Niemand denkt gerne daran, dass es in seinem Unternehmen Insider-Bedrohungen gibt, die das Unternehmen dem Risiko einer Datenverletzung aussetzen oder der Grund für eine Geldstrafe in Höhe von mehreren Tausend Pfund sein könnten. Die Bedrohung durch Insider ist jedoch nur allzu real. Laut mehreren Berichten sind Insider-Bedrohungen die Ursache für viele der heutigen Sicherheitsprobleme. "DerCybersecurity Insiders Insider Threat Report 2020" stellte beispielsweise fest, dass 68 % der Unternehmen glauben, dass Insider-Bedrohungen immer häufiger auftreten. In einer Umfrage von Egress, "2020 Insider Data Breach Survey", gaben fast alle befragten IT-Führungskräfte an, dass das Risiko von Insider-Verletzungen eine "erhebliche Sorge" darstellt.
In der Cybersicherheitsbranche wird oft behauptet, dass Insider-Bedrohungen am schwierigsten zu bekämpfen sind. Wie kann man schließlich eine böswillige Handlung oder ein versehentliches Datenleck erkennen? Hier ist unser Leitfaden zu Insider-Bedrohungen und wie man sie verhindern kann.
Arten von Insider-Bedrohungen
Ein Insider ist jeder, der gegenwärtig in Ihrer Organisation arbeitet oder früher für sie gearbeitet hat. Diese Definition umfasst sowohl Mitarbeiter als auch Nicht-Mitarbeiter wie z. B. Auftragnehmer. Zu den Insidern können auch Geschäftspartner oder Unternehmen aus Ihrem Lieferantenumfeld zählen. Eine IBM-Umfrage hat ergeben, dass die Sicherheitsprobleme noch dadurch verschärft werden, dass Unternehmen nicht sicherstellen, dass die Sicherheitsrichtlinien für die Arbeit an entfernten Standorten durchgesetzt werden.
Der zufällige Insider
In einem Artikel des EC-Council heißt es, dass 64 % der Datenverluste auf Insider zurückzuführen sind, die es "gut gemeint" haben, mit anderen Worten: Unfälle passieren. Der Oberbegriff der versehentlichen Insider-Bedrohungen deckt ein breites Spektrum möglicher "Unfälle oder Missgeschicke" ab. Einige dieser Missgeschicke sind darauf zurückzuführen, dass Sicherheitsrisiken bei der Ausführung einer Aufgabe einfach nicht verstanden werden; andere, wie Phishing oder Social Engineering, sind darauf zurückzuführen, dass Einzelpersonen durch externe Kräfte manipuliert werden. Die Fehlkonfiguration von IT-Systemen ist ein weiterer Bereich, der zwar unbeabsichtigt ist, aber es externen Kräften ermöglicht, ein System auszunutzen. Der versehentliche Insider lässt sich häufig auf vier Hauptproblembereiche zurückführen:
- Der "Oops"-Faktor: Missverständnisse oder mangelndes Wissen über Sicherheitsprozesse und -risiken. Die Egress-Studie ergab, dass 31 % der Sicherheitsverletzungen darauf zurückzuführen sind, dass ein Mitarbeiter Informationen per E-Mail an die falsche Person sendet
- Betrug: Manipulation durch externe Kräfte, z. B. Phishing. Die Egress-Studie ergab, dass 41 % der versehentlich durchgesickerten Daten auf eine Phishing-E-Mail zurückzuführen waren.
- Schlechte Haltung: Unzureichende Sicherheitsvorkehrungen in einem Unternehmen und mangelnde Durchsetzung und Aufklärung über Sicherheit
- Mangelnde Sicherheitskenntnisse: Fehlkonfiguration von Systemen aufgrund unzureichender Ausbildung oder mangelnden Verständnisses von Sicherheit auf der Ebene der IT-Administration
Böswillige Insider
Mitarbeiter und Nicht-Mitarbeiter, die absichtlich IT-Systeme schädigen oder Daten stehlen wollen, werden als böswillig bezeichnet. Im Gegensatz zu versehentlichen Insidern sind böswillige Insider-Bedrohungen in der Regel durch Ziele wie Geld oder Rache motiviert. Ein Bericht von Fortinet über Insider-Bedrohungen ergab, dass 60 % der Unternehmen über die Gefahr einer Datenverletzung durch einen böswilligen Insider besorgt sind. Die Umfrage befasste sich auch mit den Beweggründen böswilliger Insider, wobei die drei wichtigsten Gründe waren:
- Betrug (55%)
- Geld (49%)
- Diebstahl von geistigem Eigentum (44%)
Böswillige Insider werden sogar im Dark Web angeworben. Einem Bericht zufolge wurde ein Bankangestellter im Dark Web als böswilliger Insider gesucht, der für eine Stunde Arbeit am Tag 370.000 Rubel (4.400 £) pro Monat erhielt.
Beispiele für Insider-Bedrohungen
Unabhängig davon, ob eine Datenschutzverletzung oder ein anderes Sicherheitsereignis böswillig oder versehentlich herbeigeführt wurde, sind die Auswirkungen dieselben. Datenschutzverletzungen und andere Sicherheitsprobleme führen zu hohen Bußgeldern wegen Nichteinhaltung von Vorschriften, zum Verlust des Vertrauens der Kunden in die Fähigkeit eines Unternehmens, sensible Daten zu schützen, und sogar zu einem Rückgang des Aktienwerts eines Unternehmens. Im Folgenden sind drei Beispiele aufgeführt, bei denen Insider-Angriffe dem Unternehmen Schaden zufügten:
Der verärgerte Mitarbeiter: Ein Unternehmen, das während der Covid-19-Pandemie mit dem Vertrieb von Schutzausrüstungen (PSA) befasst war, wurde von einem verärgerten Mitarbeiter angegriffen. Der ehemalige Mitarbeiter, "Dobbins", erstellte zwei gefälschte Benutzerkonten, bevor er seinen Job verlor. Nachdem er entlassen worden war, loggte sich Dobbins mit den gefälschten Konten in das System ein. Anschließend bearbeitete er fast 12.000 Datensätze und löschte über 2.000. Schließlich deaktivierte er die gefälschten Konten. Durch diese Änderungen hat Dobbins die Bereitstellung von PSA für Gesundheitsdienstleister erheblich gestört.
Böswillige Absicht für Profit: Ein BUPA-Mitarbeiter verursachte eine Sicherheitsverletzung, von der 547 000 Kunden betroffen waren, so dass die britische Aufsichtsbehörde ICO Bupa zu einer Geldstrafe von 175 000 Pfund verurteilte. Der Mitarbeiter nutzte das CRM-System des Unternehmens, um sich die persönlichen Daten der BUPA-Kunden zu schicken, und versuchte dann, die kompromittierten Konten im Dark Web zu verkaufen.
Unfälle passieren, aber sie sind oft unentschuldbar: Die "Independent Inquiry into Child Sex Abuse" (IICSA) geriet in die Kritik, nachdem ein Mitarbeiter eine Massen-E-Mail an 90 mögliche Opfer von sexuellem Kindesmissbrauch verschickt hatte. Der Mitarbeiter hatte bei der Eingabe der E-Mail-Adressen einfach das cc-Feld statt des bcc-Feldes verwendet. Die britische Aufsichtsbehörde ICO verhängte gegen die IICSA eine Geldstrafe in Höhe von 200.000 GBP gemäß dem Datenschutzgesetz (DPA2018).
Wege zur Erkennung und Eindämmung von Insider-Bedrohungen in Ihrer Organisation
Auch wenn es schwierig sein kann, Insider-Angriffe zu erkennen und zu verhindern, gibt es Möglichkeiten, ihre Auswirkungen zu minimieren. Hier sind fünf Möglichkeiten, die Ihrem Unternehmen helfen, Insider-Bedrohungen zu kontrollieren:
Schulung zum Sicherheitsbewusstsein
Da viele Insider-Bedrohungen unbeabsichtigt sind, kann die Schulung des Sicherheitsbewusstseins eine wichtige Rolle bei der Minderung dieses Cyberrisikos spielen. Schulungen zum Sicherheitsbewusstsein sollten Aspekte unbeabsichtigter Insider-Bedrohungen abdecken, wie z. B:
- Sicherheitshygiene: z. B. Schulung der Mitarbeiter im Hinblick auf die sichere Übermittlung von Daten.
- Phishing: Sicherstellen, dass die Mitarbeiter über E-Mail- und andere Phishing-Tricks auf dem Laufenden sind und sich des Diebstahls von Anmeldedaten über Phishing-Seiten bewusst sind.
- Bewusstsein für die Einhaltung von Vorschriften: Sicherstellen, dass sich die Mitarbeiter ihrer Rolle bei der Einhaltung von Vorschriften bewusst sind.
Null Vertrauen
Viele Insider-Bedrohungen sind auf den Missbrauch von Privilegien und die unzureichende Kontrolle des Zugangs zu sensiblen Daten zurückzuführen. Zero Trust basiert auf dem Prinzip "never trust, always verify". Dies bedeutet, dass Mitarbeiter und/oder verwendete Geräte beim Versuch, auf Ressourcen zuzugreifen, in Frage gestellt werden.
Diese Herausforderungen spiegeln die Sensibilität der Ressourcen wider, d. h. sensiblere Daten oder Anwendungen erfordern mehr Sicherheit, dass die Person, die darauf zugreift, auch diejenige ist, die sie vorgibt zu sein. Eine Zero-Trust-Architektur ist eine Mischung aus geeigneten Technologien und einem architektonischen Ansatz, der dazu beiträgt, Bereiche eines Netzwerks voneinander abzugrenzen. Zu den Technologien zur Unterstützung einer Zero-Trust-Architektur gehören Security Information and Event Management (SIEM) und ein Cloud Access Security Broker (CASB).
Authentifizierung und Autorisierung
Das Prinzip der zuverlässigen Authentifizierung und Autorisierung baut auf einer Zero-Trust-Architektur auf. Die kontextbezogene Authentifizierung und Autorisierung stellt eine wichtige Kontrollebene für den Zugriff auf sensible Daten dar. Die Verwendung von 2FA/MFA für den Zugriff auf Unternehmensanwendungen, insbesondere bei der Arbeit aus der Ferne, sollte durchgesetzt werden. In Verbindung mit der Überwachung schaffen diese Prozesse eine robuste Sicherheitsebene.
Suche nach Anzeichen für ungewöhnliches Verhalten
Bösartige Insider-Bedrohungen sind oft schwer zu erkennen, aber bestimmte Technologien, die maschinelles Lernen ermöglichen (ML), können bei der Erkennung von Bedrohungen helfen und Ihr Sicherheitsteam auf ungewöhnliche Aktivitäten aufmerksam machen. Eine dieser Technologien ist die Mitarbeiterüberwachung in Form von UEBA (User and Entity Behaviour Analytics). UEBA wird eingesetzt, um ungewöhnliche Verhaltensweisen zu erkennen, indem ML verwendet wird, um anomale Verhaltensmuster zu erkennen, wenn Menschen mit Geräten und Netzwerken interagieren.
Anti-Phishing und Spam-Kontrolle
Technologien, die verhindern, dass Phishing-E-Mails überhaupt in die Posteingänge der Mitarbeiter gelangen, können dazu beitragen, versehentliche Verstöße von Insidern zu verhindern. Mit Hilfe von Lösungen können Mitarbeiter daran gehindert werden, zu bösartigen URLs zu navigieren. Diese Softwaredienste werden in der Regel als cloudbasierte Plattformen bereitgestellt. E-Mail-Filter und URL-Content-Scans sind nützlich, um ein Sicherheitsnetz zu schaffen, das die Schulungen zum Sicherheitsbewusstsein ergänzt.
Unsere Mitarbeiter sind unser größtes Kapital, und wir müssen dafür sorgen, dass dies auch so bleibt, indem wir sie durch Schulungen befähigen und sie und unser Unternehmen mit den besten Sicherheitstechnologien schützen, die es gibt.
