbeiter: Ein Unternehmen, das während der Covid-19-Pandemie mit dem Vertrieb von Schutzausrüstung (PSA) befasst war, wurde von einem verärgerten Mitarbeiter angegriffen. Der ehemalige Mitarbeiter, „Dobbins„, erstellte zwei gefälschte Benutzerkonten, bevor er seinen Job verlor. Nachdem er entlassen worden war, loggte sich Dobbins mit den gefälschten Konten in das System ein. Er bearbeitete dann fast 12.000 Datensätze und löschte über 2.000. Schließlich deaktivierte er die gefälschten Konten. Durch diese Änderungen hat Dobbins die Bereitstellung von PSA für Gesundheitsdienstleister ernsthaft gestört.

Böswillige Absicht für Profit: Ein BUPA-Mitarbeiter verursachte eine Sicherheitsverletzung, von der 547.000 Kunden betroffen waren. Das britische ICO verhängte daraufhin eine Geldstrafe in Höhe von 175.000 £ gegen Bupa. Der Mitarbeiter nutzte das CRM-System des Unternehmens, um sich die persönlichen Daten der BUPA-Kunden zu schicken, bevor er dann versuchte, die kompromittierten Konten im Dark Web zu verkaufen.

Unfälle passieren, aber sie sind oft unentschuldbar: Die ‚Independent Inquiry into Child Sex Abuse‘ (IICSA) geriet in die Kritik, nachdem ein Mitarbeiter eine Massen-E-Mail an 90 mögliche Opfer von sexuellem Kindesmissbrauch geschickt hatte. Der Mitarbeiter hatte einfach das cc-Feld statt des bcc-Feldes für die Eingabe von E-Mail-Adressen verwendet. Die britische Aufsichtsbehörde ICO verhängte gegen die IICSA eine Geldstrafe in Höhe von 200.000 £ gemäß dem Data Protection Act (DPA2018).

Wege zur Erkennung und Eindämmung von Insider-Bedrohungen in Ihrer Organisation

Auch wenn es schwierig sein kann, Insider-Angriffe zu erkennen und zu verhindern, gibt es doch Möglichkeiten, ihre Auswirkungen zu minimieren. Hier sind fünf Möglichkeiten, die Ihrem Unternehmen helfen, Insider-Bedrohungen zu kontrollieren:

Schulung zum Sicherheitsbewusstsein

Da viele Insider-Bedrohungen unbeabsichtigt sind, kann die Schulung des Sicherheitsbewusstseins eine wichtige Rolle bei der Abschwächung dieses Cyber-Risikos spielen. Schulungen zum Sicherheitsbewusstsein sollten Aspekte versehentlicher Insider-Bedrohungen abdecken, wie z.B.:

• Sicherheitshygiene: z.B. die Schulung von Mitarbeitern, die darauf achten, Daten auf sichere Weise zu versenden.
• Phishing: Stellen Sie sicher, dass Ihre Mitarbeiter über E-Mail und andere Phishing-Tricks auf dem Laufenden sind und sich des Diebstahls von Zugangsdaten über Phishing-Seiten bewusst sind.
• Bewusstsein für die Einhaltung von Vorschriften: Sicherstellen, dass die Mitarbeiter sich ihrer Rolle bei der Einhaltung von Vorschriften bewusst sind.

Null Vertrauen

Viele Insider-Bedrohungen werden durch den Missbrauch von Privilegien und eine schlechte Kontrolle des Zugriffs auf sensible Daten verursacht. Zero Trust basiert auf dem Prinzip „vertraue nie, überprüfe immer“. Dies bedeutet, dass Mitarbeiter und/oder verwendete Geräte beim Versuch, auf Ressourcen zuzugreifen, überprüft werden.

Diese Herausforderungen spiegeln die Sensibilität der Ressourcen wider. So erfordern sensiblere Daten oder Anwendungen eine größere Sicherheit, dass die Person, die darauf zugreift, auch diejenige ist, die sie vorgibt zu sein. Eine Zero-Trust-Architektur ist eine Mischung aus geeigneten Technologien und einem architektonischen Ansatz, der dazu beiträgt, Bereiche eines Netzwerks voneinander abzugrenzen. Zu den Technologien zur Unterstützung einer Zero-Trust-Architektur gehören Security Information and Event Management (SIEM) und ein Cloud Access Security Broker (CASB).

Authentifizierung und Autorisierung

Die Grundlage einer Zero-Trust-Architektur ist das Prinzip der robusten Authentifizierung und Autorisierung. Die kontextabhängige Authentifizierung und Autorisierung fügt eine wichtige Kontrollebene für den Zugriff auf sensible Daten hinzu. Die Verwendung von 2FA/MFA für den Zugriff auf Unternehmensanwendungen, insbesondere bei der Arbeit aus der Ferne, sollte durchgesetzt werden. In Verbindung mit der Überwachung schaffen diese Prozesse eine robuste Sicherheitsebene.

Suchen Sie nach Signalen für ungewöhnliches Verhalten

Böswillige Insider-Bedrohungen können schwer zu erkennen sein, aber bestimmte Technologien, die maschinelles Lernen ermöglichen (ML), können bei der Erkennung von Bedrohungen helfen und Ihr Sicherheitsteam auf ungewöhnliche Aktivitäten aufmerksam machen. Eine dieser Technologien ist die Mitarbeiterüberwachung in Form von UEBA (User and Entity Behaviour Analytics). UEBA wird eingesetzt, um ungewöhnliche Verhaltensweisen zu erkennen, indem ML verwendet wird, um anomale Verhaltensmuster zu erkennen, wenn Menschen mit Geräten und Netzwerken interagieren.

Anti-Phishing und Spam-Kontrolle

Technologien, die verhindern, dass Phishing-E-Mails überhaupt in den Posteingang von Mitarbeitern gelangen, können dazu beitragen, versehentliche Verstöße von Insidern zu verhindern. Es können Lösungen eingesetzt werden, die verhindern, dass Mitarbeiter zu bösartigen URLs navigieren. Diese Softwaredienste werden in der Regel als Cloud-basierte Plattformen angeboten. E-Mail-Filterung und URL-Inhaltsprüfung sind nützlich, um ein Sicherheitsnetz zu schaffen, das die Schulungen zum Sicherheitsbewusstsein ergänzt.

Unsere Mitarbeiter sind unser größtes Kapital, und wir müssen dafür sorgen, dass dies auch so bleibt, indem wir sie durch Schulungen befähigen und sie und unser Unternehmen mit den besten Sicherheitstechnologien schützen, die es gibt.