Was sind einige potenzielle Indikatoren für Insider-Bedrohungen?

Sie kennen die Risiken von Insider-Bedrohungen und wissen, wie diese wertvolle Geschäftsgeheimnisse, Personalinformationen, Kundendaten und vieles mehr preisgeben können - absichtlich oder unabsichtlich. Aber wie kann man ihnen am besten vorbeugen?

Es beginnt damit, dass Sie die Indikatoren für Insider-Bedrohungen verstehen.

In diesem Leitfaden erfahren Sie alles, was Sie über Indikatoren für Insider-Bedrohungen wissen müssen, damit Sie Datenschutzverletzungen und die damit verbundenen potenziell teuren Geldstrafen, Rufschädigungen und den Verlust von Wettbewerbsvorteilen vermeiden können.

Doch zunächst sollten Sie sich mit ein paar Grundlagen vertraut machen.

Was ist eine Insider-Bedrohung?

Eine Insider-Bedrohung ist ein Cybersicherheitsrisiko, das von jemandem ausgeht, der legitimen Zugang zu den Daten und Systemen eines Unternehmens hat. Zu diesen Personen gehören in der Regel Mitarbeiter, Praktikanten, Auftragnehmer, Lieferanten, Partner und Verkäufer.

Ein Insider mit böswilligen Absichten ist zwar die erste Situation, die einem in den Sinn kommt, aber nicht alle Insider-Bedrohungen funktionieren auf diese Weise.

Arten von Insider-Bedrohungen

Insider-Bedrohungen können viele schädliche Situationen hervorrufen, und sie gehen im Wesentlichen von zwei Arten von Personen aus:

• Fahrlässige Insider. Diese Personen geben ungewollt Unternehmensinformationen preis. Sie könnten Sicherheitsprotokolle eher als leichte Anleitung denn als strenge Regeln betrachten oder einen ehrlichen Fehler machen, während sie versuchen, die Sicherheitspraktiken einzuhalten. 
• Böswillige Insider. Im Gegensatz zu fahrlässigen Insidern begehen böswillige Insider Betrug absichtlich. Ihre Beweggründe können finanzieller Gewinn, Rache oder andere persönliche Gründe sein. Obwohl böswillige Bedrohungen durch Insider mehr in den Medien sind, kommen sie nicht so häufig vor. 78% der Datenschutzverletzungen durch Insider sind unbeabsichtigt.

Unabhängig von ihrem Ursprung können Insider-Bedrohungen schwer zu identifizieren sein. Um wertvolle Daten zu sichern und geistiges Eigentum (IP) zu schützen, sollten Unternehmen die Anzeichen einer Insider-Bedrohung erkennen.

Mögliche Indikatoren für Insider-Bedrohungen

Es gibt sechs gängige Indikatoren für Insider-Bedrohungen, die im Folgenden näher erläutert werden. Auch wenn jedes für sich genommen harmlos sein mag, kann eine Kombination von ihnen die Wahrscheinlichkeit erhöhen, dass eine Insider-Bedrohung vorliegt.

1. Ungewöhnliche Datenverschiebung

Übermäßige Spitzen beim Herunterladen von Daten, das Versenden großer Datenmengen außerhalb des Unternehmens und die Verwendung von Airdrop zur Übertragung von Dateien können alles Anzeichen für eine Bedrohung durch Insider sein. 

Vielleicht haben Sie versucht, bestimmte Unternehmensdaten als sensibel oder kritisch zu kennzeichnen, um diese verdächtigen Datenbewegungen abzufangen. Aber selbst mit den robustesten Richtlinien und Tools zur Datenkennzeichnung kann geistiges Eigentum durch die Maschen fallen. Es ist effektiver, alle Daten als potenzielle IP zu behandeln und Dateibewegungen zu nicht vertrauenswürdigen Geräten und Orten zu überwachen.

2. Verwendung von nicht genehmigter Software und Hardware

Nachlässige und böswillige Insider können nicht genehmigte Tools installieren, um die Arbeit zu rationalisieren oder die Datenexfiltration zu vereinfachen. Ein Projektmanager kann sich zum Beispiel für eine nicht autorisierte Anwendung anmelden und diese nutzen, um den Fortschritt eines internen Projekts zu verfolgen. Böswillige Akteure können die ProtonMail-Erweiterung installieren, um Dateien zu verschlüsseln, die sie an ihre persönliche E-Mail senden.

Unabhängig von der Absicht kann Schatten-IT auf eine Insider-Bedrohung hinweisen, da nicht genehmigte Software und Hardware eine Lücke in der Datensicherheit verursachen.

3. Erhöhte Anfragen nach erweiterten Privilegien oder Berechtigungen

Es ist nicht ungewöhnlich, dass Mitarbeiter, Lieferanten oder Auftragnehmer die Erlaubnis benötigen, sensible Informationen einzusehen. Problematisch wird es, wenn immer mehr Personen darauf zugreifen wollen, denn dann gibt es viel mehr potenzielle Risiken für sensible Daten.

Ein böswilliger Insider könnte zum Beispiel Daten abgreifen wollen, auf die er zuvor keinen Zugriff hatte, um sie im Dark Web zu verkaufen. In einer anderen Situation könnte ein fahrlässiger Insider, der über ein ungesichertes Netzwerk darauf zugegriffen hat, die Informationen versehentlich durchsickern lassen und eine Datenverletzung verursachen.

Je mehr Personen Zugang zu sensiblen Informationen haben, desto größer ist die Gefahr, die von Insidern ausgeht.

4. Zugang zu Informationen, die nicht zu ihren Aufgaben gehören

Ein weiteres potenzielles Signal für eine Insider-Bedrohung ist, wenn jemand Daten ansieht, die nicht für seine Rolle relevant sind. Es wäre zum Beispiel verdächtig, wenn ein Marketingmitarbeiter versuchen würde, auf die Sozialversicherungsnummern seiner Kollegen zuzugreifen, da er diese Informationen nicht für seine Arbeit benötigt.

Während dieses Beispiel eindeutig ist, sind andere Situationen vielleicht nicht so offensichtlich. Wenn ein Mitarbeiter an einem stark funktionsübergreifenden Projekt arbeitet, kann der Zugriff auf bestimmte Daten, die nicht zum Kernbereich seiner Tätigkeit gehören, in Ordnung sein, auch wenn er sie nicht wirklich benötigt.

Zusammen mit anderen Indikatoren können diese Situationen Sicherheitsteams helfen, Insider-Bedrohungen aufzudecken.

5. Umbenannte Dateien, bei denen die Dateierweiterung nicht mit dem Inhalt übereinstimmt

Böswillige Insider können versuchen, ihre Datenexfiltration durch die Umbenennung von Dateien zu verschleiern. 

Ein Mitarbeiter, der beispielsweise eine PowerPoint-Datei mit einer Produkt-Roadmap in "2022 Support-Tickets" umbenennt, versucht, den tatsächlichen Inhalt zu verbergen. Die Konvertierung von Zip-Dateien in eine JPEG-Erweiterung ist ein weiteres Beispiel für eine solche Aktivität. 

Ein Datensicherheitstool, das diese nicht übereinstimmenden Dateien und Erweiterungen findet, kann Ihnen helfen, potenziell verdächtige Aktivitäten zu erkennen.

6. Ausscheidende Mitarbeiter

Unabhängig davon, ob ein Mitarbeiter ein Unternehmen freiwillig oder unfreiwillig verlässt, können beide Szenarien Insider-Bedrohungen auslösen. 

Mitarbeiter können strategische Pläne oder Vorlagen an persönliche Geräte oder Speichersysteme weiterleiten, um sich bei ihrer nächsten Aufgabe einen Vorsprung zu verschaffen. Andere mit feindlicheren Absichten könnten Daten stehlen und sie an Konkurrenten weitergeben. 

Das Ausscheiden von Mitarbeitern ist ein weiterer Grund, warum die Beobachtung der Dateibewegungen von Risikobenutzern, anstatt sich auf die Datenklassifizierung zu verlassen, dabei helfen kann, Datenlecks zu entdecken.

Warum die Überwachung von Verhaltensindikatoren allein unwirksam ist

Unternehmen, die nur das physische Verhalten eines Mitarbeiters untersuchen, anstatt eine Kombination der oben erwähnten digitalen Signale zu untersuchen, können leider eine Insider-Bedrohung übersehen oder den wahren Grund für den Datendiebstahl eines Mitarbeiters falsch einschätzen.

Einige Verhaltensindikatoren sind z.B. ungerade Arbeitszeiten, häufige Streitigkeiten mit Kollegen, plötzliche Veränderungen bei den Finanzen, nachlassende Leistung oder häufiges Fehlen bei der Arbeit. Diese Signale können zwar auf abnormales Verhalten hinweisen, sind aber für sich genommen nicht besonders zuverlässig, um Insider-Bedrohungen aufzudecken. Diese Signale können auch auf Veränderungen im Privatleben eines Mitarbeiters hindeuten, in die ein Unternehmen möglicherweise nicht eingeweiht ist.

Die Überwachung aller Dateibewegungen in Kombination mit dem Benutzerverhalten gibt Sicherheitsteams einen Kontext. Sie können Muster besser erkennen und auf Vorfälle je nach Schweregrad reagieren.

Strategien zur Abwehr von Insider-Bedrohungen

Die Aufdeckung von Insider-Bedrohungen ist von entscheidender Bedeutung, um kostspielige Geldstrafen und Rufschädigung durch Datenschutzverletzungen zu vermeiden. 

Im Folgenden finden Sie einige Strategien, mit denen Sie Indikatoren für Insider-Bedrohungen erkennen und die Wahrscheinlichkeit eines Datenlecks verringern können:

• Implementieren Sie Zugriffskontrollen mit einer Zero-Trust-Strategie. Eine Zero-Trust-Strategie beschränkt die Berechtigungen der Mitarbeiter auf das, was für ihre Rolle erforderlich ist. Die Einführung von Zero Trust verringert den Schaden, den Insider anrichten können, und macht Anfragen zur Erweiterung ihres Zugriffs deutlicher.
• Nutzen Sie ein reaktionsschnelles Sicherheitstraining. Lange Videos oder Schulungsmethoden, die von den Mitarbeitern als jährlicher "Checklistenpunkt" abgehakt werden, können keine sicheren Arbeitsgewohnheiten fördern. Wenn Sie Ihre Mitarbeiter zu verschiedenen Zeitpunkten im Jahr schulen, insbesondere wenn sie einen Fehler gemacht haben, können Sie ihnen helfen, sich die besten Sicherheitsverfahren einzuprägen.
• Überwachen und schützen Sie alle Daten, nicht nur die, die Sie als "wichtig" eingestuft haben. Die Überwachung aller Dateibewegungen kann dazu beitragen, Daten zu schützen und zu verhindern, dass riskantes Datenverhalten durch die Maschen fällt - so können Insider-Bedrohungen aufgedeckt werden, bevor sie Daten verlieren. 
• Erstellen Sie einen Grundstock an vertrauenswürdigen Aktivitäten. Mit einem Benchmark ist es einfacher, riskantes Verhalten von normalem Verhalten zu unterscheiden. Optimale Cybersicherheitssoftware kann Ihnen dabei helfen, festzustellen, welchen Geräten und Zielorten Sie vertrauen und verdächtige Datenbewegungen an Orte zu erkennen, die Sie nicht kennen. 
• Starten Sie ein Programm für Insider-Bedrohungen. Selbst wenn Sie nur über ein begrenztes Budget verfügen, ist der langfristige Nutzen eines robusten Programms für Insider-Bedrohungen die Ressourcen und den Ärger wert, die Sie durch den proaktiven Umgang mit dem Risiko von Insider-Bedrohungen sparen.

Die Anwendung einer oder einer Kombination dieser Taktiken zur Erkennung von Insider-Bedrohungen kann dazu beitragen, die Arbeitsabläufe Ihres Sicherheitsteams zu optimieren und Insider-Bedrohungen zu verhindern.

Beginnen Sie mit der Erkennung von Insider-Bedrohungsindikatoren

Eine scheinbar harmlose Aktion eines nachlässigen Auftragnehmers oder ein böswilliger Diebstahl durch einen verärgerten Mitarbeiter kann die Daten und das geistige Eigentum Ihres Unternehmens gefährden. Diese Situationen können zu einem finanziellen oder rufschädigenden Schaden sowie zu einem Verlust von Wettbewerbsvorteilen führen.

Sicherheitsverantwortliche können damit beginnen, Indikatoren für Insider-Bedrohungen zu erkennen, bevor Schaden entsteht, indem sie Strategien zur Abwehr von Insider-Bedrohungen implementieren - einschließlich des Einsatzes von Software, die auf die Datenexfiltration durch Insider überwacht. 

Eine solche Erkennungssoftware ist Mimecast Incydr. Mimecast Incydr verfolgt alle Datenbewegungen an nicht vertrauenswürdigen Orten wie USB-Laufwerken, persönlichen E-Mails, Webbrowsern und mehr. Sein automatisches Modell zur Risikopriorisierung verschafft Sicherheitsteams vollständigen Einblick in verdächtige (und nicht verdächtige!) Datenexfiltrationen. Die Lösung verfügt außerdem über eine breite Palette von Reaktionskontrollen, um Datenlecks durch Insider-Bedrohungen zu minimieren und Mitarbeiter zu sicheren Arbeitsgewohnheiten zu ermutigen.