Verstehen und Bekämpfen von Insider-Bedrohungen

Wenn von „Insider-Bedrohungen“ die Rede ist, denken die meisten Menschen sofort an unzufriedene Mitarbeitende, die ihren Groll zum Ausdruck bringen, indem Sie Systeme sabotieren oder das Unternehmen auf andere Weise schädigen. Und solche bösartigen Insider sind sicherlich ein wesentlicher Bestandteil des Problems der Insider-Bedrohung. Vom Standpunkt der Security aus ist es jedoch wichtig, ein breiteres, umfassenderes Verständnis davon zu haben, was eine Insider-Bedrohung darstellt. Sobald wir einen klaren Überblick über die verschiedenen Arten von Insider-Bedrohungen haben, können wir Strategien zu ihrer Bekämpfung effektiver planen und ausführen.

Bösartige Insider

Werfen wir zunächst einen genaueren Blick auf bösartige Insider. Dazu gehören sicherlich auch Menschen, die Groll gegen das Unternehmen hegen, weil sie sich zum Beispiel bei einer Beförderung übergangen fühlen.

Diese nachtragenden Mitarbeitenden können absichtlich selbst Maßnahmen ergreifen, die dem Unternehmen schaden. Sie können aber auch von externen Bedrohungsakteuren kontaktiert werden, um sie bei einem Ransomware-Angriff oder einer anderen Form der Bedrohung zu unterstützen. Tatsächlich gaben gemäß der 2021 und Anfang 2022 erfassten Daten von Hitachi 65 % der befragten Führungskräfte an, dass man bei ihnen oder ihren Mitarbeitenden wegen Unterstützung beim Planen von Ransomware-Angriffen angefragt hatte. Diese Zahl hat in aufeinanderfolgenden Umfragen, insbesondere seit Beginn der COVID-19-Pandemie, stetig zugenommen.Wenn ein Mitarbeiter seine Unzufriedenheit in den sozialen Medien zum Ausdruck gebracht hat, kann man davon ausgehen, dass er höchstwahrscheinlich von externen Hackern kontaktiert wird. Das bedeutet, ein unzufriedener Mitarbeiter benötigt keine speziellen technischen Fähigkeiten oder Kenntnisse, um einen hochgradig technischen Cyberangriff durchzuführen.

Eine andere Art von böswilligem Insider kann ein besonders ehrgeiziger und opportunistischer Mitarbeiter sein, der Informationen stiehlt oder das Projekt eines anderen Mitarbeiters sabotiert, um seine eigene Karriere zu fördern.

Schließlich kann ein bösartiger Insider jemand sein, der an Industriespionage beteiligt ist und firmeneigene Informationen aus rein finanziellen Gründen an ein konkurrierendes Unternehmen verkauft. Sie können die Spionage von sich aus initiieren oder auf ein Angebot eines Mitbewerbers reagieren.

Fahrlässige Insider

Eine weitere Kategorie ist der fahrlässige Insider. Dabei kann es sich um einen Mitarbeiter handeln, der gelegentlich aufgrund von Zerstreutheit gegen Security-Verfahren oder -Richtlinien verstößt. Oder um einen Mitarbeiter, der einfach nicht ausreichend in Security-Protokollen geschult wurde. Oder um einen Mitarbeiter, der sich entscheidet, IT-Security-Verfahren zu ignorieren, weil er sie vielleicht für unnötig oder übermäßig aufwendig hält.

Kompromittierte Insider

Zu guter Letzt haben wir noch kompromittierte Insider. In den meisten Fällen handelt es sich dabei um Mitarbeiter, die Opfer einer Art Phishing-Betrug geworden sind, indem sie entweder Malware auf ihren Computer heruntergeladen oder unwissentlich ihre Zugangsdaten an einen Angreifer weitergegeben haben. Wenn sie nicht bemerken, dass sie hereingelegt wurden, können ihr Netzwerkkonto oder ihr Computer möglicherweise zu einem Einstieg innerhalb des Netzwerks für bösartige externe Hacker werden.

Diese Hacker können sich dann Zeit lassen und tun, was sie wollen. Sie können das Gerät einem Botnetz hinzufügen und es für DDoS-Angriffe verwenden. Sie können es zum Mining von Kryptowährung einsetzen . Meistens aber nutzen sie es als Ausgangspunkt, um Ihre Unternehmensnetzwerke zu erkunden. Sie können lateral zu anderen Geräten und Konten wechseln, Zugangsdaten sammeln und ihre Zugriffsrechte erweitern, bis sie wertvolle Daten finden, die sie stehlen oder zur Forderung von Lösegeld verwenden können, oder bis sie auf kritische Systeme zugreifen und diese sabotieren können.

Insider-Bedrohungen bekämpfen

Nachdem wir uns nun mit den verschiedenen Arten von Insider-Bedrohungen und ihren Motiven (oder deren Mangel) befasst haben, können wir verschiedene unterschiedliche Maßnahmen identifizieren, die zur Verringerung der Anzahl von Insider-Bedrohungen und zur Entdeckung und Blockierung der verbleibenden Bedrohungen eingesetzt werden können.

Sorgen Sie für die Zufriedenheit Ihrer Mitarbeiter

Ja, das ist ein Wort, das zu meinen Favoriten gehört, denn es bedeutet das Gegenteil von unzufrieden. Wir wollen damit nur sagen, dass die Einhaltung von Best Practices in HR und Management – Transparenz und Fairness bei Entscheidungen über Beförderungen und Gehaltserhöhungen, klare und ehrliche Kommunikation der Führungskräfte usw. – viel dazu beitragen kann, die Zahl der böswilligen Insider zu verringern, die schlussendlich eine Bedrohung für das Unternehmen darstellen könnten.

HR und IT-Abteilung im Einklang

Es kann auch sehr hilfreich sein, wenn HR und IT in Bezug auf potenzielle bösartige Insider-Bedrohungen eng zusammenarbeiten, bis hin zu regelmäßigen Treffen zum Informationsaustausch. HR kann Listen von Mitarbeitern bereitstellen, die in letzter Zeit gemaßregelt wurden oder das Gefühl haben, bei Gehaltserhöhungen oder Beförderungen übergangen worden zu sein. Das ermöglicht der IT, ihr Online-Verhalten genauer zu überwachen und möglicherweise besondere Richtlinien auf ihren Geräten oder Konten durchzusetzen.

Ebenso sollte die IT über Mittel und Wege verfügen, um Mitarbeitende zu erkennen, die sich zu ungewöhnlichen Zeiten anmelden oder ausweisen, die auf Daten zuzugreifen, die für ihre Rolle nicht relevant sind, und andere verdächtige Verhaltensweisen an den Tag legen und diese Liste für den Fall, dass weitere Maßnahmen erforderlich sind, an HR weitergeben.

Schulungen, Schulungen, Schulungen

Moderne Schulungen zur Stärkung des Risikobewusstseins, wie die Schulung zur Stärkung des Risikobewusstseins von Barracuda, haben nicht mehr zu tun mit den langweiligen veralteten Programmen, in denen ein Video angesehen und halbjährlich ein Test durchgeführt wurde, mit denen sich alte Hasen wie ich früher herumschlagen mussten. Jetzt ist es ein Leichtes, fortlaufende Kampagnen zu erstellen, die simulierte Phishing-Versuche beinhalten, um die Schwachstellen ständig zu messen und die Mitarbeitenden zu identifizieren, die am dringendsten geschult werden müssen und ihnen dann sehr gezielte und personalisierte Schulungsmaterialien und -programme anzubieten.

Gamification – ein freundschaftlicher Wettbewerbs innerhalb des Unternehmens mit monatlichen oder vierteljährlichen Preisen für den erfolgreichsten Einsatz bei der Identifizierung und Meldung von Phishing-Versuchen – trägt dazu bei, das Engagement und die Beteiligung selbst die zynischsten Mitarbeiter zu fördern. Ein solides und gut durchgeführtes Schulungsprogramm ist möglicherweise bei weitem der beste Weg, um sowohl fahrlässige als auch kompromittierte Insider-Bedrohungen zu reduzieren.

Vertrauen ist gut, Kontrolle ist besser

Wie damals in der Zeit des kalten Krieges und der nuklearen Rüstungskontrolle als es hieß „Vertrauen ist gut, Kontrolle ist besser“ – eine diplomatische Art, um „Nicht vertrauen" zu sagen. Und wenn es um Zugriffskontrollen geht, sollten Sie definitiv nicht auf Vertrauen setzen.

Single Sign-On (SSO), rollenbasierte Berechtigungen und Multi-Faktor-Authentifizierung (MFA) waren lange Zeit der Goldstandard für eine effektive und sichere Zugriffskontrolle. Letztlich sind diese Maßnahmen jedoch allzu vertrauensvoll. Sobald Sie die korrekte Zugangsdaten vorgelegt haben, überlässt man Ihnen das Feld und vertraut darauf, dass Sie die Person sind, für die Sie sich ausgeben und dass Sie sich so verhalten, wie Sie sich verhalten sollten.

Wenn Sie also ein böswilliger Insider sind, steht es Ihnen frei, böse Dinge zu tun und wenn Sie ein kompromittierter Insider sind – oder wenn Sie kompromittiert werden, während Sie angemeldet sind, – lassen Sie unwissentlich einen Bedrohungsakteur mit Ihnen in das Netzwerk eindringen.

Heute machen Zero Trust Network Access (ZTNA)-Lösungen wie Barracuda CloudGen Access diesen Bedarf an Vertrauen überflüssig. Anstatt als Türsteher zu fungieren, der die Ausweise kontrolliert, ist ZTNA vielmehr ein gesamtes, spezialisiertes Überwachungsteam. Es überwacht ständig mehrere Faktoren, darunter die IP-Adresse, den geografischen Standort, die Geschwindigkeit und Menge des Datenverkehrs, die Tageszeit und viele andere Dinge. Durch die Überwachung und Analyse des Verhaltens der einzelnen Benutzer hilft Ihnen ZTNA, anomale und riskante Verhaltensweisen zu identifizieren, bevor sie zu einem Verstoß oder einem anderen unerwünschten Ereignis führen können.

Fazit

Es ist unwahrscheinlich, dass Insider-Bedrohungen jemals keinen Grund zur Besorgnis mehr darstellen werden, aber durch die Schaffung einer Unternehmenskultur und einer Reihe von Managementpraktiken, welche die Zufriedenheit erhöhen, durch die Durchführung regelmäßiger Schulungen zur Stärkung des Risikobewusstseins, die auf risikoreiche Personen ausgerichtet sind, und durch die Implementierung einer modernen ZTNA-Lösung zur Zugriffskontrolle können Sie Ihr Risiko, das von allen Arten von Insider-Bedrohungen ausgeht, erheblich reduzieren.

Sehen Sie sich unser E-Book „5 Schritte zur Sicherung von Heimgeräten & Verbesserung der Produktivität bei der Arbeit im Homeoffice.“