Cybersicherheit ist in der aktuellen vernetzten Welt ein absolutes Muss. Zudem hat sich die Zahl der Bedrohungen durch die Tendenz zum Homeoffice vervielfacht. Hacker und Cyberkriminelle, die Zugriff auf IT-Assets erhalten, können den Abläufen, Finanzen, der Reputation und dem Wettbewerbsvorteil Ihres Unternehmens erheblich schaden. Verständlicherweise konzentrieren sich die IT-Sicherheitsmaßnahmen auf die Abwehr dieser externen Bedrohungen. Dabei besteht die Priorität darin, die vertraulichen Daten dort zu behalten, wo sie hingehören: innerhalb des Unternehmens.
Doch wie gut sind sie geschützt? Bedrohungen aus dem Inneren des Unternehmens können ebenso große Schäden verursachen wie externe Cyberangriffe, bleiben jedoch häufig unbeachtet. Die Erkennung und Abwehr potenzieller Insider-Bedrohungen sollte zu Ihrer Strategie zum Schutz der Informationssysteme und sensiblen Daten gehören, die für Ihre Geschäftsprozesse erforderlich sind.
2022 CrowdStrike Global Threat Report
Laden Sie den Global Threat Report 2022 herunter, um sich über die Trends zu informieren, die unsere Teams im letzten Jahr mit Blick auf die sich ständig weiterentwickelnden Taktiken, Techniken und Prozeduren von Angreifern beobachtet haben.
Jetzt herunterladenArten von Insider-Bedrohungen
Bei Insider-Bedrohungen kann es sich um beliebige vertrauenswürdige Personen handeln, die die Assets Ihres Unternehmens kennen oder darauf zugreifen können. Zu Insidern gehören (aktuelle und frühere) Mitarbeiter, Organisationsmitglieder, Lieferanten, Reinigungskräfte, Bauunternehmer und andere Personen, die legitimen Zugang zu Ihren Anlagen, Räumlichkeiten, Geräten und Computernetzwerken haben.
Was sind Insider-Bedrohungen?
Mit Insider-Bedrohung wird das Potenzial einer Person beschrieben, die eigene Vertrauensposition per Missbrauch, Diebstahl oder Sabotage wichtiger Assets auszunutzen, um dem Unternehmen zu schaden. Während Infrastruktur, Personal und Ausrüstung potenzielle Ziele sind, werden Informationen am stärksten durch Insider-Bedrohungen gefährdet. Proprietäre Informationen (z. B. geistiges Eigentum) und sensible Daten sind lukrative Assets, sodass die IT-Netzwerke und Datenbanken, die die Informationen verwalten, besonders durch Insider bedroht sind.
Kompromittierungen wertvoller Informationsressourcen können zu schwerwiegenden Schäden führen. Der Verlust der Vertraulichkeit, Integrität und Abrufbarkeit von Daten ist nicht nur teuer, sondern kann auch den Fortbestand Ihres Unternehmens in Frage stellen. Einige Cyberangriffe gefährden sogar die Sicherheit des Staates oder die öffentliche Gesundheit und Sicherheit.
Arten von Insider-Bedrohungen
Es gibt allgemein zwei Arten von Insider-Bedrohungen:
- Unabsichtliche Insider-Bedrohungen entstehen durch Ignoranz, Nachlässigkeit oder schlechtes Urteilsvermögen und weniger durch die Absicht, Schaden zu verursachen. Typische unabsichtliche Bedrohungen sind der Verlust eines unternehmenseigenen Geräts, das Ignorieren von Benachrichtigungen zu Sicherheitsupdates für den Computer, das Abrufen oder Besprechen sensibler Daten an öffentlichen Orten sowie fehlende Identitätsüberprüfungen von Besuchern am Unternehmensstandort. Einfache Fehler wie das Klicken auf einen unbekannten Hyperlink, das Liegenlassen eines vertraulichen Dokuments an einem gemeinsam genutzten Drucker oder das Senden einer E-Mail an eine falsche Adresse sind Beispiele für versehentliche Bedrohungen, die nicht nur unabsichtlich sind, sondern möglicherweise von der verantwortlichen Person noch nicht einmal als Fehler wahrgenommen werden.
- Bei böswilligen Insider-Bedrohungen besteht die explizite Absicht, Schaden zu verursachen. Bei dem Insider kann es sich um eine Person handeln, die einzeln oder gemeinsam mit Komplizen meist aus finanziellen Motiven und als Revanche für empfundene Ungerechtigkeiten handelt. Bei anderen Fällen von böswilligen Insider-Bedrohungen geht es um geheime Absprachen, bei denen eine externe feindliche gesinnte Partei (z. B. ein Cybercrime-Netzwerk oder eine fremde Regierung) den Insider rekrutiert oder nötigt. Zu typischen Szenarien gehören die Kompromittierung oder der Verkauf von geistigem Eigentum oder sensiblen Daten. Alternative böswillige Insider-Aktivitäten sind das absichtliche Löschen, Modifizieren oder Beschädigen von Unternehmensdaten oder das Zurverfügungstellen von Zugriff auf Unternehmensnetzwerke und IT-Systeme an nicht autorisierte Dritte.
Externe Bedrohungen
Cyberangriffe, die von externen Parteien initiiert und von Akteuren ohne direkten Zugriff auf Ihre Unternehmensressourcen durchgeführt werden, gelten nicht als Insider-Bedrohungen. Statt sich darauf zu verlassen, dass legitime Benutzer die Informationssicherheits-Firewall umgehen, verwenden die Cyberkriminellen Hacking-Methoden, die keinen autorisierten Zugriff erfordern. Obwohl externe Cyberangriffe nicht als Insider-Bedrohungen gelten, wenden sich externe Cyberangreifer manchmal an ahnungslose Insider, um nicht autorisierten Zugriff auf die Datennetzwerke des Unternehmens zu erhalten.
Fünf häufige Indikatoren für Insider-Bedrohungen, auf die Sie achten sollten
Verhaltensbasierte Indikatoren sind wichtige Hinweise auf potenzielle Insider-Bedrohungen. Sowohl digitale Fingerabdruck-Muster als auch gemeldete Beobachtungen von Kollegen und Partnern können auf Einzelpersonen hinweisen, die eine potenzielle Bedrohung darstellen.
Indikatoren für Bedrohungen
Ungewöhnliches digitales Verhalten kann auf eine Person hinweisen, die eine potenzielle Bedrohung darstellt. Dies sind fünf häufige Indikatoren für eine Person, die möglicherweise ein Insider-Risiko für die Cybersicherheit darstellt:
- Verwendung nicht genehmigter privater elektronischer Geräte für geschäftliche Zwecke
- Autorisierungsanfragen für Zugriffe auf Laufwerke, Dokumente und Anwendungen jenseits der geschäftlichen Anforderungen
- Anmeldungen und Website-Zugriffe zu ungewöhnlichen Zeiten
- Ungewöhnliche Datenverkehr-Spitzen, die auf Daten-Downloads und -Übertragungen hinweisen
- Muster bei früheren Zugriffen auf sensible oder proprietäre Dokumente
Bedrohungserkennung
Insider-Bedrohungen gehen von vertrauenswürdigen Personen aus und sind daher schwer zu erkennen. Insider können Ihrem Unternehmen erhebliche Schäden zufügen, da sie bereits über genehmigte Zugriffrechte für wertvolle Assets verfügen. Je früher eine potenzielle Bedrohung erkannt und untersucht werden kann, desto größer ist die Wahrscheinlichkeit, dass Sie eine Kompromittierung und Auswirkungen auf Ihr Unternehmen verhindern können. Sobald Daten kompromittiert wurden, lässt sich der Schaden für das Unternehmen möglicherweise nicht mehr korrigieren. Finanzielle Verluste können in einigen Fällen ausgeglichen werden – jedoch nicht ohne erheblichen Zeit- und Arbeitsaufwand für Gerichtsverfahren. Einige Verluste können nicht quantifiziert oder repariert werden, einschließlich Verlust geistigen Eigentums, Reputationsschäden oder Verlust des Wettbewerbsvorteils.
Potenzielle Insider-Bedrohungen
Verhaltensbasierte Beobachtungen können auf eine potenzielle Insider-Bedrohung hinweisen. Kollegen, Vorgesetzte, Untergebene und andere enge Vertraute können ungewöhnliches Verhalten bei Personen mit autorisiertem Zugriff auf die Assets Ihres Unternehmens hervorragend feststellen. Mitarbeiter sollten sich der Verantwortung bewusst sein, verdächtige Verhaltensweisen zu melden. Dazu können gehören:
- Verletzungen der Unternehmensrichtlinie (Reisen, Spesenabrechnungen, physische und digitale Sicherheit, Dokumentationspflichten)
- Konflikte und Auseinandersetzungen mit Kollegen
- Fehlzeiten, Zuspätkommen und frühzeitiges Nachhausefahren, nicht vorhersagbare Zeitpläne
- Unzuverlässigkeit, Fehlen bei Meetings, Nichteinhalten von Lieferfristen/Abgabeterminen
- Reduzierung der Leistungsfähigkeit aufgrund finanzieller, rechtlicher, gesundheitlicher oder familiärer Probleme
- Verärgerung über wahrgenommenen Verlust der beruflichen Position oder Karriere
Wie können Sie Insider-Bedrohungen erkennen?
Um die wertvollen Assets Ihres Unternehmens vor Verlust oder Kompromittierung schützen zu können, müssen Sie in der Lage sein, Bedrohungen durch böswillige Insider zu erkennen. Ein erfolgreiches Programm zur Abwehr von Insider-Bedrohungen umfasst dabei auch sorgfältig ausgewählte Tools und empfohlene Vorgehensweisen.
Auswahl von Tools zur Erkennung von Insider-Bedrohungen
Technologie spielt bei einem Programm zur Erkennung von Frühwarnzeichen für Insider-Bedrohungen eine zentrale Rolle. Mithilfe von künstlicher Intelligenz (KI) und Datenanalysen können diese Softwaretools Aktivitäten überwachen, Muster erkennen und bei Anomalien Warnmeldungen ausgeben. Beispiele:
- Überwachung von Benutzeraktivitäten (User Activity Monitoring, UAM)
- Verhaltensanalyse bei Benutzern und Entitäten (User and Entity Behavior Analytics, UEBA)
- Datenverlustprävention (Data Loss Prevention, DLP)
- Sicherheitsinformations- und Ereignismanagement (SIEM)
Diese Tools sind sehr leistungsstark, Sie müssen sie jedoch an Ihre konkreten Bedrohungserkennungsziele anpassen. Dabei hängen die Anforderungen Ihres Unternehmens von Ihrer Branche, Kultur, internen Richtlinien und Ihren wichtigen Assets ab. Mit einem Tool, dass für die gewünschte Umgebung nicht geeignet ist oder nicht richtig angepasst wurde, können Sie Anomalien möglicherweise nicht von den Hintergrundaktivitäten unterscheiden, sodass tatsächliche Bedrohungen unerkannt bleiben oder viele falsch positive Warnmeldungen generiert werden. In beiden Fällten wird das Vertrauen des Unternehmens in das Erkennungssystem untergraben und die Tools bieten nicht den erforderlichen Schutz.
Best Practices zur Vermeidung von Insider-Bedrohungen
Da alle Bereiche des Unternehmens mit IT in Berührung kommen, sollte die Vermeidung von Insider-Bedrohungen in das allgemeine Risiko-Management integriert werden. Jedes Daten-Ökosystem ist einzigartig, daher müssen Ihre Präventionsstrategien für Ihre konkrete Situation maßgeschneidert werden.
Ein wichtiger Schritt der Prävention ist die Identifizierung und Erfassung der wichtigen Assets Ihrer Entität. Erstellen Sie eine detaillierte Datenbank aller IT-Assets, einschließlich Informationen zu Asset-Typ, Risikostufe und Benutzerzugriffen. Dadurch erhalten Sie ein vollständiges Bild der IT-Situation Ihres Unternehmens sowie Erkenntnisse zu den Arten von Tools, die Sie für die Überwachung benötigen.
Wählen Sie außerdem Analysetools, die geeignete Kennzahlen generieren, Muster identifizieren und Anomalien in Ihrer konkreten IT-Umgebung erkennen können. Begrenzen Sie Zugriffsrechte auf so wenige Personen wie möglich, implementieren Sie Multifaktor-Authentifizierung (MFA) und definieren Sie strikte Administratorrechte. Überprüfen Sie Ihre Konfigurationen und Einstellungen regelmäßig und passen Sie sie bei Bedarf an Veränderungen bei Ihren Assets an.
Technologiebasierte Ansätze zur Bedrohungsprävention sind wichtig, aber nur ein Teil der Lösung. Für ein erfolgreiches Bedrohungspräventionsprogramm bedarf es außerdem engagierter Mitarbeiter. Kommunizieren Sie deutlich die geschäftliche Bedeutung des Schutzes Ihrer IT-Assets und schulen Sie Ihre Mitarbeiter zu ihrer jeweiligen Verantwortung für den Datenschutz. Mithilfe von Schulungsmodulen können Ihre Mitarbeiter lernen, wie sie potenzielle Insider-Bedrohungen erkennen, und sich mit den richtigen Schritten zur Meldung solcher Fälle vertraut machen.
Um die aktive Beteiligung an der Bedrohungsüberwachung zu fördern, betonen Sie, dass Meldungen von verdächtigem Verhalten in jedem Fall respektvoll und vertraulich behandelt werden. Erinnern Sie mit Richtlinienupdates, Fragebögen und Fallbeispielen an das Problem, um das Bewusstsein für Insider-Bedrohungen zu stärken und eine auf Sicherheit ausgerichtete Kultur zu schaffen.
Bedeutung von frühzeitiger Erkennung
Je früher Ihr Team eine Insider-Bedrohung erkennt, desto größer ist die Wahrscheinlichkeit, dass eine Cybersicherheitsverletzung und die damit einhergehenden Folgen vermieden werden können. Selbst wenn bereits eine Kompromittierung erfolgt ist, kann der Schaden durch eine frühe Erkennung minimiert werden. Bei einem gerade laufenden Angriff können Datenflüsse gestoppt sowie verantwortliche Personen identifiziert und ihre Anmeldedaten widerrufen werden – und die Behebung sofort beginnen.
Bewerten von potenziellen Insider-Bedrohungen
Wenn Sie eine Insider-Bedrohung vermuten, müssen Sie sofort aktiv werden und feststellen, ob tatsächlich eine Bedrohung vorliegt und wie groß das potenzielle Risiko für Ihr Unternehmen ist.
Was ist die Bewertung einer Insider-Bedrohung?
Wenn ein Analysetool eine potenzielle Insider-Bedrohung identifiziert hat oder eine Mitarbeitermeldung über einen Verdachtsfall eingegangen ist, müssen Sie das tatsächliche Risiko bestimmen und die nächsten Schritte festlegen. Jegliche Verzögerung kann darüber entscheiden, ob Schaden vermieden werden kann oder ob nachträgliche Schadensbegrenzung nötig ist. Wenn Sie proaktiv ein Programm zur Bedrohungsbewertung etablieren, können Sie sich effizient und effektiv mit der Situation befassen und die Wahrscheinlichkeit minimieren, dass die Bedrohung tatsächlich eintritt und schwerwiegenden Schaden verursacht.
Wie können Sie eine Insider-Bedrohung bewerten?
Bereiten Sie sich darauf vor, bei potenziellen Indikatoren für Insider-Bedrohungen schnell zu reagieren. Stellen Sie dazu ein Bedrohungs-Management-Team mit Vertretern aus den Sicherheits-, IT-, Personal- und Rechtsabteilungen zusammen. Wenn eine potenzielle Bedrohung identifiziert wurde, sollte sich das Team zusammensetzen und die Informationen zum Verhalten des Insiders, zu möglichen Absichten und Motiven sowie zum Schadenspotenzial analysieren. Basierend auf den Ergebnissen dieser Analyse kann das Team zu dem Schluss kommen, dass keine Bedrohung vorliegt. Wenn sich der Verdachtsfall jedoch bestätigt, weist die Risikostufe darauf hin, ob der Insider sorgfältig überwacht werden sollte oder sofortiges Handeln erforderlich ist. Während der Bewertung der Insider-Bedrohung müssen jederzeit die Rechtmäßigkeit und Privatsphäre berücksichtigt werden.
Erkennungslösungen von CrowdStrike
CrowdStrike hat das Ziel, die nötigen Ressourcen für die Abwehr von Insider-Bedrohungen bereitzustellen. Mit unseren cloudbasierten Lösungen können Sie zuverlässige Präventions- und Behebungsmaßnahmen entwickeln, die für die IT-Assets in Ihrem Unternehmen angepasst sind.
Der erste Schritt beim Schutz der Assets in Ihrem Unternehmen ist die Erstellung eines vollständigen Inventars. Für diesen Schritt stellt CrowdStrike jetzt Asset Graph zur Verfügung. Mit dieser neuen Ergänzung der CrowdStrike Falcon®-Plattform können Sie alle IT-Assets in Ihrem Unternehmen erkennen und katalogisieren, die Verbindungen zwischen den Assets verstehen und potenzielle Schwachstellen aufdecken. Mithilfe von Such- und Visualisierungsfunktionen kann Ihr IT-Sicherheitsteam Daten extrahieren und entsprechend Ihren konkreten Anforderungen evaluieren.
Sobald Sie wissen, welche Assets geschützt werden müssen, können wir Ihnen mit unseren Services zur Bewertung technischer Risiken, Kompromittierungsanalyse und Überwachung der Netzwerksicherheit dabei helfen, ein Framework zur Erkennung und Behebung von Insider-Bedrohungen zu erstellen.
Informationen sind das Lebenselixier Ihres Unternehmens. Schützen Sie sie mit den umfassenden CrowdStrike-Lösungen für Informationssicherheit vor Angriffen durch Insider.