Die Bedrohung kommt von innen: So erkennen und verhindern Sie Insider-Bedrohungen
Haben Sie jemals einen Horrorfilm angeschaut, in dem die Hauptfigur, die allein zu Hause ist, plötzlich bedrohliche Anrufe von einem Fremden erhält? Sie prüft schnell, ob alle Türen und Fenster fest verschlossen sind, und verständigt die Polizei – nur um herauszufinden, dass die mysteriösen Anrufe von Anfang an vom Inneren des Hauses aus getätigt wurden... Ein Albtraum-Szenario, das für CIOs schnell mehr oder weniger zur Realität werden kann, wenn sie die bekanntermaßen schwer festzustellenden Sicherheitsrisiken ignorieren, die vom Inneren ihres eigenen Unternehmens ausgehen können.
In diesem Artikel werden wir erkunden, wer diese riskanten Insider sind und warum sie eine der größten Cyberanfälligkeiten für Unternehmen darstellen, sowie erläutern, wie Insider-Bedrohungen erkannt und Unternehmensdaten vor mit ihnen einhergehenden Datenschutzverletzungen geschützt werden können.
Was ist eine Insider-Bedrohung – und um wen handelt es sich bei Insider-Angreifern?
Die US-amerikanische Cyber and Infrastructure Security Agency (CISA) definiert, eine Insider-Bedrohung als „das Potenzial eines Insiders, seinen befugten Zugriff auf oder Wissen über eine Organisation zu nutzen, um dieser Schaden zuzufügen“. Dieser Schaden kann durch böswillige, fahrlässige oder unbeabsichtigte Handlungen hervorgerufen werden – aber so oder so leiden letztendlich die Integrität, Vertraulichkeit und Verfügbarkeit des Unternehmens und seiner Datenbestände darunter.
Sie fragen sich, wer als Insider angesehen wird? Jede Person, die befugten Zugriff auf oder Wissen über eine Unternehmensressource hat oder in der Vergangenheit gehabt hat – egal, ob es sich bei diesen Ressourcen um Personal, Räumlichkeiten, Daten, Ausstattung, Netzwerke oder Systeme handelt. Laut CISA können dies Personen sein, denen die Organisation vertraut und denen Zugriff auf sensible Informationen gewährt wird, wie z. B. Mitarbeiter. Andere Beispiele hierfür sind Personen, die
- über Sicherheitsausweise oder Zugangsgeräte verfügen, die sie als Personen mit regelmäßigem oder durchgängigem Zugang identifizieren, wie Auftragnehmer oder Lieferanten;
- Produkte und Services für die Organisation entwickeln und somit die Geheimnisse der Produkte kennen, die den größten Wert für die Organisation darstellen;
- in die Preis- und Kostenstruktur, die Stärken und Schwächen sowie die Geschäftsstrategie und -ziele der Organisation eingeweiht sind;
- für die Regierung tätig sind und dadurch Zugriff auf Informationen haben, bei deren Gefährdung die nationale und öffentliche Sicherheit auf dem Spiel stehen.
Die zwei Arten von Insider-Bedrohungen – und ihre Unterformen
Insider-Bedrohungen gibt es in jeglicher Form und Größe, aber die meisten von ihnen lassen sich in zwei übergeordnete Kategorien einstufen:
1. Unbeabsichtigte Angriffe sind das Ergebnis von entweder fahrlässigem oder versehentlichem Insider-Verhalten. Ersteres äußert sich in Sicherheitsvorfällen, die durch fahrlässige Insider verursacht werden, die sich der Cybersicherheitsprotokolle einer Organisation durchaus bewusst sind, sie jedoch wissentlich ignorieren. Beispiele hierfür sind ein Versäumnis, Software-Updates einschließlich Sicherheitspatches zu installieren, oder eine fahrlässige Handhabung von Geräten, auf denen sensible Firmendaten gespeichert sind. Versehentliche Bedrohungen entstehen dann, wenn Insider Firmendaten unabsichtlich Cybersicherheitsrisiken aussetzen, indem sie z. B. eine vertrauliche Datei mit der falschen Person teilen, Phishing- oder Malware-Angriffen zum Opfer fallen oder vertrauliche Dokumente auf unachtsame Weise entsorgen.
2. Vorsätzliche Angriffe können ebenso hinterhältig sein – wenn nicht sogar noch hinterhältiger. Die Motivation böswilliger Insider liegt meist in Habgier oder Rache: Sie wollen einer Organisation Schaden zufügen, um finanzielle Gewinne einzustreichen oder sich für eine reale oder eine von ihnen als solche wahrgenommene schlechte Behandlung zu rächen. Gewöhnlich tun sie dies, indem sie sensible Informationen oder Geschäftsgeheimnisse offenlegen, um die Produktivität oder den Ruf eines Unternehmens zu sabotieren, oder als eine Form von Wirtschaftsspionage, um urheberrechtlich geschützte Daten oder geistiges Eigentum aus Profitgier oder zur Förderung ihrer Karriere bei einem neuen Arbeitgeber zu stehlen. Unterformen dieser Art von Insider-Bedrohung werden oftmals als Maulwürfe, Kollaborateure oder kollusive Bedrohungen bezeichnet: Insider, die dazu überredet, überlistet oder genötigt wurden, nach der Pfeife der Cyberkriminellen zu tanzen.
Wodurch werden Insider-Bedrohungen verursacht? Vier potenzielle Beweggründe
- Finanzieller Gewinn – Böswillige Insider werden oft von Habgier angetrieben, entweder aus finanzieller Not oder weil sie das Gefühl haben, dass sie für ihre Arbeit nicht ausreichend entlohnt werden.
- Rache – Gesteigerte Emotionen, wie die durch eine Kündigung oder negative Leistungsbeurteilung hervorgerufene Frustration, können Mitarbeiter zu Risikofaktoren machen.
- Spionage – Auch wenn dies selten der Fall ist, kann Geschäfts-, kriminelle oder politische Spionage ein starkes Motiv für Personen sein, es auf sensible Datensätze abzusehen.
- Unwissenheit – Laut Gartner werden 90% aller Insider-Vorfälle durch „Dussel“ verursacht, also Nutzer, die Sicherheitskontrollen aus Bequemlichkeit oder Inkompetenz aktiv ignorieren.
Was sind potenzielle Indikatoren für Insider-Bedrohungen?
Für die Entschärfung von Insider-Bedrohungen ist es unerlässlich, die verräterischen Zeichen von stattfindenden oder drohenden Insider-Aktivitäten – auch als potenzielle Risikoindikatoren (PRI) bekannt – zu erkennen. Laut dem Center for Development of Security Excellenceumfassen PRI eine Reihe individueller Veranlagungen, Stressoren, Entscheidungen, Handlungen und Verhaltensweisen, wie Zugriffsattribute, Faktoren in Hinblick auf den beruflichen Lebenszyklus und berufliche Leistung, Sicherheits- und Compliance-Verletzungen und unbefugte Nutzung oder Offenlegung.
Als Faustregel gilt, dass Sie nach folgenden Aktivitäten Ausschau halten sollten:
1. Ungewöhnliche Anmeldungen außerhalb der Arbeitszeit
Wenn ein Mitarbeiter sich plötzlich regelmäßig außerhalb der Arbeitszeit oder von ungewöhnlichen Standorten aus ins Firmennetzwerk einloggt, kann dies ein potenzielles Warnzeichen sein.
2. Versuchter Zugriff auf unerlaubte Ressourcen
Falls Mitarbeiter Ihres Unternehmens nur über die minimale Zugriffsberechtigung verfügen, die sie für die Ausführung ihrer Tätigkeit benötigen, sollten plötzliche Anfragen für den Zugriff auf sensible Dateien mit Argwohn betrachtet werden.
3. Unregelmäßige oder übermäßige Datentransfers
Lädt ein Nutzer große Datenmengen aus dem Firmennetzwerk oder der Cloudinfrastruktur von externen Standorten aus oder auf nicht vertrauenswürdige Geräte herunter? Dies ist ein alarmierendes Zeichen.
4. Manipulation von Dateinamen, -inhalten und -formaten
Das Kopieren von Informationen in neue Dateien, das Umbenennen von Dateien und das Speichern von Dateien in verschiedenen Formaten sind gängige Verschleierungstaktiken böswilliger Insider, die ihre Aktivitäten zu verbergen suchen.
5. Verwendung von Schatten-IT-Tools oder -Anwendungen
Bei der Verwendung von Hardware oder Software ohne die Zustimmung der IT-Abteilung kann es sich um eine arglose Behelfslösung handeln – oder um ein Anzeichen dafür, dass jemand die Sicherheitsprotokolle absichtlich umgeht.
6. Feindselige Einstellung oder unerwartete Beendigung des Arbeitsverhältnisses
Private oder berufliche Konflikte mit Kollegen, ein abrupter Einstellungswandel, ein geäußerter Kündigungswunsch oder ein plötzliches Ausscheiden aus der Firma können alle Anzeichen für die Verstimmung eines Mitarbeiters sein und Insider-Bedrohungen verursachen.
Die Evolution einer Insider-Bedrohung: Ein aus dem Leben gegriffenes Beispiel
Eine von der Cyber and Infrastructure Security Agency zitierte Fallstudie veranschaulicht deutlich, wie diverse potenzielle Indikatoren für Insider-Bedrohungen zusammenwirken können, um einen wahren Sturm zu entfachen.
Der betreffende Insider war als Ingenieur für einen Zulieferer von Luftfahrtteilen für hochrangige US-Regierungsbehörden wie NASA, die US-Luftwaffe und die US-Marine tätig. Die firmeninterne Einheit für Insider-Bedrohungen stellte besorgniserregende Verhaltensweisen seitens des Mitarbeiters fest, einschließlich des Übertragens ganzer Ordner voll von technischen Zeichnungen und anderer wertvoller Designinformationen für ein Satellitenprogramm auf einen USB-Stick. Darüber hinaus legte der Mitarbeiter Anzeichen für ein schlechtes Urteilsvermögen an den Tag (er gab tausende Dollar für eine romantische Beziehung aus, ohne sein Gegenüber jemals persönlich kennengelernt zu haben); zeigte sich frustriert, weil er nicht befördert worden war, und hatte finanzielle Sorgen bezüglich steigender Arztrechnungen als Folge des sich verschlechternden Gesundheitszustands seiner Frau.
Der Mitarbeiter kontaktierte dann die russische Botschaft, um die gestohlenen urheberrechtlich geschützten Softwaretechnologiedaten und Satelliteninformationen zu verkaufen, und traf sich mehrmals mit einem verdeckt ermittelnden FBI-Agenten, den er für einen russischen Geheimdienstoffizier hielt. Dank der wachsamen Spezialisten für Insider-Bedrohungen des Luftfahrtunternehmens und ihrer engen Zusammenarbeit mit den Strafverfolgungsbehörden konnte diesem böswilligen Plan rechtzeitig Einhalt geboten werden. Der Täter wurde schließlich für den versuchten illegalen Verkauf von urheberrechtlich geschützten Betriebsgeheimnissen an einen ausländischen Geheimdienst zu fünf Jahren Haft verurteilt.
Von der Vulnerabilität zur Stärke: 4 bewährte Methoden zur Prävention von Insider-Bedrohungen
1. Die Erkennung von Insider-Bedrohungen beginnt mit dem Einstellungsverfahren
„Insider-Bedrohungen können an mehreren Fronten bekämpft werden, einschließlich zu Beginn des Einstellungsverfahrens. Die Einstellung von Führungskräften sollte über die standardmäßige Prüfung des polizeilichen Führungszeugnisses hinausgehen und tiefer in den persönlichen Hintergrund eines Kandidaten eintauchen, um nach Anzeichen für alles zu suchen, was die Person für Erpressung oder Bestechung anfällig machen könnte“, rät Pete Burke, Experte für Sicherheit und grenzenlose Vernetzung. Dies kann übermäßige Schulden, Bankrott, Kreditausfälle, Steuerschulden oder sonstige Anzeichen für finanzielle Nöte umfassen, die dazu ausgenutzt werden könnten, Druck auf den zukünftigen Mitarbeiter auszuüben.
2. Stärken Sie das Bewusstsein für Cybersicherheit und Insider-Bedrohungen
Eine gemeinschaftliche Studie von Professor Jeff Hancock von der Stanford University und Sicherheitsunternehmen Tessian hat herausgefunden, dass sage und schreibe 88% aller Datenschutzverletzungen durch menschliches Versagen verursacht werden. 50% der befragten Mitarbeiter gaben an, sich „sehr“ oder „ziemlich“ sicher zu sein, dass sie einen Fehler auf der Arbeit begangen haben, der zu einem Sicherheitsrisiko für ihr Unternehmen hätte werden können. Dies unterstreicht deutlich, dass Arbeitgeber in ihrer Organisation eine Kultur der Wachsamkeit etablieren müssen – durch Mitarbeiterschulungen, die ein rechtzeitiges Erkennen von Indikatoren für Insider-Bedrohungen ermöglichen, bevor diese zu Datenschutzverletzungen führen.
3. Passen Sie Sicherheitsprotokolle Ihrer Organisation an
Die Ausarbeitung eines effektiven Präventionsprogramms zur Beurteilung und Eingrenzung von Anfälligkeiten für Insider-Bedrohungen sollte mit der folgenden Frage beginnen: „Welche wichtigen Assets meiner Organisation müssen geschützt werden?“ Physisches oder geistiges Eigentum, Technologien oder Verfahren, Software oder Ausstattung – stellen Sie sicher, dass Sie alles erwägen, dessen Verlust, Gefährdung, Diebstahl oder Schädigung Ihre Geschäftskontinuität aufs Spiel setzen könnte. Als nächster Schritt sollten Sie identifizieren, wer auf diese Assets Zugriff hat, und Zugriffsbeschränkungen einrichten oder neu evaluieren, um strikt dem „Kenntnis nur, wenn nötig“-Prinzip zu folgen.
4. Sorgen Sie für Transparenz
Wenn Sie keinen Einblick in die Netzwerkaktivität der Nutzer haben, ist die Prävention von Insider-Bedrohungen ein Kampf gegen Windmühlen. Richten Sie Kontrollen zur Überwachung und Verwaltung von Schatten-IT-Risiken ein; etablieren Sie sichere und einfach überwachbare Datentausch- und Datenzugriffspraktiken, um Nutzerverhalten und Dateibewegungen nachzuverfolgen, und stellen Sie sicher, dass Ihre Richtlinien zum Mitbringen eigener Geräte ins Büro klar und umfassend genug sind, damit nicht gleichzeitig Risiken mitgebracht werden. Außerdem ist es eine gute Idee, in ein Ende-zu-Ende verschlüsseltes Datentausch- und Zusammenarbeitstool mit Zero-Knowledge-Prinzip zu investieren, um Ihr Unternehmen auf bestmögliche Weise zu schützen.