Die Bedrohung kommt von innen: So erkennen und verhindern Sie Insider-Bedrohungen

Haben Sie jemals einen Horrorfilm angeschaut, in dem die Hauptfigur, die in einer düsteren und stürmischen Nacht allein zu Hause ist, plötzlich bedrohliche Anrufe von einem Fremden erhält? Sie prüft schnell, ob alle Türen und Fenster fest verschlossen sind und verständigt die Polizei – nur um herauszufinden, dass die mysteriösen Anrufe von Anfang an vom Inneren des Hauses aus getätigt wurden. Definitiv ein Albtraum-Szenario – aber wir beruhigen uns, indem wir uns selbst daran erinnern: „Es ist ja bloß ein Film.“
Dennoch kann ein derartiges Szenario für CIOs, die die bekanntlich schwer festzustellenden Sicherheitsrisiken, die vom Inneren der Organisation ausgehen können, ignorieren, schnell zur Realität werden. In diesem Artikel werden wir erkunden, wer diese riskanten Insider sind und warum sie eine der größten Cyberanfälligkeiten für Unternehmen darstellen, sowie erläutern, wie Insider-Bedrohungen erkannt und Unternehmensdaten vor mit ihnen einhergehenden Datenschutzverletzungen geschützt werden können.
Was ist eine Insider-Bedrohung – und um wen handelt es sich bei Insider-Angreifern?
Die US-amerikanische Cyber and Infrastructure Security Agency (CISA) definiert, eine Insider-Bedrohung als „das Potenzial eines Insiders, seinen befugten Zugriff auf oder Wissen über eine Organisation zu nutzen, um dieser Schaden zuzufügen“. Dieser Schaden kann durch böswillige, fahrlässige oder unbeabsichtigte Handlungen hervorgerufen werden – aber so oder so leiden letztendlich die Integrität, Vertraulichkeit und Verfügbarkeit des Unternehmens und seiner Datenbestände darunter.
Sie fragen sich, wer als Insider angesehen wird? Jede Person, die befugten Zugriff auf oder Wissen über eine Unternehmensressource hat oder in der Vergangenheit gehabt hat – egal, ob es sich bei diesen Ressourcen um Personal, Räumlichkeiten, Daten, Ausstattung, Netzwerke oder Systeme handelt. Laut CISA können dies Personen sein, denen die Organisation vertraut und denen Zugriff auf sensible Informationen gewährt wird, wie z. B. Mitarbeiter. Andere Beispiele hierfür sind Personen, die
● über Sicherheitsausweise oder Zugangsgeräte verfügen, die sie als Personen mit regelmäßigem oder durchgängigem Zugang identifizieren, wie Auftragnehmer oder Lieferanten;
● Produkte und Services für die Organisation entwickeln und somit die Geheimnisse der Produkte kennen, die den größten Wert für die Organisation darstellen;
● in die Preis- und Kostenstruktur, die Stärken und Schwächen sowie die Geschäftsstrategie und -ziele der Organisation eingeweiht sind;
● für die Regierung tätig sind und dadurch Zugriff auf Informationen haben, bei deren Gefährdung die nationale und öffentliche Sicherheit auf dem Spiel stehen.
Die Anatomie eines Insider-Angriffs: Das Wie und Warum
Insider-Bedrohungen gibt es in jeglicher Form und Größe, aber die meisten von ihnen lassen sich in zwei übergeordnete Kategorien einstufen: vorsätzliche und unbeabsichtigte Angriffe.
Unbeabsichtigte Bedrohungen sind das Ergebnis von entweder fahrlässigem oder versehentlichem Insider-Verhalten. Ersteres äußert sich in Sicherheitsvorfällen, die durch Personen verursacht werden, die sich der Cybersicherheitsprotokolle einer Organisation durchaus bewusst sind, sie jedoch wissentlich ignorieren. Beispiele hierfür sind ein Versäumnis, Software-Updates einschließlich Sicherheitspatches zu installieren, oder eine fahrlässige Handhabung von Geräten, auf denen sensible Firmendaten gespeichert sind. Versehentliche Bedrohungen entstehen dann, wenn Insider die Organisation unabsichtlich Cybersicherheitsrisiken aussetzen, indem sie z. B. eine vertrauliche Datei mit der falschen Person teilen, Phishing- oder Malware-Angriffen zum Opfer fallen oder sensible Dokumente auf unachtsame Weise entsorgen.
Ein gutes Beispiel für das Chaos, das durch derartige Unachtsamkeiten für eine Organisation und deren Stakeholder entstehen kann, ist der große Twitter-Hack des Jahres 2020. Im Juli dieses Jahres wurden 130 hochkarätige Konten aus den Bereichen US-Politik, Unterhaltung und Technologie – wie die Konten von Elon Musk, Barack Obama, Joe Biden, Bill Gates, Jeff Bezos, Michael Bloomberg, Warren Buffett, Kim Kardashian, Kanye West, Apple und Uber – gekapert, um deren Millionen von Followern einen Bitcoin-Betrug anzupreisen.Die Idee war einfach: Senden Sie einen Bitcoin-Betrag an einen Prominenten und dieser sendet Ihnen den doppelten Betrag zurück. Laut Heise, verdienten die Angreifer mit diesem Schwindel über 100.000 US-Dollar.
Twitter bestätigte, dass diese Tortur als ein übers Telefon ausgeführter Spear-Phishing-Angriff begann, der eine Handvoll Mitarbeiter des Konzerns ins Visier genommen hatte. Die Hacker gaben vor, dass sie für Twitters IT-Abteilung arbeiteten und im Begriff waren, ein VPN-Problem zu beheben. Solche Probleme stellten während des Höhepunkts der Pandemie ein nahezu tägliches Ereignis dar, da mehr und mehr Mitarbeiter sich von ihren Homeoffices in das Firmennetzwerk einwählen mussten, wie der von Inside IT zitierte Untersuchungsbericht des New Yorker Departments für Finanzdienstleistungen betont. Die Mitarbeiter wurden dann zu einer gefälschten Twitter-VPN-Webseite weitergeleitet und darum gebeten, ihre Anmeldeinformationen einzugeben. Es ist nicht bekannt, wie viele Mitarbeiter genau diesem Betrug zum Opfer fielen. Es war mindestens einer – aber in diesem Fall bereits einer zu viel.
Vorsätzliche Bedrohungen können ebenso hinterhältig sein – wenn nicht sogar noch hinterhältiger. Die Motivation böswilliger Insider liegt meist in Habgier oder Rache: Sie wollen einer Organisation Schaden zufügen, um finanzielle Gewinne einzustreichen oder sich für eine reale oder eine von ihnen als solche wahrgenommene schlechte Behandlung zu rächen. Gewöhnlich tun sie dies, indem sie sensible Informationen oder Geschäftsgeheimnisse offenlegen, um die Produktivität oder den Ruf eines Unternehmens zu sabotieren, oder als eine Form von Wirtschaftsspionage, um urheberrechtlich geschützte Daten oder geistiges Eigentum aus Profitgier oder zur Förderung ihrer Karriere bei einem neuen Arbeitgeber zu stehlen. Untergruppen dieser böswilligen Akteure werden oftmals als Maulwürfe, Kollaborateure oder kollusive Bedrohungen bezeichnet: Insider, die dazu überredet, überlistet oder genötigt wurden, nach der Pfeife der Cyberkriminellen zu tanzen.
„Er dachte, er war der klügste Typ im Raum“, sagte FBI-Agent Vin Manglavil über Jean Patrice Delia , einen ehemaligen Ingenieur für den US-Konzern General Electric, der sich im Dezember 2019 der Verschwörung zum Diebstahl von Betriebsgeheimnissen seines früheren Arbeitgebers für schuldig bekannte. Offensichtlich war Delia jedoch den staatlichen Ermittlern nicht gewachsen. Diese arbeiteten Jahre daran, aufzudecken, wie Delia und sein Geschäftspartner Miguel Sernas rund 8000 Dateien mit Betriebsgeheimnissen, Preismodellen und geschäftlichen Angeboten entwendet hatten, um General Electric weltweit im Verhandeln von neuen Verträgen schlagen zu können – so bestätigt die US-Staatsanwaltschaft für den nördlichen Distrikt New Yorks .
Firmen-Cluedo: Was sind potenzielle Indikatoren für Insider-Bedrohungen?
In seinem jährlichen globalen Bericht zu den Kosten von Insider-Bedrohungen untersucht das Ponemon Institute die finanziellen Folgen von drei Arten von Insider-Bedrohungen , einschließlich unachtsamen oder fahrlässigen Mitarbeitern und Auftragnehmern, kriminellen oder böswilligen Insidern und Dieben von Anmeldedaten. Laut des aktuellen Berichts 2022 haben Insider-Bedrohungen in allen drei Bereichen zugenommen – aber diejenigen, die durch die Unachtsamkeit oder Fahrlässigkeit von Mitarbeitern entstehen, haben in diesem Risiko-Rennen die Spitzenposition inne. Sechsundfünfzig Prozent aller festgestellten Vorfälle ließen sich auf fahrlässiges Verhalten zurückführen, was Organisationen durchschnittlich Kosten in Höhe von 484.931 US-Dollar verursacht. Böswillige Akteure tragen die Schuld für 26% aller Insider-Angriffe, mit durchschnittlichen Kosten von 648.062 US-Dollar pro Vorfall. Daher ist es für die Entschärfung dieser Insider-Bedrohungen unerlässlich, die verräterischen Zeichen von stattfindenden oder drohenden Insider-Aktivitäten – auch als potenzielle Risikoindikatoren (PRI) bekannt – zu erkennen. Laut dem Center for Development of Security Excellence umfassen PRI eine Reihe individueller Veranlagungen, Stressoren, Entscheidungen, Handlungen und Verhaltensweisen, wie Zugriffsattribute, Faktoren in Hinblick auf den beruflichen Lebenszyklus und berufliche Leistung, Sicherheits- und Compliance-Verletzungen und unbefugte Nutzung oder Offenlegung. Sie erfassen außerdem alle unangemessenen Bemühungen, geschützte Informationen, die über den individuellen „Kenntnis nur, wenn nötig“-Umfang hinausgehen, einzusehen oder zu erlangen, sowie technische Aktivitäten, finanzielle Erwägungen und kriminelles oder fragwürdiges persönliches Verhalten. Eine von der Cyber and Infrastructure Security Agency zitierte Fallstudie veranschaulicht deutlich, wie diverse potenzielle Indikatoren für Insider-Bedrohungen zusammenwirken können, um einen wahren Sturm zu entfachen, der einen vertrauenswürdigen Mitarbeiter zu einer Cybergefahr macht.
Der betreffende Insider war als Ingenieur für einen Zulieferer von Luftfahrtteilen für hochrangige US-Regierungsbehörden wie NASA, die US-Luftwaffe und die US-Marine tätig. Die firmeninterne Einheit für Insider-Bedrohungen stellte besorgniserregende Verhaltensweisen seitens des Mitarbeiters fest, einschließlich des Übertragens ganzer Ordner voll von technischen Zeichnungen und anderer wertvoller Designinformationen für ein Satellitenprogramm auf einen USB-Stick. Darüber hinaus legte der Mitarbeiter Anzeichen für ein schlechtes Urteilsvermögen an den Tag (er gab Tausende Dollar für eine romantische Beziehung aus, ohne sein Gegenüber jemals persönlich kennengelernt zu haben), zeigte sich frustriert, weil er nicht befördert worden war, und hatte finanzielle Sorgen bezüglich steigender Arztrechnungen als Folge des sich verschlechternden Gesundheitszustands seiner Frau.
Der Mitarbeiter kontaktierte dann die russische Botschaft, um die gestohlenen urheberrechtlich geschützten Softwaretechnologiedaten und Satelliteninformationen zu verkaufen, und traf sich mehrmals mit einem verdeckt ermittelnden FBI-Agenten, den er für einen russischen Geheimdienstoffizier hielt. Dank der wachsamen Spezialisten für Insider-Bedrohungen des Luftfahrtunternehmens und ihrer engen Zusammenarbeit mit den Strafverfolgungsbehörden konnte diesem böswilligen Plan rechtzeitig Einhalt geboten werden. Der Täter wurde schließlich für den versuchten illegalen Verkauf von urheberrechtlich geschützten Betriebsgeheimnissen an einen ausländischen Geheimdienst zu fünf Jahren Haft verurteilt.
Von der Vulnerabilität zur Stärke: 4 bewährte Methoden zur Prävention von Insider-Bedrohungen
1. Die Entschärfung von Insider-Bedrohungen beginnt mit dem Einstellungsverfahren
„Insider-Bedrohungen können an mehreren Fronten bekämpft werden, einschließlich zu Beginn des Einstellungsverfahrens. Die Einstellung von Führungskräften sollte über die standardmäßige Prüfung des polizeilichen Führungszeugnisses hinausgehen und tiefer in den persönlichen Hintergrund eines Kandidaten eintauchen, um nach Anzeichen für alles zu suchen, was die Person für Erpressung oder Bestechung anfällig machen könnte“, rät Pete Burke, Experte für Sicherheit und grenzenlose Vernetzung . Dies kann übermäßige Schulden, Bankrott, Kreditausfälle, Steuerschulden oder sonstige Anzeichen für finanzielle Nöte umfassen, die dazu ausgenutzt werden könnten, Druck auf den zukünftigen Mitarbeiter auszuüben.
2. Stärken Sie das Bewusstsein für Cybersicherheit und Insider-Bedrohungen
Eine gemeinschaftliche Studie von Professor Jeff Hancock von der Stanford University und Sicherheitsunternehmen Tessian hat herausgefunden, dass sage und schreibe 88% aller Datenschutzverletzungen durch menschliches Versagen verursacht werden. 50% der befragten Mitarbeiter gaben an, sich „sehr“ oder „ziemlich“ sicher zu sein, dass sie einen Fehler auf der Arbeit begangen haben, der zu einem Sicherheitsrisiko für ihr Unternehmen hätte werden können. Dies unterstreicht deutlich, dass Arbeitgeber in ihrer Organisation eine Kultur der Wachsamkeit etablieren müssen – durch Mitarbeiterschulungen, die ein rechtzeitiges Erkennen von Indikatoren für Insider-Bedrohungen ermöglichen, bevor diese zu Datenschutzverletzungen führen.
3. Passen Sie Sicherheitsprotokolle Ihrer Organisation an
Die Ausarbeitung eines effektiven Präventionsprogramms für Insider-Bedrohungen sollte mit der folgenden Frage beginnen: „Welche wichtigen Assets meiner Organisation müssen geschützt werden?“ Physisches oder geistiges Eigentum, Technologien oder Verfahren, Software oder Ausstattung – stellen Sie sicher, dass Sie alles erwägen, dessen Verlust, Gefährdung, Diebstahl oder Schädigung Ihre Geschäftskontinuität aufs Spiel setzen könnte. Als nächsten Schritt sollten Sie identifizieren, wer auf diese Assets Zugriff hat, und Zugriffsbeschränkungen einrichten oder neu evaluieren, um strikt dem „Kenntnis nur, wenn nötig“-Prinzip zu folgen.
4. Sorgen Sie für Transparenz
Wenn Sie keinen Einblick in die Netzwerkaktivität der Nutzer haben, ist die Prävention von Insider-Bedrohungen ein Kampf gegen Windmühlen. Richten Sie Kontrollen zur Überwachung und Verwaltung von Schatten-IT-Risiken ein, etablieren Sie sichere und einfach überwachbare Datentausch- und Datenzugriffspraktiken, um Nutzerverhalten und Dateibewegungen nachzuverfolgen, und stellen Sie sicher, dass Ihre Richtlinien zum Mitbringen eigener Geräte ins Büro klar und umfassend genug sind, damit nicht gleichzeitig Risiken mitgebracht werden. Außerdem ist es eine gute Idee, in ein Ende-zu-Ende verschlüsseltes Datentausch- und Zusammenarbeitstool mit Zero-Knowledge-Prinzip zu investieren, um Ihr Unternehmen auf bestmögliche Weise zu schützen.