Mimecast Logo
Angebot einholen

    Bösartige Insider-Bedrohungen

    Demo vereinbaren
    Bösartiger Insider
    Demo vereinbaren
    Übersicht

    Was ist ein böswilliger Insider? 

    Ein böswilliger Insider ist eine Person, die Insiderwissen über geschützte Informationen eines Unternehmens hat und diese absichtlich missbraucht, um die Integrität des Unternehmens zu beeinträchtigen.

    Diese Person könnte ein aktueller oder ehemaliger Mitarbeiter, Auftragnehmer oder Geschäftspartner sein.

    Beispiele für bösartige Insider-Bedrohungen 

    Einige gängige Beispiele für Insider-Bedrohungen sind:

    • Ein kürzlich entlassener Mitarbeiter verkauft vertrauliche Informationen an einen Konkurrenten.
    • Ein verärgerter Mitarbeiter, der Geschäftsgeheimnisse an die Öffentlichkeit bringt.
    • Ein Mitarbeiter, der wichtige Aufzeichnungen und Informationen löscht, um gegen die Compliance-Vorschriften zu verstoßen.

     

    GettyImages-1309763358-1200px.jpg

     

    Wie erkennt man eine bösartige Insider-Bedrohung? 

    Sowohl Menschen als auch Technologie können bösartige Insider-Bedrohungen erkennen.  

    Die Mitarbeiter eines Unternehmens können als erste Anlaufstelle für die Erkennung von Bedrohungen dienen, da Kollegen, die regelmäßig mit einem potenziell böswilligen Insider zu tun haben, wahrscheinlich Veränderungen im Verhalten, in der Persönlichkeit und in der Motivation bemerken, die auf eine mögliche Sicherheitsbedrohung hindeuten können.

    Technologie kann helfen, Insider-Bedrohungen zu erkennen:

    • Überwachung der Benutzeraktivitäten
    • Untersuchungen von Vorfällen
    • Zugangsverwaltung
    • Benutzer- und Verhaltensanalyse

    Wie Sie böswillige Insider erkennen und verhindern können

    Da böswillige Insider bereits über Insider-Zugang verfügen, sind ihre Aktivitäten für die Überwachung der Benutzeraktivitäten durch Sicherheitsteams oft unsichtbar. Sie können unbemerkt bleiben, bis Wochen oder Monate später die Kosten für ein Datenleck ins Unermessliche gestiegen sind.

    Es gibt jedoch eine Reihe von Indikatoren, die auf ein böswilliges Verhalten eines Insiders hindeuten können. Einige bewährte Verfahren können Ihnen helfen, Datenlecks und Datenmissbrauch in Echtzeit zu erkennen.

    Verfolgen Sie Anomalien bei der Exfiltration

    Böswillige Insider wollen möglicherweise Unternehmensdaten an Dritte weitergeben oder die Informationen für ihren eigenen persönlichen Vorteil behalten. Jede ungewöhnliche Datenbewegung könnte also ein Zeichen für Datendiebstahl sein, z.B. wenn ein Mitarbeiter versucht, große Datenmengen herunterzuladen oder Daten an persönliche Konten zu senden.

    Außerdem können böswillige Insider versuchen, Daten einzusehen, für die sie keine Zugriffsberechtigung haben. Ein Mitarbeiter versucht beispielsweise, den Zugriff auf ein privates Google-Dokument zu beantragen oder die Freigabeberechtigungen zu ändern.

    Es mag überwältigend erscheinen, in allen Daten Ihres Unternehmens nach Anomalien zu suchen. Mit der Bewegung von Daten mit hohem Risiko zu beginnen, kann ein guter Anfang sein. Verfolgen Sie die Datenbewegungen von ausscheidenden Mitarbeitern, von Mitarbeitern mit schlechten Sicherheitspraktiken in der Vergangenheit oder von Mitarbeitern, die aus dem einen oder anderen Grund von der Personalabteilung markiert wurden. Auf diese Weise können Ihre Sicherheitsanalysten die am meisten gefährdeten Daten zur richtigen Zeit ins Visier nehmen.

    Vertrauenswürdige Aktivität einrichten

    Um ungewöhnliche Verhaltensweisen bei allen Datenbewegungen zu erkennen, ist es wichtig, dass alle Mitarbeiter durch Schulungen und Sensibilisierung erfahren, was normal und akzeptabel ist. Eine Sicherheitsrichtlinie ist ein wichtiges Instrument, um die Mitarbeiter über die besten Sicherheitsverfahren zu informieren. Diese Richtlinie beschreibt, wie Ihr Unternehmen und seine Mitarbeiter Unternehmensdaten und -systeme nutzen und schützen sollten.

    Eine starke Sicherheitsrichtlinie berücksichtigt mehr als nur die Datenbewegung. Es schafft Zugangskontrollen, überwacht Benutzeraktivitäten, schult Mitarbeiter, fördert das Bewusstsein und legt fest, wie im Falle einer Datenschutzverletzung zu reagieren ist. All diese Kontrollen können helfen, Bedrohungen durch böswillige Insider abzuwehren. Indem Sie mit vertrauenswürdigen Aktivitäten beginnen, kann Ihr Team bekannte Risiken überwachen und gleichzeitig eine Strategie für unbekannte Risiken entwickeln - eine Arbeit, die mit den richtigen Tools oft erleichtert wird.

    Suchen Sie nach verdächtiger Hardware oder Software

    Wenn ein böswilliger Insider Daten stiehlt, verwendet er möglicherweise nicht autorisierte Hardware oder Software, um die Daten herunterzuladen und zu verschieben. Böswillige Insider senden oft Daten an Software wie ein persönliches E-Mail- oder Cloud-Speicher-Konto. Sie können auch Hardware wie ein nicht autorisiertes USB-Laufwerk oder ein persönliches Gerät verwenden. Neben digitalem Diebstahl können sie sich auch auf Ausdrucke verlassen, um Daten mitzunehmen, indem sie die Drucker des Unternehmens benutzen. Erstellen Sie einen Plan, mit dem Sie Ihre Daten online und offline schützen können.

    Erstellen Sie ein Programm für Insider-Bedrohungen

    Sicherheitsteams allein können nicht alle Risiken durch böswillige Insider eindämmen. Daher kann ein unternehmensweites Programm die Hilfe der Mitarbeiter und die richtige Software in Anspruch nehmen. Ein Programm für Insider-Bedrohungen umfasst alle Schritte und Prozesse, die Ihr Unternehmen benötigt, um die Risiken von Insider-Bedrohungen zu bewältigen. Das Programm sollte alle Beteiligten in Ihrem Unternehmen einbeziehen, die an der Reaktion auf die Bedrohung beteiligt sein müssen, z. B. die Personalabteilung, die Rechtsabteilung und die Sicherheitsteams.

    Diese Gruppe von Interessenvertretern sollte festlegen, welche Aktionen eine Untersuchung auslösen und wie verdächtige Aktivitäten zu kennzeichnen sind. Darüber hinaus sollte diese Gruppe von der Geschäftsleitung unterstützt werden, um Mitarbeiter zu schulen, das Bewusstsein zu schärfen und neue Technologien zu implementieren, die bei der Überwachung aller Datenbewegungen helfen.

    Ein erfolgreiches Programm gegen Insider-Bedrohungen befasst sich nicht nur mit bösartigen Bedrohungen, sondern auch mit allen bekannten und unbekannten Insider-Bedrohungen und konzentriert sich sowohl auf Prävention als auch auf Reaktion. Mit den richtigen automatisierten Tools können Sie die Datenexfiltration automatisch blockieren, um einen proaktiven Ansatz zu verfolgen.

    Was motiviert böswillige Insider?

    Warum könnten Insider böswillig handeln? Werfen wir einen Blick auf die Motivationsfaktoren für böswillige Insider:

    Finanzieller Gewinn:

    Böswillige Insider sind manchmal darauf aus, Geld zu verdienen. Sie können versuchen, Daten an Dritte zu verkaufen. Oftmals nehmen ausscheidende Mitarbeiter einen Job bei einem Konkurrenten an und nutzen ihren Insider-Zugang, bevor sie das Unternehmen verlassen, um Daten zu sammeln, die sie dann in ihrer neuen Position nutzen können.

    Der Wunsch nach Rache oder persönlichem Gewinn:

    Diese Art von böswilligen Insidern hegt einen Rachefeldzug gegen Ihr Unternehmen. Vielleicht haben sie keine Beförderung erhalten, vielleicht hat das Unternehmen ihre Stelle gekündigt und sie sind wütend über den Verlust ihres Jobs. So oder so könnte diese Person Daten stehlen oder interne Systeme sabotieren, um sich an denen zu rächen, von denen sie glaubt, dass sie ihnen Unrecht getan haben. Neben Geld und Rache können böswillige Insider auch nach Ruhm streben, indem sie sensible Informationen an die Presse weitergeben.

    Unternehmensspionage:

    Diese Insider sind von einer externen Quelle kompromittiert worden und stehlen Daten, um diesem Außenseiter zu helfen. Das Ziel ist zwar immer noch der persönliche oder finanzielle Gewinn, aber die Motivation ist etwas anders als bei den oben genannten Beispielen. Dies mag vielleicht am haarsträubendsten erscheinen, aber zahllose Fälle gehen darauf zurück, dass ein Nationalstaat einen Angestellten benutzt hat, um sich für einen strategischen Vorteil Zugang zu geistigem Eigentum zu verschaffen.

    Übliche bösartige Insidertechniken

    Böswillige Insider können Angriffe auf viele Arten und aus vielen Gründen durchführen, aber ein gemeinsames Thema bei allen Techniken ist der finanzielle oder persönliche Gewinn. Vier gängige Techniken sind:

    • Betrug: Unrechtmäßiger oder krimineller Gebrauch von sensiblen Daten und Informationen zum Zwecke der Täuschung.
    • Diebstahl geistigen Eigentums: Der Diebstahl des geistigen Eigentums einer Organisation, oft um es gegen Geld zu verkaufen.
    • Sabotage: Der Insider nutzt seinen Mitarbeiterzugang, um Systeme oder Daten des Unternehmens zu beschädigen oder zu zerstören.
    • Spionage: Der Diebstahl von Informationen im Namen einer anderen Organisation, z.B. eines Konkurrenten.

    Wie man einen böswilligen Insider stoppt

    Für viele Unternehmen ist es überraschend, dass Bedrohungen durch unvorsichtige oder böswillige Insider genauso gefährlich und weit verbreitet sind wie Angriffe von außen. Die meisten IT-Sicherheitsteams sind mit den Gefahren von Bedrohungen wie Spear-Fishing, Ransomware und Imitationsangriffen bestens vertraut. Aber weniger Administratoren sind sich bewusst, dass laut einem Forrester-Bericht von 2017 die Hälfte aller Datenschutzverletzungen auf einen böswilligen Insider, einen unvorsichtigen Mitarbeiter oder einen kompromittierten Benutzer zurückgeführt werden.

    Die Abwehr von Insider-Bedrohungen erfordert andere Technologien als die Abwehr von externen Angriffen per E-Mail. Bedrohungen, die zum Beispiel über eine interne E-Mail gesendet werden, passieren kein sicheres E-Mail-Gateway, das andernfalls E-Mails mit malware, bösartigen URLs oder verdächtigen Anhängen erkennen und blockieren könnte.

    Um einen böswilligen Insider zu stoppen, benötigen Unternehmen Lösungen zur Verhinderung von Datenlecks per E-Mail, zur Erkennung verdächtiger Inhalte in E-Mails und zum Blockieren interner E-Mails, die einen Angriff verbreiten oder auslösen könnten. Glücklicherweise bietet Mimecast einen umfassenden Cloud-E-Mail-Schutz, der all diese und andere Bedenken ausräumt.

    Wie kann man sich von einem böswilligen Insider-Angriff erholen? 

    Die Wiederherstellung nach einem böswilligen Insider-Angriff kann schwierig sein, insbesondere wenn die Daten vollständig zerstört wurden. Der beste Weg, sich von einem Insider-Angriff zu erholen, ist, ihn von vornherein zu verhindern. Wenn Ihr Unternehmen jedoch von einem Angriff betroffen ist, können die folgenden Schritte Ihnen helfen, den Schaden zu begrenzen:

    1. Melden Sie illegale Aktivitäten den Strafverfolgungsbehörden

    2. Überprüfen Sie Ihre Systeme auf Malware oder Viren

    3. Überprüfen Sie den Vorfall und überarbeiten Sie die Sicherheits- und Personalzugangsprotokolle.

    Blockieren eines böswilligen Insiders mit Mimecast

    Mimecast bietet eine SaaS-basierte Lösung für das Informationssicherheitsmanagement, die E-Mail-Sicherheit, Archivierung, Kontinuität, Compliance, e-Discovery sowie Backup und Recovery vereinfacht. Die als Abonnement erhältliche Lösung von Mimecast erfordert keinen Kauf von Hardware oder Software und keine Kapitalinvestitionen - die Dienste werden von der Cloud-Plattform von Mimecast zu vorhersehbaren monatlichen Kosten bereitgestellt.

    Die Lösungen von Mimecast sind außerdem einfach zu bedienen. Administratoren können sie über eine single webbasierte Oberfläche verwalten und konfigurieren, während Endbenutzer im gesamten Unternehmen von schnellen Archivsuchen, secure messaging services und einer E-Mail-Sicherheit profitieren, die die Leistung nicht beeinträchtigt.

    Um das Problem eines böswilligen Insiders zu lösen, überwacht der Internal Email Protect Service von Mimecast automatisch alle E-Mails, die das Unternehmen verlassen, sowie alle intern versendeten E-Mails. Mimecast nutzt eine ausgeklügelte Technologie zum Scannen von E-Mails, um E-Mails mit verdächtigem Inhalt sowie bösartige URLs und waffenfähige Anhänge zu erkennen. Um Bedrohungen durch einen böswilligen Insider zu beseitigen, kann Mimecast verdächtige E-Mails löschen oder blockieren. Bei E-Mails, die zwar sensibles Material, aber keine böswilligen Absichten enthalten, kann Mimecast den Benutzer auffordern, E-Mails über ein Secure Messaging-Portal zu versenden.

    Vorteile der Mimecast-Dienste zur Vereitelung eines böswilligen Insiders

    Mit der Mimecast-Technologie können Unternehmen einen böswilligen Insider aufhalten:

    • Blockieren Sie erfolgreich Bedrohungen und verhindern Sie, dass sensible Daten das Unternehmen verlassen und den Ruf schädigen oder Kunden gefährden.
    • Finden und entfernen Sie automatisch interne E-Mails, die Bedrohungen enthalten.
    • Verringern Sie das Risiko, dass sich ein erfolgreicher Verstoß per E-Mail im gesamten Unternehmen ausbreitet.
    • Vereinfachen Sie die E-Mail-Verwaltung mit einer single Konsole für Berichte, Konfiguration und Verwaltung von E-Mails im gesamten Unternehmen.
    • Kombinieren Sie die Technologie zum Stoppen eines böswilligen Insiders mit dem Schutz vor Datenverlusten, um Lecks zu verhindern, und mit Informationsschutzdiensten für den sicheren Versand von E-Mails und großen Anhängen.

    Erfahren Sie mehr über die Abwehr von Bedrohungen durch böswillige Insider mit Mimecast.

    Verwandte Ressourcen zu bösartigen Insidern

    Resources_30.jpg
    Email & Collaboration Threat Protection

    Gartner® Magic Quadrant™ für E-Mail-Sicherheit

    Analystenbericht
    Resources_42.jpg
    Email & Collaboration Threat Protection

    Email Security: Mimecast & Microsoft

    Whitepaper
    Resources_38.jpg
    Email & Collaboration Threat Protection

    The Cost and Risk of Email Attacks: Mimecast vs. Competition

    Infografik
    Zurück zum Anfang