Der reibungslose Betrieb moderner Unternehmen hängt von einer großen Anzahl von Mitarbeitern ab. Dies bedeutet jedoch, dass sensible Unternehmensinformationen immer für Hunderte oder Tausende von aktuellen oder ehemaligen Mitarbeitern, Lieferanten, Partnern oder Auftragnehmern zugänglich sind. „Insiderbedrohung“ nennen das Cybersicherheitsexperten. Diese Personen sind Insider, weil sie Zugang zu Informationen, Daten oder Ressourcen haben, die geteilt oder verwendet werden könnten, um der Organisation zu schaden. Das gesamte Thema der Insider-Bedrohungen in der Cybersicherheit wird in diesem Aufsatz behandelt, einschließlich dessen, was sie sind, wie sie identifiziert werden, warum sie gefährliche Programme sind und wie sie verhindert werden können.
Was sind Insider-Bedrohungen in der Cybersicherheit?
Eine Person, die für Ihr Unternehmen arbeitet und die Verfügbarkeit, Vertraulichkeit oder Integrität kritischer Informationen gefährdet, gilt als Insider-Bedrohung. Sie können dies erreichen, indem sie unbeabsichtigt private Informationen preisgeben, auf einen Scherz hereinfallen, Eigentum brechen, Firmenausrüstung verlieren oder Systeme absichtlich stören.
Eine mögliche Insider-Bedrohung ist jemand, der Zugriff auf sensible Daten oder Ressourcen hat. Darin enthalten sind Personal, Subunternehmer und Partner. Wenn ehemalige Mitarbeiter nach ihrem Ausscheiden aus dem Unternehmen weiterhin Zugang zu vertraulichen Informationen haben, könnten sie eine Insider-Bedrohung darstellen.
Arten von Insider-Bedrohungen
Insider-Bedrohungen für die Cybersicherheit können entweder als böswillige Akteure oder fahrlässiges Personal klassifiziert werden. In diesem Teil diskutieren wir, wie sie sich voneinander unterscheiden und warum sie eine Bedrohung darstellen.
#1. Böswillige Insider
Ein böswilliger Insider ist jemand, der sich gezielt vertrauliche Informationen beschafft oder ein Unternehmen untergräbt. Sie tun dies oft aus finanziellen Gründen, indem sie entweder die gestohlenen Daten für Betrug verwenden oder sie an Dritte verkaufen, z. B. an ein Konkurrenzunternehmen oder eine Hackerbande.
Vergeltungsmaßnahmen sind eine weitere treibende Kraft hinter böswilligen Insidern. Dies tritt am häufigsten bei kürzlich entlassenen Personen auf, die Ressentiments gegenüber ihrem früheren Unternehmen hegen. Die Person wird wahrscheinlich Probleme verursachen, wenn sie noch Zugriff auf wichtige Systeme hat, sei es, weil der Schlüssel ihres Gebäudes noch in ihrem Besitz ist oder ihre Zugangsdaten für den Arbeitsplatz noch gültig sind.
Rache könnte auch aktuelle Arbeitnehmer inspirieren. Dies tritt häufig auf, wenn sie sich unterbewertet fühlen oder bei einer Beförderung übergangen wurden. Sie können den Betrieb stören oder vertrauliche Daten stehlen, indem sie ihren Zugang zu den Systemen des Unternehmens nutzen.
#2. Fahrlässige Insider
Mitarbeiterfehler wie der Verlust eines Arbeitsgeräts oder das Fallen auf einen Phishing-Betrug können zu fahrlässigen Insider-Risiken führen. Diese Episoden können in zwei Unterkategorien unterteilt werden. Erstens verwenden einige Mitarbeiter ein gesundes Urteilsvermögen, verletzen aber aufgrund mildernder Umstände Datenschutzgesetze. Zum Beispiel könnten sie aufgrund von Überarbeitung oder Ablenkung einen Fehler gemacht haben.
Im Gegensatz dazu verstoßen einige fahrlässige Insider konsequent gegen das Gesetz und zeigen wenig Interesse an Sensibilisierungsprogrammen für Mitarbeiter. Sie verwenden häufig das Argument, dass die Richtlinien und Prozesse der Organisation übermäßig bürokratisch oder zu umständlich sind, um ihr Verhalten zu verteidigen.
Sie könnten sogar das Fehlen einer Datenschutzverletzung als Stütze für ihre Behauptungen anführen. Wenn dies der Fall ist, wird es mit ziemlicher Sicherheit irgendwann zu einer Datenschutzverletzung kommen, und dies ist eher auf Glück als auf Urteilsvermögen zurückzuführen.
Wie häufig sind Insider-Bedrohungen?
Insider-Bedrohungen sind ein ständiges Problem für die Cybersicherheit. Im Insider Threat Report 2021 von Cybersecurity Insiders gaben fast alle Unternehmen (98 %) an, sich Insider-Angriffen ausgesetzt zu fühlen.
Obwohl diese Vorkommnisse häufig sind, ist es schwierig, sie zu interpretieren. In vielen Fällen ist die genaue Quelle der Datenschutzverletzung unbekannt, und es ist schwierig, den Schaden abzuschätzen. Laut einer Studie von Cybersecurity Insiders waren nur 51 % der Unternehmen in der Lage, Insider-Bedrohungen zu identifizieren, oder sie konnten dies erst tun, nachdem die Daten kompromittiert worden waren.
In der Zwischenzeit gaben 89 % der Befragten an, dass sie ihre Fähigkeit zur Überwachung, Erkennung und Reaktion auf Insider-Bedrohungen nicht für effektiv hielten, und 82 % gaben an, dass es schwierig sei, die wahren Kosten eines Angriffs abzuschätzen.
So erkennen Sie Insider-Bedrohungen
Der beste Weg, Insider-Risiken zu erkennen, unabhängig davon, ob Sie nach böswilligem oder fahrlässigem Verhalten suchen, besteht darin, auf ungewöhnliches Verhalten der Mitarbeiter zu achten.
Ein Mitarbeiter könnte sich beispielsweise persönlich und schriftlich weniger professionell verhalten, wenn er bei der Arbeit unzufrieden erscheint. Sie können auch weniger als hervorragende Arbeit leisten und andere Akte des Ungehorsams zeigen, wie z. B. zu spät kommen oder früh zur Arbeit gehen.
Das Arbeiten zu ungewöhnlichen Zeiten kann manchmal ein Zeichen des Misstrauens sein. Ein Mitarbeiter tut möglicherweise etwas, von dem sein Unternehmen nichts wissen soll, wenn er sich mitten in der Nacht in sein System einloggt.
Ähnlich wie im letzten Beispiel kann ein hoher Datenverkehr bedeuten, dass ein Mitarbeiter private Daten auf eine persönliche Festplatte kopiert, um sie in betrügerischer Absicht zu verwenden.
Am aufschlussreichsten ist jedoch die Nutzung von Ressourcen durch den Mitarbeiter, die er normalerweise nicht für seine Arbeit benötigt. Dies impliziert, dass sie die Informationen für unangemessene Zwecke wie Betrug verwenden oder sie an Dritte weitergeben.
So verhindern Sie Insider-Bedrohungen
Sie können die digitalen Assets Ihres Unternehmens gegen interne Gefahren verteidigen. Wie? Weiter lesen.
#1. Schützen Sie wichtige Vermögenswerte
Bestimmen Sie die wichtigsten logischen und physischen Assets für Ihr Unternehmen. Diese bestehen aus Netzwerken, Systemen, privaten Informationen (wie Kundendaten, Mitarbeiterinformationen, Schemata und komplizierten Geschäftsplänen), Sachwerten und Personal. Bestimmen Sie den aktuellen Stand des Schutzes jedes Assets, bewerten Sie die Assets nach Wichtigkeit und verstehen Sie jedes wichtige Asset. Natürlich sollte für die Assets mit der höchsten Priorität das maximale Maß an Insider-Bedrohungsschutz bereitgestellt werden.
#2. Ermitteln Sie einen Durchschnitt der normalen Benutzer- und Geräteaktivität.
Software zur Verfolgung von Insider-Bedrohungen gibt es in verschiedenen Formen. Diese Systeme funktionieren, indem sie zunächst Daten aus Zugriffs-, Authentifizierungs-, Kontoänderungen, Endpunkt- und VPN-Aufzeichnungen (Virtual Private Network) sammeln, um Informationen zur Benutzeraktivität zu zentralisieren. Verwenden Sie diese Informationen, um das mit bestimmten Ereignissen verbundene Benutzerverhalten zu modellieren, wie z. B. das Herunterladen privater Informationen auf tragbare Medien oder den ungewöhnlichen Anmeldeort eines Benutzers, und geben Sie diesem Verhalten Risikobewertungen.
#3. Gesteigertes Bewusstsein
Mehr als ein Drittel der Befragten einer SANS-Umfrage von 2019 zu fortgeschrittenen Bedrohungen gaben an, keinen Einblick in den Missbrauch durch Insider zu haben. Der Einsatz von Tools, die das Benutzerverhalten kontinuierlich verfolgen, sowie das Zusammenstellen und Korrelieren von Aktivitätsdaten aus verschiedenen Quellen ist von entscheidender Bedeutung. Beispielsweise können Sie Cyber-Täuschungstools einsetzen, die Fallen aufstellen, um schändliche Insider anzulocken, ihr Verhalten zu überwachen und ihre Beweggründe abzuleiten. Um bestehende oder zukünftige Angriffe zu erkennen oder zu verhindern, würden diese Daten anschließend an andere Unternehmenssicherheitslösungen geliefert.
#4. Richtlinien durchsetzen
Die Sicherheitsrichtlinien der Organisation sollten definiert, dokumentiert und geteilt werden. Es schafft auch den richtigen Rahmen für die Durchsetzung und verhindert Unsicherheit. Kein Mitarbeiter, Auftragnehmer, Lieferant oder Partner sollte unsicher sein, welches Verhalten für die Sicherheitsrichtlinie seines Unternehmens angemessen ist. Sie sollten sich ihrer Verpflichtung bewusst sein, privilegierte Informationen nicht an unbefugte Personen weiterzugeben.
#5. Fördern Sie kulturelle Veränderungen
Obwohl die Identifizierung von Insider-Risiken von entscheidender Bedeutung ist, ist es klüger und kostengünstiger, Benutzer von unangemessenem Verhalten abzuhalten. Ziel ist es dabei, einen Kulturwandel hin zu Security Awareness und digitaler Transformation zu fördern. Die Vermittlung der richtigen Werte kann dazu beitragen, Unachtsamkeiten vorzubeugen und die Ursachen für schädliches Verhalten anzugehen. Die Mitarbeiterzufriedenheit sollte kontinuierlich gemessen und verbessert werden, um Frühwarnsignale von Unzufriedenheit zu erkennen. Mitarbeiter und andere Interessengruppen sollten häufig an Sicherheitsschulungen und Sensibilisierungsprogrammen teilnehmen, die sie über Sicherheitsprobleme informieren.
Programm für Insider-Bedrohungen
Eine bewährte Methode, um Frühwarnsignale für Insider-Bedrohungen zu identifizieren, Insider-Bedrohungen zu verhindern oder ihre Auswirkungen zu minimieren, ist die Entwicklung eines effektiven und konsistenten Programms für Insider-Bedrohungen. Gemäß der Sonderveröffentlichung 800-53 des National Institute of Standards and Technology (NIST) ist ein Insider-Bedrohungsprogramm „eine koordinierte Gruppe von Fähigkeiten unter zentraler Verwaltung, die organisiert ist, um die unbefugte Offenlegung sensibler Informationen zu erkennen und zu verhindern“. Häufig wird es als „Insider Threat Management Program“ oder „Framework“ bezeichnet.
Ein Insider-Bedrohungsprogramm besteht oft aus Schritten, um interne Risiken zu identifizieren, sie anzugehen, ihre Auswirkungen zu mindern und das Bewusstsein für Insider-Bedrohungen innerhalb einer Organisation zu schärfen. Aber schauen wir uns zuerst an, warum es sich lohnt, Zeit und Geld in ein solches Programm zu investieren, bevor wir uns eingehender mit den Komponenten eines Insider-Bedrohungsprogramms und bewährten Verfahren für die Einrichtung eines solchen Programms befassen.
Schritte zum Erstellen eines effizienten Programms für Insider-Bedrohungen
Wir haben diese 10-Schritte-Checkliste entwickelt, um Sie dabei zu unterstützen, das Beste aus Ihrem Insider-Bedrohungsprogramm herauszuholen. Hier sind 10 Methoden, mit denen Sie Ihr Unternehmen vor Insider-Bedrohungen schützen können.
#1. Bereiten Sie sich darauf vor, ein Programm zur Bekämpfung von Insider-Risiken zu erstellen.
Der erfolgreiche Aufbau eines Programms für interne Bedrohungen erfordert Vorbereitung, was Ihnen auf lange Sicht auch eine Menge Zeit und Arbeit ersparen wird. Sammeln Sie in diesem Schritt so viele Daten wie möglich über aktuelle Cybersicherheitsmaßnahmen, Compliance-Standards und Interessengruppen und entscheiden Sie, welche Ergebnisse das Programm liefern soll.
#2. Erstellen Sie eine Risikoanalyse.
Die Grundlage eines Insider-Bedrohungsprogramms ist die Definition, welche Vermögenswerte Sie als sensibel betrachten. Diese Vermögenswerte, wie Kunden- und Mitarbeiterinformationen, technologische Geschäftsgeheimnisse, geistiges Eigentum, Prototypen usw., können sowohl materiell als auch immateriell sein. Der beste Weg, um solche Vermögenswerte und potenzielle Gefahren für sie zu finden, besteht darin, eine Risikobewertung für externe oder interne Bedrohungen durchzuführen.
#3. Bestimmen Sie, wie viel Finanzierung erforderlich ist, um das Programm zu entwickeln.
Die Erstellung eines erfolgreichen Insider-Bedrohungsprogramms erfordert Zeit und Mühe. Bevor Sie beginnen, ist es wichtig zu erkennen, dass die Implementierung eines solchen Programms mehr als nur eine Cybersicherheitsabteilung erfordert.
#4. Holen Sie sich die Unterstützung des oberen Managements.
In dieser Phase können Sie die in den früheren Schritten gesammelten Daten verwenden, um die Unterstützung der wichtigsten Interessengruppen für die Umsetzung des Programms zu gewinnen. CEO, CFO, CISO und CHRO stehen häufig auf der Liste der wichtigen Stakeholder.
#5. Stellen Sie ein Team zusammen, um auf Insider-Bedrohungen zu reagieren
Ein Team von Mitarbeitern, die für alle Phasen des Bedrohungsmanagements zuständig sind, von der Erkennung bis zur Behebung, wird als „Insider Threat Response Team“ bezeichnet. Entgegen der landläufigen Meinung sollte dieses Team nicht nur aus IT-Profis bestehen.
#6. Bestimmen Sie die besten Methoden zur Erkennung von Insider-Bedrohungen.
Der wichtigste Aspekt Ihrer Verteidigung gegen Insider-Bedrohungen ist die frühzeitige Erkennung, da dies ein schnelles Handeln ermöglicht und die Reparaturkosten senkt. Aus diesem Grund enthält Software für die Einhaltung von PCI DSS, HIPAA und NIST 800-171 häufig eine Komponente zur Erkennung von Bedrohungen.
#7. Erstellen Sie Reaktionspläne für Vorfälle.
Ihr Einsatzteam muss typische Insider-Angriffsszenarien üben, um schnell auf eine erkannte Gefahr reagieren zu können. Der wichtigste Aspekt einer Strategie zur Reaktion auf Insider-Bedrohungen ist, dass sie praktisch und einfach durchführbar sein sollte.
#8. Planen Sie die Untersuchung und Behebung von Vorfällen.
Planen Sie Ihren Prozess zur Untersuchung von Cybersicherheitsproblemen sowie potenziellen Korrekturmaßnahmen zur Minderung von Insider-Risiken.
#9. Informieren Sie Ihre Mitarbeiter.
Die Themen eines Schulungskurses variieren je nach Sicherheitsbedrohungen, Ressourcen und Methoden, die von einer bestimmten Firma eingesetzt werden. Die Auswertung des Erfolgs des Insider Threat Awareness Trainings ist der letzte Schritt. Sie können dies tun, indem Sie Mitarbeitergespräche führen, Tests erstellen oder einen Insider-Angriff simulieren, um zu beobachten, wie Ihre Mitarbeiter reagieren.
#10. Überprüfen Sie Ihr Programm regelmäßig.
Die Erstellung eines Insider-Bedrohungsprogramms ist ein kontinuierlicher Prozess. Damit Ihr Programm effektiv ist, müssen sich Insider-Bedrohungen ändern und raffinierter und gefährlicher werden.
Warum sind Insider-Bedrohungen so gefährlich?
Laut einem SANS-Bericht über fortgeschrittene Bedrohungen wurden große Lücken bei der Abwehr von Insider-Bedrohungen gefunden. Diese Lücken werden durch einen Mangel an Basisdaten zum normalen Benutzerverhalten sowie durch eine schlechte Verwaltung der Zugriffskontrolle von privilegierten Benutzerkonten verursacht, die die Hauptziele für Brute-Force- und Social-Engineering-Angriffe wie Phishing sind.
Die besten Sicherheitsteams haben immer noch Schwierigkeiten, Insider-Bedrohungen zu identifizieren. Per Definition haben Insider legalen Zugang zu den Vermögenswerten und Informationen des Unternehmens. Es ist schwierig, den Unterschied zwischen legitimer Aktivität und schädlichem Verhalten zu erkennen.
Die rollenbasierte Zugriffsverwaltung ist eine unzureichende Kontrolle, da Insider häufig wissen, wo sensible Daten aufbewahrt werden, und möglicherweise legitime Zugriffsanforderungen haben, was das Problem verschärft.
Daher ist eine von Insidern verursachte Datenschutzverletzung wesentlich teurer als eine von externen Bedrohungsakteuren verursachte. Forscher fanden heraus, dass die durchschnittlichen Kosten pro Datensatz für einen böswilligen oder kriminellen Angriff 166 US-Dollar betrugen, verglichen mit 132 US-Dollar für Systemfehler und 133 US-Dollar für menschliche Fehler, wie aus dem Cost of a Data Breach Report 2019 des Ponemon Institute hervorgeht.
Sie können verstehen, warum die Erstellung eines Insider-Bedrohungsprogramms eine kluge Investition ist, wenn Sie bedenken, dass Insider-Bedrohungen für etwa ein Drittel der Datenschutzverletzungen (Verizon) und 60 Prozent der Cyberangriffe (IBM) verantwortlich sind.
Lösungen zur Erkennung von Insider-Bedrohungen
Da sie vor typischen Sicherheitslösungen wie Firewalls und Intrusion-Detection-Systemen verborgen sind, die sich auf externe Bedrohungen konzentrieren, sind Insider-Bedrohungen möglicherweise schwieriger zu erkennen oder zu verhindern als Angriffe von außen. Die vorhandenen Sicherheitsmaßnahmen konnten das ungewöhnliche Verhalten nicht bemerken, wenn ein Angreifer eine autorisierte Anmeldung ausnutzte. Wenn böswillige Insider mit den Sicherheitsprotokollen einer Organisation vertraut sind, können sie sich außerdem leichter der Entdeckung entziehen.
Anstatt sich auf eine einzelne Lösung zu verlassen, sollten Sie Ihre Strategie zur Erkennung von Insider-Bedrohungen diversifizieren, um alle Ihre Vermögenswerte zu schützen. Ein effizientes System zur Erkennung von Insider-Bedrohungen integriert mehrere Methoden, um nicht nur Insider-Aktivitäten zu überwachen, sondern auch Fehlalarme aus einer großen Anzahl von Warnungen auszusortieren.
Anwendungen für maschinelles Lernen (ML) können verwendet werden, um den Datenstrom zu bewerten und die wichtigsten Warnungen zu ordnen. Um das Sicherheitsteam bei der Identifizierung, Analyse und Benachrichtigung des Sicherheitsteams über potenzielle Insider-Risiken zu unterstützen, können Sie digitale Forensik- und Analysetechnologien wie User and Event Behavior Analytics (UEBA) einsetzen.
Während die Überwachung der Datenbankaktivität dabei helfen kann, Richtlinienverstöße zu erkennen, kann die Analyse des Benutzerverhaltens eine Grundlage für typische Datenzugriffsaktivitäten schaffen.
Was ist die häufigste Insider-Bedrohung?
Die typischsten Insider-Bedrohungen
- Übermäßiger privilegierter Zugriff
- Missbrauch von Privilegien
- SQL Injection
- Schwacher Audit-Trail
- Datenbankinkonsistenzen
- Phishing-Angriffe
Was sind die drei Hauptmotive für Insider-Bedrohungen?
- Böswillig: Streben nach finanziellem Gewinn oder Vergeltung für eine Straftat
- Nachlässig: Nachlässig oder ignorant
- Kompromiss: Unbewusst der Gefahr, die sie darstellen
Was sind die 3 Phasen einer Insider-Bedrohung?
Die wichtigsten Schritte zur Minderung von Insider-Bedrohungen sind die Definition, Erkennung, Identifizierung, Bewertung und Verwaltung.
Was sind die 5 wichtigsten Indikatoren für einen Insider-Bedrohungsakteur?
- Arten von Insider-Bedrohungen
- Unzureichende Ausbildung
- Ineffektive Prozesse.
- Unzufriedenheit bei der Arbeit.
- Finanzielle Schwierigkeiten.
Was sind die drei Hauptarten von Bedrohungen?
Natürliche Bedrohungen (wie Erdbeben), physische Sicherheitsbedrohungen (wie Stromausfälle, die Geräte zerstören) und menschliche Bedrohungen (wie Blackhat-Angreifer, die intern oder extern sein können) sind die drei breitesten Kategorien.
Was gilt nicht als Insider-Bedrohung?
Ein Angriff wird nicht als Insider-Bedrohung angesehen, wenn er von einer unzuverlässigen, nicht identifizierten externen Quelle stammt. Um ungewöhnliche Verkehrsgewohnheiten zu identifizieren, sind fortschrittliche Überwachungs- und Protokollierungssysteme erforderlich, um sich vor Insider-Angriffen zu schützen.
Ähnliche Artikel
- CYBER THREAT INTELLIGENCE: Bedeutung, Tools, Analyst & Gehalt
- INSIDERHANDEL: Bedeutung, Beispiele und Aktien
- Kundenbindungsprogramme und -ideen (+am besten bewertete Programme im Jahr 2023)
- Was ist forensische Buchhaltung: Überblick und wie es funktioniert
Bibliographie
