Eine Insider-Bedrohung ist ein Cybersicherheitsrisiko, das aus dem Inneren des Unternehmens kommt. Dahinter steckt in der Regel ein aktueller oder ehemaliger Mitarbeiter oder eine andere Person mit direktem Zugang zum Netzwerk, zu sensiblen Daten oder zum geistigen Eigentum des Unternehmens und mit Wissen rund um die Geschäftsprozesse, Unternehmensrichtlinien und andere Informationen, die für einen Angriff nützlich sein können.
Bei böswilligen Angriffen haben die ausführenden oder mitwirkenden Insider meist finanzielle Interessen. Dabei kommt es oft zum Diebstahl von Daten, geistigem Eigentum und Geschäftsgeheimnissen, die im Dark Web verkauft werden können, oder zur Sammlung von Informationen im Auftrag böswilliger Dritter.
Was ist ein Insider?
Ein Insider kann jede Person mit detailliertem Wissen über das Unternehmen und dessen Betrieb sein. Meistens sind Insider aktuelle oder ehemalige Mitarbeiter. Es kann sich aber auch um Auftragnehmer, freiberufliche Mitarbeiter, Lieferanten, Partner oder sogar Service-Anbieter handeln, die Zugang zum Netzwerk und den Systemen eines Unternehmens besitzen oder Kenntnisse darüber haben.
Warum sind Insider-Bedrohungen schwer zu erkennen?
Insider-Bedrohungen sind heutzutage schwer zu bekämpfen und noch schwieriger zu erkennen – unabhängig davon, ob sie auf böswillige Motive oder Fahrlässigkeit zurückzuführen sind. Laut Schätzungen von CrowdStrike dauert die Eindämmung eines von einer Insider-Bedrohung ausgehenden Zwischenfalls durchschnittlich 77 Tage. Die Durchschnittskosten für 30 Tage belaufen sich dabei auf 7,12 Millionen US-Dollar.
Die Erkennung von Insider-Angriffen ist aus vor allem aus zwei Gründen schwierig:
- Der Fokus der meisten Sicherheitstools liegt auf der Identifizierung und Abwehr externer Bedrohungen, d. h. die Tools sind nicht auf die Erkennung von verdächtigem Verhalten legitimer Benutzer ausgerichtet.
- Viele Insider sind mit den Netzwerkeinstellungen, Sicherheitsrichtlinien und Verfahren des Unternehmens vertraut und verfügen über Kenntnisse zu den Schwachstellen, Sicherheitslücken und anderen Defiziten, die ausgenutzt werden können.
In Anbetracht der erheblichen Kosten für die Eindämmung von Insider-Bedrohungen sowie der möglicherweise verursachten Rufschäden sollten Unternehmen ein robustes Programm zur Abwehr von Insider-Bedrohungen entwickeln, das auf dieses schwerwiegende Risiko ausgerichtet ist.
Arten von Insider-Bedrohungen
Insider-Bedrohungen lassen sich in der Regel in zwei Kategorien einteilen:
- Bedrohungen durch böswillige Insider
- Bedrohungen durch fahrlässige Insider
Bedrohungen durch böswillige Insider
Bedrohungen durch böswillige Insider sind geplante Ereignisse, bei denen meist ein unzufriedener oder kompromittierter aktueller oder ehemaliger Mitarbeiter involviert ist. Dieser Mitarbeiter nimmt das Unternehmen entweder zur persönlichen Bereicherung oder aus Rache ins Visier. Solche Zwischenfälle sind oft mit anderen kriminellen oder illegalen Aktivitäten verbunden, z. B. Betrug, Spionage oder Diebstahl von Daten oder geistigem Eigentum. Ein böswilliger Insider kann entweder allein tätig sein oder mit Cyberkriminellen, einer Gruppe von Cyberterroristen, einer ausländischen Behörde oder anderen feindseligen Akteuren zusammenarbeiten.
Bedrohungen durch böswillige Insider sind oft mit folgenden Aktivitäten verbunden:
- Weitergabe, Verkauf oder Löschung vertraulicher Daten oder sensibler Informationen
- Missbrauch von Systemzugriffen oder Anmeldedaten
- Manipulation der IT-Umgebung, damit andere unbemerkt eindringen oder sich verbergen können
Bedrohungen durch fahrlässige Insider
Bedrohungen durch fahrlässige Insider sind auf menschliche Fehler, Unachtsamkeit oder Manipulation zurückzuführen. Da bei diesen Bedrohungen niemand in böser Absicht handelt, kann praktisch jeder Benutzer ein fahrlässiger Insider sein, wenn er versehentlich sensible Daten weitergibt, schwache Kennwörter verwendet, ein Gerät verliert, ein Endgerät nicht absichert oder Opfer eines Social-Engineering-Angriffs wird.
Durch fahrlässige Insider verursachte Zwischenfälle sind meist Teil eines umfangreicheren Cyberangriffs, bei dem Malware, Ransomware oder andere Angriffsvektoren zum Einsatz kommen.
Technische Indikatoren für Insider-Bedrohungen
Herkömmliche Sicherheitsanwendungen erkennen Bedrohungen durch böswillige Insider nicht zuverlässig, was zum Teil daran liegt, dass sie nicht dafür entwickelt wurden. Sie werden meist anhand von Regeln und Schwellenwerten kalibriert und basieren auf dem Abgleich von Mustern. Diese Sicherheitsvorkehrungen können durch Personen mit detailliertem Wissen über die Sicherheitseinstellungen, Richtlinien und Verfahren des Unternehmens umgangen werden.
Ein modernes System zur Erkennung von Insider-Bedrohungen nutzt künstliche Intelligenz (KI) und Analysen, um anhand von Daten aus dem gesamten Unternehmen die typischen Aktivitäten aller Benutzer und Geräte zu bestimmen. Die besten Lösungen bewerten mithilfe dieser Daten das individuelle Risiko jedes Benutzers und Geräts, sodass das Cybersicherheitsteam beim Prüfen der Systemwarnungen zusätzlichen Kontext erhält. Das System zur Erkennung von Insiderbedrohungen identifiziert proaktiv ungewöhnliche Aktivitäten, die auf unerlaubte Aktivitäten eines Insiders hindeuten könnten.
Solche ungewöhnlichen Aktivitäten sind zum Beispiel:
- Zugriff auf das Netzwerk, Systeme und Assets zu ungewöhnlichen Zeiten, was auf den Missbrauch dieser Ressourcen oder die Kompromittierung der Anmeldedaten eines Benutzers hindeuten könnte
- Unerwartete und unerklärliche Netzwerkverkehrsspitzen, was ein Zeichen dafür sein könnte, dass ein Benutzer Daten kopiert oder herunterlädt
- Anforderung von Zugriffsberechtigungen für Anwendungen, Daten oder Dokumente, die für die Rolle des Benutzers eigentlich nicht erforderlich sind
- Zugriff auf Kombinationen aus Dokumenten oder Daten, die zusammengenommen auf böswillige Aktivitäten hindeuten könnten
- Nutzung privater Geräte wie Laptops, Mobiltelefone und USB-Laufwerke ohne Genehmigung durch das IT-Team
Unternehmen können neben ungewöhnlichen Verhaltensweisen auch nach Netzwerkindikatoren suchen, die auf eine Insider-Bedrohung oder eine andere Art von Cyberangriff hindeuten. Solche Indikatoren sind zum Beispiel:
- Backdoors im Netzwerk, die unbefugten Benutzern den Zugriff ermöglichen könnten
- Hardware- oder Software-Downloads, die ein Risiko für das Gerät darstellen könnten, da das IT- oder Sicherheitsteam sie nicht genehmigt oder installiert hat und auch nicht überwacht
- Manuelle Deaktivierung von Sicherheitstools und -einstellungen
Für wen stellen Insider-Bedrohungen eine Gefahr dar?
Per Definition kann jedes Unternehmen mit einem „Insider“ Opfer einer Insider-Bedrohung werden. Da der Fokus der meisten Cybersicherheitstools und -lösungen auf Bedrohungen von außerhalb des Unternehmens liegt und interne Akteure möglicherweise mit den Sicherheitsverfahren und Systemschwachstellen des Unternehmens vertraut sind, kann sich der Schutz vor Insidern als schwieriger erweisen als bei anderen Arten von Angriffen.
Insbesondere Unternehmen mit großen Mengen an Kundendaten, geistigem Eigentum oder Geschäftsgeheimnissen können ein attraktives Ziel für die Kompromittierung und den Diebstahl von Daten durch Insider sein. Gleichzeitig kommen bei manchen Insider-Bedrohungen – insbesondere bei Zusammenarbeit mit externen Akteuren – Spionage- oder andere Informationsbeschaffungspraktiken zum Einsatz, mit denen staatliche Akteure, ausländische Regierungen oder andere externe Parteien das Opfer kompromittieren, das Unternehmen erpressen oder dessen Ruf schädigen.
Zu den für Insider-Bedrohungen anfälligsten Branchen gehören:
- Finanzdienstleister wie Banken, Volksbanken, Kreditkartenunternehmen und Kreditgeber
- Versicherungsunternehmen
- Telekommunikationsanbieter
- Energie- und Versorgungsunternehmen
- Fertigungsunternehmen
- Pharmaunternehmen
- Gesundheitseinrichtungen und Krankenhäuser
- Behörden und hochrangige Amtsträger
Neben den eigentlichen Kosten einer Datenkompromittierung infolge einer Insider-Bedrohung kann ein solcher Zwischenfall auch Bußgelder und andere Strafen durch Behörden oder andere Aufsichtsgremien nach sich ziehen, wenn das Unternehmen keine hinreichenden Maßnahmen zum Schutz von Verbraucher-, Mitarbeiter- oder Patientendaten ergriffen hat.
Wie können Insider-Bedrohungen vermieden und gestoppt werden?
Da herkömmliche Sicherheitsmaßnahmen in der Regel keine Insider-Aktionen überwachen, müssen Unternehmen weitere Vorkehrungen treffen, um sich vor diesem Risiko zu schützen
Schutz vor Bedrohungen durch fahrlässige Insider
Auf Unternehmensebene gestaltet sich der Schutz vor Angriffen durch fahrlässige Insider ähnlich wie der Schutz vor Malware, Ransomware und anderen Cyberbedrohungen. Nutzen Sie die folgenden Best Practices, damit Ihre Abläufe dauerhaft geschützt bleiben:
1. Schulen Sie alle Mitarbeiter in den Best Practices der Cybersicherheit.
Bei der Sicherheit stehen Mitarbeiter an vorderster Front. Stellen Sie sicher, dass sie gute Hygienepraktiken befolgen, indem sie z. B. starke Kennwörter verwenden, sich nur mit sicheren WLANs verbinden und jederzeit auf Phishing achten – auf allen ihren Geräten. Sorgen Sie durch umfassende und regelmäßige Schulungen zur Sicherheitssensibilisierung dafür, dass Mitarbeiter sich der sich dynamischen Bedrohungslandschaft bewusst sind und dass sie die nötigen Schritte unternehmen, um sich selbst und das Unternehmen vor Insider-Bedrohungen und anderen Cyberrisiken zu schützen.
2. Halten Sie das Betriebssystem und andere Software mit Patches und Updates immer auf dem aktuellen Stand.
Hacker suchen ständig nach Lücken und Hintertüren, die sich ausnutzen lassen. Wenn Sie Ihre Systeme stets aktuell halten, minimieren Sie Ihre Anfälligkeit für bekannte Schwachstellen.
3. Überwachen Sie Ihre Umgebung kontinuierlich auf böswillige Aktivitäten und Angriffsindikatoren (IOAs).
Mit einem System zur endpunktbasierten Detektion und Reaktion (EDR) werden alle Endgeräte überwacht und Daten zu Ereignissen erfasst, damit böswillige Aktivitäten automatisch erkannt werden können, die den Präventionsmaßnahmen entgangen sind.
4. Integrieren Sie Bedrohungsdaten in die Sicherheitsstrategie.
Überwachen Sie Systeme in Echtzeit und bleiben Sie bei Bedrohungsdaten auf dem neuesten Stand. Auf diese Weise wird die Netzwerksicherheit verbessert. Zudem können Sie Angriffe schnell erkennen, optimale Reaktionsmöglichkeiten bestimmen und die weitere Ausbreitung verhindern.
Vermeidung von Bedrohungen durch böswillige Insider
CrowdStrike geht davon aus, dass bei ganzen 80 % der Kompromittierungen kompromittierte Identitäten verwendet werden. Demnach spielt die Verbesserung der Identitätssicherheit beim Schutz vor Angriffen durch böswillige Insider eine entscheidende Rolle.
Wie kann Identitätssicherheit zur Vermeidung von Insider-Bedrohungen beitragen?
Bei Identitätssicherheit handelt es sich um eine umfassende Lösung, die alle Arten von Identitäten im Unternehmen schützt (ob Mensch oder Maschine, lokal oder hybrid, regulär oder privilegiert), um identitätsbasierte Kompromittierungen zu erkennen und zu verhindern. Dies ist insbesondere dann wichtig, wenn es Bedrohungsakteuren (einschließlich Insidern) gelingt, Endgerätesicherheitsmaßnahmen zu umgehen.
Alle Konten können mit Berechtigungen ausgestattet werden und so Bedrohungsakteuren einen digitalen Angriffspfad eröffnen. Dabei spielt es keine Rolle, ob dies Konten von IT-Administratoren, Mitarbeitern vor Ort oder im Homeoffice, Drittanbietern oder sogar Kunden sind. Daher müssen Unternehmen in der Lage sein, jede einzelne Identität zu authentifizieren und jede Anfrage zu autorisieren, um die Sicherheit zu gewährleisten und eine Vielzahl von digitalen Bedrohungen – einschließlich Insider-Bedrohungen, Ransomware und Lieferkettenangriffe – zu verhindern.
Die wichtigsten Schritte zur Verbesserung der Identitätssicherheit umfassen:
1. Schutz für Active Directory (AD)
Sorgen Sie für umfassende Echtzeit-Transparenz in AD – sowohl vor Ort als auch in der Cloud – und identifizieren Sie Schatten-Administratoren, inaktive Konten, gemeinsam genutzte Anmeldedaten und andere AD-Angriffspfade.
Stärken Sie die AD-Sicherheit und reduzieren Sie Risiken, indem Sie den Authentifizierungsdatenverkehr sowie das Benutzerverhalten überwachen und robuste Sicherheitsrichtlinien erzwingen, die Anomalien proaktiv erkennen.
Implementieren Sie eine kontinuierliche Überwachung auf schwache Anmeldedaten, ungewöhnliche Zugriffe und Kennwortkompromittierungen, einschließlich dynamischer Risikobewertung für jeden Benutzer und jeden Service Account.
2. Ausweitung des MFA-Schutzes (Multifaktor-Authentifizierung)
Schützen Sie nicht verwaltete Endgeräte mit risikobasiertem bedingtem Zugriff und weiten Sie den MFA-Schutz auf Legacy-Anwendungen und -Tools. Verwenden Sie dabei proprietäre Analysen des Benutzerverhaltens und Authentifizierungsdatenverkehrs.
Erzwingen Sie konsistente risikobasierte Richtlinien, damit die Authentifizierung für jede Identität automatisch blockiert, zugelassen oder verschärft wird.
3. Bestimmung typischer Benutzeraktivitäten
Zentralisieren Sie die Benutzeraktivitäten und das Benutzerverhalten für alle relevanten Datenprotokolle, einschließlich Zugriff, Authentifizierung und Endgeräte.
Nutzen Sie diese Daten, um die typischen Aktivitäten der einzelnen Benutzer, Benutzergruppen, Funktionen, Titel und Geräte zu bestimmen und ungewöhnliche oder verdächtige Aktivitäten erkennen zu können.
Weisen Sie jedem Benutzer und Endgerät eine individuelle Risikobewertung zu, um dem Cybersicherheitsteam Kontext zu liefern.
4. Nutzung von Verhaltensanalysen und KI zur Erkennung von Bedrohungen
Überwachen Sie das Verhalten von Benutzern und Geräten in Echtzeit mithilfe von Analysen und KI-gestützten Tools.
Gleichen Sie Warnmeldungen mit den Risikobewertungen ab, um weiteren Kontext zum Ereignis zu liefern und die Reaktionsmaßnahmen zu priorisieren.
Schutz vor Insider-Bedrohungen mit der CrowdStrike Falcon-Plattform
Die CrowdStrike Falcon®-Plattform bietet kontinuierliche Einblicke und Sicherheit für alle Benutzer im gesamten Unternehmen sowie sämtliche Ressourcen. CrowdStrike hilft Kunden bei der Implementierung einer umfassenden Sicherheitsstrategie, inklusive Integration von Identitäts- und Zugriffsverwaltung, Zero-Trust-Prinzipien und AD-Hygiene. Das bietet keine andere Lösung auf dem Markt. Unsere Alleinstellungsmerkmale umfassen: IAM-Integration, robuste AD-Sicherheit, Zero-Trust-NIST-Compliance, Risikobewertung und eine offene Plattform mit starker API-Anbindung.
Weitere Informationen dazu, wie CrowdStrike Unternehmen beim Schutz vor Insider-Bedrohungen unterstützt, erhalten Sie in unserem Webinar Hunting for the Insider Threat. Sie können auch eine Demo unserer CrowdStrike Falcon Identity Protection-Funktionen anfordern.