Insider-Bedrohungen

Verstehen und Bekämpfen von Insider-Bedrohungen

Druckfreundlich, PDF & E-Mail

Wenn von „Insider-Bedrohungen“ die Rede ist, denken die meisten Menschen sofort an unzufriedene Mitarbeiter, die ihren Groll zum Ausdruck bringen, indem Sie Systeme sabotieren oder das Unternehmen auf andere Weise schädigen. Und solche bösartigen Insider sind sicherlich ein wesentlicher Bestandteil des Problems der Insider-Bedrohung. Vom Standpunkt der Sicherheit aus ist es jedoch wichtig, ein breiteres, umfassenderes Verständnis davon zu haben, was eine Insider-Bedrohung darstellt. Sobald wir einen klaren Überblick über die verschiedenen Arten von Insider-Bedrohungen haben, können wir Strategien zu ihrer Bekämpfung effektiver planen und ausführen.

Bösartige Insider

Werfen wir zunächst einen genaueren Blick auf bösartige Insider. Dazu gehören sicherlich auch Menschen, die Groll gegen das Unternehmen hegen, weil sie sich zum Beispiel bei einer Beförderung übergangen fühlen.

Diese nachtragenden Mitarbeiter können absichtlich selbst Maßnahmen ergreifen, die dem Unternehmen schaden. Sie können aber auch von externen Bedrohungsakteuren kontaktiert werden, um diese bei einem Ransomware-Angriff oder einer anderen Form der Bedrohung zu unterstützen. Tatsächlich gaben gemäß der erfassten Daten von Hitachi ID 2021 und Anfang 2022 65 % der befragten Führungskräfte an, dass man sie oder ihre Mitarbeiter zur Beihilfe bei der Planung von Ransomware-Angriffen kontaktiert hatte. Diese Zahl hat in den aufeinanderfolgenden Erhebungen, insbesondere seit Beginn der COVID-19-Pandemie, stetig zugenommen.

Wenn ein Mitarbeiter seine Unzufriedenheit in den sozialen Medien zum Ausdruck gebracht hat, kann man davon ausgehen, dass er höchstwahrscheinlich von externen Hackern kontaktiert wird. Das bedeutet, ein unzufriedener Mitarbeiter benötigt keine speziellen technischen Fähigkeiten oder Kenntnisse, um einen hochtechnischen Cyberangriff durchzuführen.

Eine andere Art von böswilligem Insider kann ein besonders ehrgeiziger und opportunistischer Mitarbeiter sein, der Informationen stiehlt oder das Projekt eines anderen Mitarbeiters sabotiert, um seine eigene Karriere zu fördern.

Schließlich kann ein bösartiger Insider jemand sein, der an Industriespionage beteiligt ist und firmeneigene Informationen aus rein finanziellen Gründen an ein konkurrierendes Unternehmen verkauft. Sie können die Spionage von sich aus initiieren oder auf ein Angebot eines Mitbewerbers reagieren.

Fahrlässige Insider

Eine weitere Kategorie ist der fahrlässige Insider. Dabei kann es sich um einen Mitarbeiter handeln, der gelegentlich aufgrund von Zerstreutheit gegen Sicherheitsverfahren oder -richtlinien verstößt. Oder um einen Mitarbeiter, der einfach nicht ausreichend in Sicherheitsprotokollen geschult wurde. Oder um einen Mitarbeiter, der sich entscheidet, IT-Sicherheitsverfahren zu ignorieren, weil er sie vielleicht für unnötig oder übermäßig aufwendig hält.

Kompromittierte Insider

Zu guter Letzt haben wir noch kompromittierte Insider. Meistens handelt es sich dabei um Mitarbeiter, die Opfer einer Art von Phishing-Betrug geworden sind, entweder durch Herunterladen von Malware auf ihren Computer oder durch unwissentliche Weitergabe ihrer Zugangsdaten an einen Angreifer. Wenn sie nicht bemerken, dass sie hereingelegt wurden, können ihr Netzwerkkonto oder ihr Computer möglicherweise zu einem Einstieg innerhalb des Netzwerks für bösartige externe Hacker werden.

Diese Hacker können sich dann Zeit lassen und tun, was sie wollen. Sie können das Gerät zu einem Botnet hinzufügen und es für DDoS-Angriffe verwenden. Sie können es zum Mining von Kryptowährung nutzen. Meistens aber nutzen sie es als Ausgangspunkt, um Ihre Unternehmensnetzwerke zu erkunden. Sie können sich lateral auf andere Geräte und Konten verschieben, Zugangsdaten sammeln und ihre Zugriffsrechte erweitern, bis sie wertvolle Daten finden, die sie stehlen oder zur Forderung von Lösegeld verwenden können, oder bis sie auf kritische Systeme zugreifen und diese sabotieren können.

Insider-Bedrohungen bekämpfen

Nachdem wir uns nun mit den verschiedenen Arten von Insider-Bedrohungen und ihren Motiven (oder deren Mangel) befasst haben, können wir verschiedene Maßnahmen identifizieren, die zur Verringerung der Anzahl von Insider-Bedrohungen und zur Entdeckung und Blockierung der verbleibenden Bedrohungen eingesetzt werden können.

Sorgen Sie für die Zufriedenheit Ihrer Mitarbeiter

Denn damit beseitigen Sie die Gefahren, die von unzufriedenen Mitarbeitern ausgehen. Wir wollen damit nur sagen, dass die Einhaltung von Best Practices in HR und Management — Transparenz und Fairness bei Entscheidungen über Beförderungen und Gehaltserhöhungen, klare und ehrliche Kommunikation der Führungskräfte usw. — viel dazu beitragen kann, die Zahl der böswilligen Insider zu verringern, die schlussendlich eine Bedrohung für das Unternehmen darstellen könnten.

HR und IT-Abteilung im Einklang

Es kann auch sehr hilfreich sein, wenn HR und IT in Bezug auf potenzielle bösartige Insider-Bedrohungen eng zusammenarbeiten, bis hin zu regelmäßigen Treffen zum Informationsaustausch. HR kann Listen von Mitarbeitern bereitstellen, die in letzter Zeit gemaßregelt wurden oder das Gefühl haben, bei Gehaltserhöhungen oder Beförderungen übergangen worden zu sein. Das ermöglicht der IT, ihr Online-Verhalten genauer zu überwachen und möglicherweise besondere Richtlinien auf ihren Geräten oder Konten durchzusetzen.

Ebenso sollte die IT über Mittel und Wege verfügen, um Mitarbeiter zu erkennen, die sich zu ungewöhnlichen Zeiten anmelden oder ausweisen, die auf Daten zuzugreifen, die für ihre Rolle nicht relevant sind, und andere verdächtige Verhaltensweisen an den Tag legen und diese Liste für den Fall, dass weitere Maßnahmen erforderlich sind, an die Personalabteilung weitergeben.

Schulungen, Schulungen, Schulungen

Moderne Schulungen zur Stärkung des Risikobewusstseins, wie das Barracuda Security Awareness Training, haben nichts mehr zu tun mit den langweiligen, veralteten Programme, in denen ein Video angesehen und halbjährlich ein Test abgelegt wurde, mit denen sich alte Hasen wie ich früher herumschlagen mussten. Jetzt ist es ein Leichtes, fortlaufende Kampagnen zu erstellen, die simulierte Phishing-Versuche beinhalten, um die Schwachstellen ständig zu messen und die Mitarbeiter zu identifizieren, die am dringendsten geschult werden müssen, und ihnen dann sehr gezielte und personalisierte Schulungsmaterialien und -programme anzubieten.

Gamification – ein freundschaftlicher Wettbewerbs innerhalb des Unternehmens mit monatlichen oder vierteljährlichen Preisen für den erfolgreichsten Einsatz bei der Identifizierung und Meldung von Phishing-Versuchen – trägt dazu bei, das Engagement und die Beteiligung selbst die zynischsten Mitarbeiter zu fördern. Ein solides und gut durchgeführtes Schulungsprogramm ist möglicherweise die beste Möglichkeit, um sowohl fahrlässige als auch kompromittierte Insider-Bedrohungen zu reduzieren.

Vertrauen ist gut, Kontrolle ist besser

„Vertrauen ist gut, Kontrolle ist besser“ ist eine diplomatische Weise, um „Nicht vertrauen" zu sagen. Und wenn es um Zugriffskontrollen geht, sollten Sie definitiv nicht auf Vertrauen setzen.

Single Sign-On (SSO), rollenbasierte Berechtigungen und Multi-Faktor-Authentifizierung (MFA) waren lange Zeit der Goldstandard für eine effektive und sichere Zugriffskontrolle. Letztlich sind diese Maßnahmen jedoch allzu vertrauensvoll. Sobald Sie die korrekte Legitimation vorgelegt haben, überlässt man Ihnen das Feld und vertraut darauf, dass Sie die Person sind, für die Sie sich ausgeben, und dass Sie sich so verhalten, wie Sie sich verhalten sollten.

Wenn Sie also ein böswilliger Insider sind, steht es Ihnen frei, böse Dinge zu tun, und wenn Sie ein kompromittierter Insider sind – oder wenn Sie kompromittiert werden, während Sie angemeldet sind, – lassen Sie unwissentlich einen Bedrohungsakteur mit Ihnen in das Netzwerk eindringen.

Heute machen Zero Trust Network Access (ZTNA)-Lösungen wie Barracuda CloudGen Access diesen Bedarf an Vertrauen überflüssig. Anstatt als Türsteher zu fungieren, der die Ausweise kontrolliert, ist ZTNA vielmehr ein gesamtes, spezialisiertes Überwachungsteam. Es überwacht ständig mehrere Faktoren, darunter die IP-Adresse, den geografischen Standort, die Geschwindigkeit und Menge des Datenverkehrs, die Tageszeit und viele andere Dinge. Durch die Überwachung und Analyse des Verhaltens der einzelnen Benutzer hilft Ihnen ZTNA, anomale und riskante Verhaltensweisen zu identifizieren, bevor sie zu einem Verstoß oder einem anderen unerwünschten Ereignis führen können.

Fazit

Es ist unwahrscheinlich, dass Insider-Bedrohungen jemals keinen Grund zur Besorgnis mehr darstellen, aber durch die Schaffung einer gewissen Unternehmenskultur und einer Reihe von Managementpraktiken, welche die Zufriedenheit erhöhen, durch die Durchführung regelmäßiger Schulungen zur Stärkung des Risikobewusstseins, die auf risikoreiche Personen ausgerichtet sind, und durch die Implementierung einer modernen ZTNA-Lösung zur Zugriffskontrolle können Sie Ihr Risiko, das von allen Arten von Insider-Bedrohungen ausgeht, erheblich reduzieren.

Entdecken Sie unser E-Book „5 Schritte zur Sicherung von Heimgeräten & Verbesserung der Produktivität bei der Arbeit im Homeoffice.“

Nach oben scrollen
Twittern
Teilen
Teilen