Was ist eine Insider-Bedrohung?

Was ist eine Insider-Bedrohung?

Eine Insider-Bedrohung ist ein (aktueller oder ehemaliger) Angestellter, ein Auftragnehmer oder eine andere Person, die Zugang zu geschützten Informationen eines Unternehmens hat und dieses Wissen für persönlichen oder finanziellen Gewinn ausnutzt.

Diese Bedrohungen stellen ein erhebliches Cybersecurity-Risiko dar, da jeder mit autorisiertem Zugriff seine Berechtigungen missbrauchen kann, um sensible Daten oder Systeme zu gefährden.

Nicht alle Insider-Bedrohungen sind notwendigerweise bösartig. Einige davon sind auf menschliches Versagen zurückzuführen, andere wiederum darauf, dass ein Mitarbeiter einfach versucht, mit der von ihm bevorzugten Technologie oder Anwendung effizienter zu arbeiten.

In diesem Leitfaden erfahren Sie, wie Sie Insider-Bedrohungen erkennen, wie sie entstehen und wie Sie Ihr Unternehmen vor ihnen schützen können.

Arten von Insider-Bedrohungen und Beispiele

Heutzutage ist es für Unternehmen leicht, übermäßig viel Zeit, Geld und Mühe in den Schutz vor externen Angriffen zu investieren. Aber mit der Verlagerung auf Remote- und hybride Arbeitsumgebungen könnten die schlimmsten Bedrohungen direkt vor Ihrer Nase sitzen - von innen heraus - und die Preisgabe von Geschäftsgeheimnissen, Personalinformationen, Kundendaten und mehr riskieren.

Da so viele Personen legitimen Zugang zu den Unternehmenssystemen haben, ist es leicht möglich, dass böswillige oder sogar unbeabsichtigte Lecks unter dem Radar Ihres Unternehmens entstehen.

Häufige Arten von Insider-Bedrohungen

1. Unbeabsichtigte oder fahrlässige Benutzer - Mitarbeiter, die unbeabsichtigt Datenverletzungen begehen, indem sie sensible Daten ungesichert lassen. Diese Art der Verletzung kann auftreten, wenn ein Mitarbeiter ein Arbeitsgerät unverschlossen oder an einem Ort zurücklässt, an dem es gestohlen werden kann. Nachlässigkeit kann auch in Form von Mitarbeitern auftreten, die Sicherheitsprotokolle umgehen, die sie als unnötig oder lästig empfinden.

2. Vorsätzlich - Dazu gehören ausscheidende oder verärgerte Mitarbeiter, die ein Unternehmen freiwillig oder unfreiwillig verlassen und Unternehmensdaten für persönlichen oder monetären Gewinn ausnutzen. Ein Beispiel hierfür wäre ein verärgerter Mitarbeiter, der vertrauliche und geschützte Informationen über sein Unternehmen an einen Konkurrenten verkauft.

3. Spionage - Interne Agenten, die im Auftrag einer externen Gruppe operieren, um eine Datenverletzung oder einen anderen Angriff durchzuführen. Diese Bedrohungen können so harmlos sein wie ein Mitarbeiter, der durch Social Engineering getäuscht wird, oder so heimtückisch wie eine Erpressung oder Bestechung, um Informationen preiszugeben.

4. Bedrohungen durch Dritte - Externe Parteien mit Zugang zu den Netzwerken und Informationen eines Unternehmens. Diese Insider-Bedrohungen können in der Form auftreten, dass ein Auftragnehmer Zugangsdaten des Unternehmens verwendet, um aus verschiedenen Gründen sensible Informationen oder geistiges Eigentum zu erhalten und weiterzugeben.

5. Abgesprochene Bedrohungen - Abgesprochene Bedrohungen treten auf, wenn sich ein interner Akteur mit einem externen Unternehmen zusammentut, um Unternehmensressourcen zu gefährden. Diese Bedrohungen können darin bestehen, dass Mitarbeiter bestochen, erpresst oder freiwillig von externen Akteuren, wie z.B. cyberkriminellen Gruppen, angeworben werden, um unbefugten Zugang zu kritischen Systemen oder Daten zu erhalten.

Vorsätzliche Insider-Bedrohungen verstehen

Während viele Insider-Vorfälle zufällig sind, handelt es sich bei vorsätzlichen Insider-Bedrohungen um absichtliche Handlungen, die durch persönliche Motive, Ideologie oder finanzielle Anreize gesteuert werden. Diese Insider wissen, wie sie sich den Kontrollen entziehen können, so dass sie mit herkömmlichen Abwehrmaßnahmen nur schwer zu entdecken sind.

Vorsätzliche Insider können:

• Geistiges Eigentum an Konkurrenten oder die Öffentlichkeit weitergeben.
• Verkauf von Zugangsdaten an Dritte oder das Dark Web.
• Löschen oder Beschädigen von Dateien als Akt der Vergeltung.
• Ausnutzung des Systemzugangs vor oder nach dem Verlassen des Unternehmens.

In einigen Fällen werden Insider von externen Akteuren gezwungen oder erpresst, einen Insider-Angriff auszuführen, wodurch die Grenze zwischen böser Absicht und Manipulation verschwimmt. Um diese Handlungen zu erkennen und zu verhindern, sind sowohl technologische Transparenz als auch ein Verständnis der Verhaltensmuster der Mitarbeiter erforderlich.

Personen, die eine Insider-Bedrohung darstellen

Insider-Bedrohungen können in ihrer Absicht, ihrem Verhalten und ihren Auswirkungen sehr unterschiedlich sein. Einige stellen ein zufälliges Risiko dar, während andere absichtlich Schaden anrichten wollen. Das Verständnis dieser Personas kann Unternehmen helfen, Insider-Bedrohungen besser zu erkennen, zu kategorisieren und darauf zu reagieren.

Spielfiguren

Bauern sind in der Regel wohlmeinende Angestellte, die manipuliert werden, um Drohungen zu ermöglichen. Sie können unwissentlich Malware herunterladen, auf Phishing-Links klicken oder Angreifern, die sich als vertrauenswürdige Kontakte ausgeben, ihre Anmeldedaten mitteilen. Diese Personen sind oft Opfer von Social Engineering und sind sich der Rolle, die sie in einem breiteren Angriff spielen, nicht bewusst.

Turncloaks

Turncloaks sind Insider, die absichtlich gegen die Interessen der Organisation handeln. Motiviert durch persönlichen Gewinn, Ressentiments oder Ideologie, können diese Personen Daten durchsickern lassen, wichtige Dateien löschen oder Systeme sabotieren. Zu dieser Kategorie können auch Whistleblower gehören - Mitarbeiter, die unethische oder illegale Aktivitäten innerhalb des Unternehmens aufdecken. Auch wenn die Beweggründe unterschiedlich sein mögen, sind die Auswirkungen auf die Sicherheit oft erheblich.

Reale Beispiele für Insider-Bedrohungen

Insider-Bedrohungen mögen in der Theorie alarmierend erscheinen, aber in der Praxis sind sie noch gefährlicher. Hier sind einige Beispiele für Insider-Bedrohungen:

• Im Jahr 2022 verklagte Yahoo einen ehemaligen Forscher, der urheberrechtlich geschützten Quellcode über sein Produkt AdLearn gestohlen hatte. Wenige Minuten, nachdem er ein Jobangebot von einem Konkurrenten erhalten hatte, lud der Mitarbeiter ca. 570.000 Seiten des geistigen Eigentums von Yahoo auf seine persönlichen Geräte herunter, da er wusste, dass die Informationen ihm bei seinem neuen Job von Nutzen sein könnten. In der Klage behauptet Yahoo, die gestohlenen Daten würden der Konkurrenz einen immensen Vorteil verschaffen.
• Im Jahr 2020 entließ Stradis Healthcare den Mitarbeiter Christopher Dobbins, der dann aus Rache in das Netzwerk des Unternehmens eindrang. Sobald er drin war, verschaffte er sich einen Administrator-Zugang und bearbeitete oder löschte über 120.000 Datensätze, wodurch sich die PSA-Lieferungen um Monate verzögerten.
• Im Jahr 2020 stahl der ehemalige Google-Manager Anthony Scott Levandowski Geschäftsgeheimnisse aus der Abteilung für selbstfahrende Autos des Unternehmens und nahm sie mit zu seinem neuen Job bei Uber. Levandowski gab zu, dass Google durch seinen Diebstahl möglicherweise bis zu 1.500.000 $ verloren hat.

Dies sind nur drei Beispiele für reale Insider-Bedrohungen, die jedes Jahr auftreten und schwere finanzielle und rufschädigende Schäden verursachen.

Technische Indikatoren für Insider-Bedrohungen

Da es so viele Möglichkeiten gibt, wie Insider-Bedrohungen entstehen können, ist der beste Weg, sie zu erkennen und letztendlich abzuwehren, die Suche nach konsistenten Datenbewegungen und digitalen Signalen.

Insider-Bedrohungen können eine Spur von Aktivitäten oder Merkmalen hinterlassen, die darauf hindeuten, dass für Unternehmensdaten ein höheres Risiko der Preisgabe oder Exfiltration besteht. Auch wenn jeder der unten aufgeführten Indikatoren für sich genommen harmlos sein kann, kann eine Kombination dieser Indikatoren die Priorität von Datenverlusten erhöhen - und damit das Vorhandensein einer Insider-Bedrohung deutlicher machen:

• Exfiltration von Zip-Dateien
• Anhang gesendet über ProtonMail
• Verschiebung von Unternehmensdaten in persönliche Versionen von genehmigten Anwendungen
• Zugriff auf Informationen, die für ihre Arbeit nicht relevant sind
• Spitzenwerte bei Versuchen der Datenexfiltrationins Ausland
• Airdrop-Transfers
• Umbenennen von Dateien, bei denen die Dateierweiterung nicht mit dem Inhalt übereinstimmt
• Installation von Hardware, Software oder Malware

Wenn Sie diese Signale im Auge behalten, können Sicherheitsteams ungewöhnliche Aktivitäten erkennen und Insider-Bedrohungen stoppen, bevor sie sich zu einem Einbruch entwickeln.

Einige Anbieter von Cybersicherheitslösungen schlagen vor, das Verhalten von Mitarbeitern zu überwachen - insbesondere auf Handlungen, die darauf hindeuten, dass sie verärgert oder unzufrieden sind - um eine Insider-Bedrohung zu erkennen, aber das ist oft unproduktiv.

Wie Sie Angriffe durch Insider erkennen

Ein Unternehmen kann sowohl menschliche als auch technologische Erkenntnisse nutzen, um Insider-Bedrohungen zu erkennen. Da die Mitarbeiter eines Unternehmens in der Regel direkten Kontakt zu ihren Kollegen haben, sind sie wahrscheinlich die ersten, die verdächtiges Verhalten erkennen. Um die Erkennung von Insider-Bedrohungen zu verbessern, können Unternehmen auch Softwarelösungen einsetzen, die Benutzeraktivitäten, Zugriffsmanagement und Verhaltensanalysen überwachen.

Die Herausforderung, Insider-Bedrohungen zu stoppen

Während sich Unternehmen seit langem darauf konzentrieren, Hacker außerhalb des Unternehmens daran zu hindern, die Sicherheitsvorkehrungen zu durchbrechen, verfügen die meisten nur über einen geringen Schutz gegen eine Bedrohung durch Insider.

Es gibt mindestens drei Arten von Insider-Bedrohungsprofilen. Bei einer böswilligen Insider-Bedrohung versucht ein Mitarbeiter innerhalb des Unternehmens absichtlich, Daten zu stehlen, Informationen weiterzugeben oder das Unternehmen anderweitig zu schädigen. Eine unvorsichtige Insider-Bedrohung liegt vor, wenn Mitarbeiter die Sicherheitsrichtlinien nicht verstehen oder die Sicherheitsregeln nicht befolgen, wodurch das Unternehmen dem Risiko von malware-Infektionen und Datenlecks ausgesetzt ist. Und die Bedrohung durch kompromittierte Insider betrifft einen Mitarbeiter, dessen E-Mail-Konto von einem Hacker durch Abfangen von Zugangsdaten, Social Engineering, phishing-E-Mails oder malware übernommen wurde, um Informationen zu stehlen oder betrügerische Finanztransaktionen durchzuführen.

Fast jede Insider-Bedrohung betrifft E-Mails. E-Mail-Nachrichten sind häufig die Quelle von Angriffen – Nachrichten, die bösartige E-Mail-Anhänge und URLs enthalten, sind eine gängige Technik, um advanced persistent threat und andere Angriffe zu starten. Und E-Mails sind häufig in Datenlecks verwickelt, ob böswillig oder versehentlich. Um sich gegen eine Insider-Bedrohung zu schützen, benötigen Unternehmen eine Insider-Bedrohungserkennung für interne E-Mails, die einen Angriff oder ein Datenleck schnell erkennen und beheben kann. Hier kann Mimecast helfen.

Wie Sie sich vor Insider-Bedrohungen schützen können

Die Geschäftsleitung und die Sicherheitsteams können zwar auf digitale und verhaltensbezogene Indikatoren achten, aber das sollte nicht die einzige Schutzmethode eines Unternehmens sein. Stattdessen sollten sie ihr Programm zur Bekämpfung von Insider-Bedrohungen aus drei Perspektiven angehen: Feststellung des normalen Nutzerverhaltens, Identifizierung und Schutz kritischer Vermögenswerte und Risikominderung.

Darüber hinaus sorgen kontinuierliche Schulungen für die Mitarbeiter dafür, dass die Sicherheit immer im Vordergrund steht und eine Sicherheitskultur geschaffen wird.

Erstellen Sie einen Grundstock an vertrauenswürdigen Aktivitäten

Sie müssen wissen, was vertrauenswürdige Aktivitäten sind, bevor Sie riskante Datenzugriffsbewegungen erkennen können. Ihre optimale Cybersicherheitssoftware verfügt über integrierte Funktionen, die eine Basislinie vertrauenswürdiger Datenzugriffsaktivitäten erstellen und ableiten, die als Vergleich bei der Verfolgung alltäglicher Datenbewegungen dient.

Die Aktivitäten, die Sie interessieren, können Authentifizierungsmethoden, Zugriffszeiten und VPN-Protokolle sein. Ihr Cybersicherheitssystem sollte die Sicherheitsteams alarmieren, wenn Anomalien auftreten, damit diese prüfen und feststellen können, ob es sich bei den Unregelmäßigkeiten tatsächlich um potenzielle Insider-Bedrohungen handelt.

Verschaffen Sie sich einen Überblick über alle Ihre Daten und deren Bewegung

Sie haben vielleicht schon davon gehört, dass Sie Ihre wichtigsten Daten schützen müssen, aber es ist einfacher und effizienter, alle Daten als wichtig zu behandeln und ihre Bewegung entsprechend zu überwachen.

Jeden Tag werden bis zu 34 Mal pro Benutzer versehentlich Daten preisgegeben. Wenn Sie also alle Daten so schützen, als wären sie kritisch, minimieren Sie das Risiko, dass sensible Informationen versehentlich verschoben werden und eine Situation für IP-Diebstahl entsteht.

Sorgen Sie dafür, dass Ihre Mitarbeiter wissen, dass die Überwachung von Datenbewegungen an nicht vertrauenswürdige Orte nicht dasselbe ist wie Überwachung. Anstatt Tastatureingaben zu verfolgen, Bilder von Bildschirmen zu machen, die Leistung zu beobachten oder andere invasive Aktivitäten durchzuführen, ist ein Unternehmen, das die Daten, die es besitzt, überwacht, im Interesse der Mitarbeiter und des Unternehmens, da es Innovationen und Wettbewerbsvorteile schützt.

Bewältigen Sie Insider-Bedrohungen, indem Sie das Risiko angehen

Der 2023 Data Exposure Report von Code42 (jetzt Teil von Mimecast) hat ergeben, dass CISOs das Insider-Risiko als die am schwierigsten zu erkennende Bedrohung in ihren Unternehmen einstufen. Insiderrisiken sind Daten, die das Wohlergehen eines Unternehmens und seiner Mitarbeiter, Kunden oder Partner gefährden.

Anstatt nach der Nadel im Heuhaufen und der einen Person zu suchen, die eine Insider-Bedrohung darstellt, sollten Sie eine moderne Datenschutzstrategie umsetzen, indem Sie Aktivitäten überwachen, die sensible Informationen gefährden. Dieser Ansatz bereitet Sie darauf vor, auf jede potenzielle Datenverletzung zu reagieren, unabhängig davon, welche Absicht dahinter steckt.

Bei der Umsetzung des Datenschutzes geht es nicht darum, Mitarbeiter zu überwachen oder darauf zu warten, dass sie einen Fehler machen. Es geht um die Überwachung von Datenänderungen und -bewegungen, die Suche nach Risikoindikatoren und die Priorisierung dieser Risiken. Je nach Priorität können Sie schnell Maßnahmen ergreifen, um den Schaden einzudämmen und einen Verstoß zu verhindern.

Der schnellste Weg, Insider-Risiken zu entdecken, ist die Unterstützung durch intelligente Software. Im Gegensatz zu Menschen können KI-basierte Tools die Systeme eines Unternehmens kontinuierlich überwachen und Risiken ans Licht bringen, die Sie vielleicht gar nicht bemerken. Die besten Plattformen scannen alle Systeme auf Schwachstellen und ermöglichen es den Sicherheitsteams, diese schnell zu beheben.

Mitarbeiter schulen und eine Kultur der Sicherheit schaffen

Eine weitere Komponente des Datenschutzes ist die kontinuierliche Schulung der Mitarbeiter. Schulungen, die sich auf bewährte Sicherheitspraktiken und das "Warum" hinter Richtlinien konzentrieren, können für ein Team von Vorteil sein. Wenn Sie Ihre Mitarbeiter daran erinnern, warum es diese Richtlinien gibt, können Sie die Umgehung von Sicherheitsvorschriften verhindern. Wenn Sie die besten Praktiken stets im Auge behalten, bekämpfen Sie Nachlässigkeit und ermutigen Ihre Mitarbeiter zu einem guten Verhalten, das den Protokollen des Unternehmens entspricht.

Indem Unternehmen die Bedeutung der Cybersicherheit unternehmensweit betonen, schaffen sie eine Kultur, in der Sicherheit und Risikomanagement einen hohen Stellenwert haben, was letztlich zu weniger Insider-Bedrohungen führen kann.

Verhindern Sie eine Insider-Bedrohung mit Mimecast

Mimecast bietet Cloud-basierte Dienste für E-Mail-Sicherheit, Kontinuität und Archivierung, die von einem single Fenster aus verwaltet werden und dazu beitragen, die Kosten und die Komplexität des erweiterten Schutzes vor Bedrohungen zu reduzieren.

Um eine Bedrohung durch Insider zu erkennen und zu verhindern, bietet Mimecast Internal Email Protect an, einen Dienst zur Überwachung und Beseitigung von Bedrohungen für intern generierte E-Mails. Als Teil des E-Mail-Sicherheitsangebots von Mimecast können Sie mit diesem Programm für Insider-Bedrohungen Sicherheitsbedrohungen, die von innerhalb Ihres Unternehmens ausgehen, überwachen, erkennen und abwehren.

Internal Email Protect scannt alle E-Mails sowie Anhänge und URLs, um Malware und bösartige Links zu identifizieren. Mimecast kann auch eine Insider-Bedrohung mit Inhaltsfilterung erkennen, um Dienste zur Verhinderung von Datenverlusten durchzusetzen.

Schützen Sie sich vor Insider-Bedrohungen mit Mimecast Incydr

Von der Schädigung des Rufs eines Unternehmens bei den Kunden über den Entzug von Finanzmitteln bis hin zur Preisgabe geschützter Innovationen können Insider-Bedrohungen verheerende Folgen haben. Der Schutz vor Insider-Bedrohungen ist unter anderem deshalb so schwierig, weil herkömmliche DLP-Software eine isolierte Sicht auf die Datenbewegungen hat und Dutzende von bedrohlichen Exfiltrationen übersieht. Anstatt zu raten, welche Exfiltration eine Bedrohung darstellt, sollten Sie einen modernen Ansatz für den Datenschutz wählen.

Mimecast Incydr ist eine intelligente Datenschutzlösung, die riskante Datenbewegungen identifiziert - und nicht nur die von den Sicherheitsbehörden klassifizierten Exfiltrationen - und Ihnen hilft, potenzielle Insider-Bedrohungen zu erkennen und zu stoppen. Incydr erkennt automatisch Datenlecks zu nicht vertrauenswürdigen Cloud-Anwendungen, blockiert inakzeptable Exfiltrationen und passt die Reaktion der Sicherheitsbehörden an den Täter und das Vergehen an. Mitarbeiter, die Sicherheitsfehler machen, erhalten automatisch Schulungen, um das Benutzerverhalten zu korrigieren und das Risiko von Insider-Bedrohungen mit der Zeit zu verringern.