Was sind Insider-Bedrohungen?
Bedrohungen von innen gehen von Benutzern aus, die autorisierten und legitimen Zugang zu den Vermögenswerten eines Unternehmens haben und diesen entweder absichtlich oder versehentlich missbrauchen.
Nahaufnahme eines nachdenklichen Mannes, dessen Computerbildschirm sich in seiner Brille spiegelt
Warum sind Bedrohungen von innen besonders gefährlich?

Cyberangriffe durch Zugangsmissbrauch können einem Unternehmen, seinen Mitarbeitern und seinen Kunden schaden. Laut dem „2020 IBM X-Force® Threat Intelligence Index“ sind unbeabsichtigte Bedrohungen von innen der Hauptgrund für den Anstieg der Zahl der Datenschutzverletzungen um mehr als 200 % im Jahr 2019 gegenüber 2018. Insider wissen in der Regel, wo sich die sensiblen Daten eines Unternehmens befinden, und verfügen oft über erweiterte Zugriffsrechte, unabhängig davon, ob sie böswillige Absichten haben oder nicht.

Insider-Angriffe sind für Unternehmen auch kostspielig. In der Studie Cost of Insider Threats 2020 des Ponemon Institute fanden die Forscher heraus, dass die durchschnittlichen jährlichen Kosten für interne Datenschutzverletzungen bei 11,45 Mio. USD liegen, wobei 63 % der Vorfälle auf Fahrlässigkeit zurückzuführen sind.

Ob versehentlich oder absichtlich, Insider können vertrauliche Kundendaten, geistiges Eigentum und Geld preisgeben – oder dazu beitragen, dass sie preisgegeben werden.


Arten von Bedrohungen von innen

Aktuelle Mitarbeiter, ehemalige Mitarbeiter, Auftragnehmer oder Geschäftspartner sind allesamt Insider, die eine Bedrohung darstellen können. Aber auch jede Person, die über den richtigen Zugang zu den Computersystemen und Daten eines Unternehmens verfügt, kann einer Organisation Schaden zufügen, einschließlich Zulieferer oder Anbieter.

Insider unterscheiden sich hinsichtlich ihrer Motivation, ihres Bewusstseins, ihres Zugangs und ihrer Absichten. Das Ponemon Institute klassifiziert Insider als fahrlässig, kriminell oder glaubwürdig. Und Gartner teilt Insider-Bedrohungen in vier Kategorien ein: Pawns (Bauern), Goofs (Trottel), Collaborators (Kollaborateure) und Lone Wolves (einsame Wölfe). Hinweis: Das Ponemon Institute und Gartner erstellen und liefern unabhängige Forschungs-, Beratungs- und Bildungsberichte für Unternehmen und Regierungsorganisationen.

Pawn (Bauer)

Pawns sind Mitarbeiter, die unbewusst manipuliert werden, um bösartige Aktivitäten durchzuführen. Ob sie nun Malware herunterladen oder durch Spear-Phishing oder Social Engineering Anmeldedaten an Betrüger weitergeben, Bauern schaden einem Unternehmen.

Goof (Trottel)

Goofs sind ignorante oder arrogante Benutzer, die glauben, dass sie von den Sicherheitsrichtlinien ausgenommen sind. Aus Bequemlichkeit oder Inkompetenz versuchen sie aktiv, die Sicherheitskontrollen zu umgehen. Und entgegen den Sicherheitsrichtlinien lassen Goofs anfällige Daten und Ressourcen ungeschützt und ermöglichen Angreifern so einen leichten Zugang. "Laut dem Gartner-Bericht "Go-to-Market for Advanced Insider Threat Detection werden "90 % der Insider-Vorfälle durch Goofs verursacht."

Collaborator (Kollaborateur)

Collaborator kooperieren mit Außenstehenden, wie Konkurrenten eines Unternehmens oder Nationalstaaten, um ein Verbrechen zu begehen. Sie nutzen ihren Zugang, um geistiges Eigentum und Kundeninformationen zu stehlen oder den Geschäftsbetrieb zu stören, oft zum finanziellen oder persönlichen Vorteil.

Lone Wolf (einsamer Wolf)

Lone Wolves handeln oft aus finanziellem Gewinnstreben unabhängig und böswillig, ohne äußeren Einfluss oder Manipulation. Einsame Wölfe sind besonders gefährlich, wenn sie über hohe Privilegien verfügen, wie Systemadministratoren oder Datenbankadministratoren.


So machen sich Betrüger gefährdete Insider zunutze

Wenn das Ziel eines Betrügers innerhalb eines geschützten Systems liegt, konzentrieren sie sich darauf, die Zugriffsrechte eines Mitarbeiters zu erlangen. Betrüger nutzen Bauernopfer und Trottel für ihre Cyberverbrechen aus. Sie verwenden eine Vielzahl Taktiken und Techniken, um an Zugangsdaten zu gelangen: Phishing-E-Mails, Watering Holes und als Waffe verwendete Malware, um nur einige zu nennen. Mit diesen Zugangsdaten können sich Betrüger seitlich in einem System bewegen, ihre Privilegien erweitern, Änderungen vornehmen und auf sensible Daten oder Geld zugreifen. Betrüger können während der ausgehenden Kommunikation über einen Command-and-Control-Server (C2) von ungesicherten Standorten aus auf Daten oder Informationen zugreifen. Sie können versuchen, ausgehende Änderungen vorzunehmen oder umfangreiche ausgehende Übertragungen durchzuführen.

So greifen Betrüger an:

Suche nach Schwachstellen

  • Einsatz von Phishing-E-Mails oder Malware
  • Identifizierung eines Rogue-Users
  • Erlangung kompromittierter Anmeldedaten

Ausnutzung des Zugriffs

  • Seitlich Bewegung zum gewünschten Ziel
  • Erweiterung der Berechtigung nach Bedarf
  • Zugriff auf Assets

Missbrauch des Zugriffs

  • Verschleierung von Netzwerkaktivitäten
  • Veränderung von Daten
  • Exfiltration von Daten

Eindämmung von Insider-Bedrohungen

Für jede Art von Bedrohung von innen gibt es verschiedene technische und nicht-technische Kontrollen, die Unternehmen einsetzen können, um die Erkennung und Abwehr zu verbessern.

Jede Art von Bedrohung von innen äußert sich auf unterschiedliche Weise, die von Sicherheitsteams diagnostiziert werden muss. Wenn Sie jedoch die Beweggründe der Angreifer verstehen, können Sicherheitsteams die Abwehr von Bedrohungen von innen proaktiv angehen. Um Bedrohungen von innen einzudämmen, verwenden erfolgreiche Unternehmen umfassende Ansätze. Sie könnten Sicherheitssoftware verwenden, die folgende Funktionen bietet:

  • Zuordnung zugänglicher Daten
  • Einrichtung von Vertrauensmechanismen – Gewährung von Zugang, Entzug von Zugang und Implementierung von Mehrfaktorauthentifizierung (MFA)
  • Definition von Richtlinien für Geräte und Datenspeicher
  • Überwachung von potenziellen Bedrohungen und riskantem Verhalten
  • Bedarfsgerechtes Ergreifen von Maßnahmen

In einem SANS-Bericht über fortgeschrittene Bedrohungen von 2019 haben Sicherheitsexperten erhebliche Lücken bei der Abwehr von Insider-Bedrohungen festgestellt. Der Bericht stellte fest, dass die Lücken durch einen Mangel an Transparenz in zwei Bereichen verursacht werden: eine Basislinie für das normale Benutzerverhalten und die Verwaltung von privilegierten Benutzerkonten. Diese Lücken werden zu attraktiven Zielen für Phishing-Taktiken und die Kompromittierung von Zugangsdaten.

Kenntnis der Benutzer

  1. Wer hat Zugriff auf sensible Daten?
  2. Wer sollte Zugriff haben?
  3. Was machen die Endbenutzer mit den Daten?
  4. Was machen die Administratoren mit den Daten?

Kenntnis der Daten

  1. Welche Daten sind sensibel?
  2. Werden sensible Informationen zugänglich gemacht?
  3. Welches Risiko ist mit sensiblen Daten verbunden?
  4. Können Administratoren den Zugriff privilegierter Benutzer auf sensible Daten kontrollieren?

Erkennung und Korrektur

Nach der Erstellung eines Bedrohungsmodells konzentrieren sich die Unternehmen auf die Erkennung und Beseitigung von Bedrohungen von innen und Sicherheitsverletzungen.

Sicherheitsteams müssen zwischen den normalen Aktivitäten eines Benutzers und potenziell bösartigen Aktivitäten unterscheiden, um Insider-Bedrohungen zu erkennen. Um zwischen den Aktivitäten unterscheiden zu können, müssen Unternehmen zunächst Transparenzlücken schließen. Anschließend sollten sie die Sicherheitsdaten in einer zentralen Überwachungslösung zusammenführen, sei es als Teil einer SIEM-Plattform (Security Information and Event Management) oder einer eigenständigen UEBA-Lösung (User and Entity Behavior Analysis). Viele Teams beginnen mit Änderungsprotokollen für Zugriff, Authentifizierung und Konten. Dann erweitern sie den Anwendungsbereich auf zusätzliche Datenquellen, z. B. ein virtuelles privates Netzwerk (VPN) und Endpunktprotokolle, wenn die Anwendungsfälle für Insider-Bedrohungen reifen.

Unternehmen müssen eine Lösung für die Verwaltung von privilegierten Zugriffen (Privileged Access Management, PAM) einsetzen und Daten über den Zugriff auf privilegierte Konten von dieser Lösung in ihr SIEM einspeisen. Sobald Unternehmen die Informationen zentralisiert haben, können sie das Benutzerverhalten modellieren und Risikowerte zuweisen. Risikobewertungen sind an bestimmte risikoreiche Ereignisse geknüpft, z. B. Änderungen der Benutzergeografie oder das Herunterladen auf Wechselmedien. Die Zuweisung von Risikowerten gibt den Teams des Security Operations Center (SOC) die Möglichkeit, das Risiko im gesamten Unternehmen zu überwachen, sei es durch die Erstellung von Überwachungslisten oder durch die Hervorhebung der Benutzer mit dem höchsten Risiko im Unternehmen.

Mit genügend historischen Daten können Sicherheitsmodelle eine Basislinie des normalen Verhaltens für jeden Benutzer erstellen. Sie zeigt den normalen Betriebszustand eines Benutzers oder eines Rechners an, sodass das System Abweichungen erkennen kann. Abweichungen sollten für einzelne Benutzer nachverfolgt und mit anderen Benutzern am gleichen Standort, mit der gleichen Berufsbezeichnung oder Tätigkeit verglichen werden.

Durch die Einführung einer benutzerorientierten Sichtweise können Sicherheitsteams Bedrohungsaktivitäten von innen schnell erkennen und Benutzerrisiken von einem zentralen Ort aus verwalten. Die Analyse des Benutzerverhaltens kann beispielsweise ungewöhnliche Anmeldeversuche zu einer ungewöhnlichen Tageszeit oder von einem ungewöhnlichen Ort aus oder mehrere fehlgeschlagene Passwortversuche erkennen und eine entsprechende Warnung zur Überprüfung durch einen Analysten generieren. Mit anderen Worten: Verhaltensanomalien helfen dabei festzustellen, ob ein Benutzer zu einem böswilligen Insider geworden ist oder ob ein externer Angreifer seine Anmeldedaten missbraucht hat.

Nach der Validierung kann ein SOAR-System (Security Orchestration, Automation and Response) einen Workflow zur Korrektur von Bedrohungen von innen erstellen. Dann kann im Playbook angegeben werden, welche Abhilfemaßnahmen erforderlich sind. Zu den möglichen Abhilfemaßnahmen gehören die Abfrage des Insiders mit MFA oder der Entzug des Zugriffs. Beides kann automatisch in der IAM-Lösung (Identity Access Management) erfolgen.


So schützen Sie sich vor Bedrohungen von innen durch Remote-Personal

Sicherheitsbedrohungen haben zugenommen und sind mit der Ausweitung der Heim- und Fernarbeit komplexer geworden. Infolgedessen haben sich die Sicherheitsprioritäten und die Sicherheitsmaßnahmen durch die Telearbeit grundlegend geändert. Dieser Wandel in der Sicherheit hat neue Herausforderungen für Sicherheitsteams mit sich gebracht:

  • Erhöhte Gesamtzahl von Sicherheitsvorfällen aufgrund von Verhaltensänderungen und größerer Angriffsfläche
  • Vermehrte Phishing-Angriffe
  • Mangelnde Sichtbarkeit von Endpunkten und Servern, die nicht mit dem VPN verbunden sind
  • Änderungen im Verhalten der Mitarbeiter aufgrund unregelmäßiger Arbeitszeiten, verschiedener Standorte und Änderungen im Surfverhalten im Internet
  • Zunehmende Nutzung von SaaS-Anwendungen und mangelnde Transparenz

Chief Information Security Officer (CISOs) müssen mit dem rasanten Wandel in der IT-Sicherheit fertig werden, der sich außerhalb des Unternehmensnetzwerks vollzieht. Das Team eines CISOs muss die unterschiedlichen Verhaltensweisen seiner Mitarbeiter und die Auswirkungen der Telearbeit auf die Erkennung von Insider-Bedrohungen besser verstehen, um die Vermögenswerte eines Unternehmens effektiv zu schützen. Um die Herausforderungen der Telearbeit zu bewältigen, müssen CISOs in der Lage sein, die folgenden Fragen zu beantworten:

  • Wie können wir sicherstellen, dass es sich bei der Person, die sich in das virtuelle private Netzwerk (VPN) des Unternehmens einloggt, um den Mitarbeiter handelt und nicht um einen Angreifer, der gestohlene Anmeldedaten verwendet?
  • Wie können wir sicherstellen, dass das anomale Verhalten eines Mitarbeiters nicht auf die Arbeit aus der Ferne zurückzuführen ist?
  • Wie können wir Mitarbeiter schützen, die sich an offenen und ungesicherten Internet-Standorten, z. B. in Cafés, anmelden?

Indem sie das Verhalten von Remote-Mitarbeitern verstehen, können Sicherheitsteams abnormales Verhalten erkennen, das auf eine Kompromittierung von Zugangsdaten oder böswillige Absichten hinweisen könnte. Oft können sie diese Verhaltensweisen an der VPN-Grenze erkennen, bevor die Mitarbeiter potenziellen Schaden anrichten. Am Perimeter sollten CISOs feststellen, ob ihre derzeitigen Funktionen zur Abwehr von Insider-Bedrohungen Folgendes leisten:

  • Notwendige transparente Einblicke in Zugriffs-, Authentifizierungs- und VPN-Protokolle.
  • Feststellung, ob die Berechtigungsnachweise von Mitarbeitern an zwei Orten gleichzeitig oder von einem ungewöhnlichen geografischen Standort aus verwendet werden.
  • Ermittlung, ob der Mitarbeiter die Berechtigungsnachweise außerhalb der regulären Arbeitszeiten für die Stadt des Hauptstandortes des Mitarbeiters verwendet oder ob die Verbindungsdauer länger als üblich ist.
  • Beendigung der Verbindung, Sperren des Geräts und Widerruf der Anmeldedaten über IAM.

Indikatoren für Bedrohungen von innen

Angenommen einem Angreifer gelingt es, die Entdeckung am Perimeter zu umgehen und in das Netzwerk des Unternehmens einzudringen. In diesem Fall sollten die Sicherheitsteams die Bedrohung überprüfen, indem sie nach mehreren kompromittierten Anmeldeinformationen oder Missbrauchsindikatoren suchen.

Sicherheitsteams können mit vielen Methoden, oft mithilfe von maschinellem Lernen, Indikatoren für Bedrohungen von innen ableiten. Diese Methoden können dabei helfen festzustellen, ob der Zugriff von einem legitimen Mitarbeiter oder einem Dieb stammt. Innerhalb des Unternehmensnetzwerks sollten CISOs prüfen, ob ihre derzeitigen Fähigkeiten zur Abwehr von Bedrohungen von innen ihnen Folgendes ermöglichen:

  • Modellierung verschiedener Standardaktivitätsmuster und -häufigkeiten, um eine Abweichung von der Basislinie zu erkennen. Eine Abweichung kann auf Missbrauch hinweisen, sei es absichtlich oder versehentlich.
  • Überwachung von Versuchen einer Datenexfiltration anhand der Anzahl der ausgehenden Kommunikationsversuche oder Verbindungen an einem bestimmten Tag. Wenn die Anzahl der ausgehenden Kommunikationen eines Mitarbeiters in die Höhe schnellt, könnte dies ein Hinweis darauf sein, dass die Anmeldedaten dieses Benutzers genau überwacht werden.
  • Erkennung großer, anormaler Datenübertragungen für einen bestimmten Mitarbeiter. Die Überwachung des gesamten Datentransfers kann einen einfachen, aber wirkungsvollen Hinweis auf eine frühzeitige Gefährdung geben.
  • Untersuchung der Integrität von Endgeräten auf verdächtige Anwendungen, die auf Malware-Aktivitäten hinweisen könnten. Indem Sie neue Prozesse oder Anwendungsausführungen identifizieren, können Sie Malware eindämmen und das Sicherheitsrisiko für das Unternehmen verringern.

Durch die proaktive Anpassung von Programmen, um dem veränderten Verhalten der Mitarbeiter Rechnung zu tragen und die vorhandenen Investitionen in Tools zu maximieren, können Sicherheitsteams ein Unternehmensnetzwerk besser schützen.


Ähnliche Lösungen

Zunahme von Bedrohungen von innen zum Schutz Ihrer Daten bekämpfen

Informationsdiebstahl, IT-Sabotage und Betrug gehen zunehmend auf das Konto geschickter und sachkundiger Insider. Da sie leichten Zugang zu Ihren wertvollsten Informationen haben, können sie Sicherheitslücken ausnutzen und Ihrem Unternehmen irreparablen Schaden zufügen.


Einblick in Bedrohungen von innen gewinnen

IBM® QRadar® User Behavior Analytics (UBA) analysiert Benutzeraktivitäten, um böswillige Insider zu erkennen und festzustellen, ob die Anmeldedaten eines Benutzers kompromittiert wurden. Sicherheitsanalysten können risikobehaftete Benutzer leicht erkennen, ihre anomalen Aktivitäten anzeigen und die zugrunde liegenden Protokoll- und Datenflussdaten, die zur Risikobewertung eines Benutzers beitragen, genauer untersuchen.


Jeden Benutzer sicher mit der richtigen Zugriffsebene verbinden

Gewähren Sie Zugriffsrechte, bieten Sie eine einmalige Anmeldung von jedem Gerät aus, erhöhen Sie die Sicherheit mit Multifaktor-Authentifizierung, ermöglichen Sie die Verwaltung des Benutzerlebenszyklus, schützen Sie privilegierte Konten und vieles mehr.


Die Transparenz der Bedrohungen von innen zentralisieren

Gewinnen Sie verwertbare Einblicke in isolierte Sicherheitsdaten, identifizieren Sie schnell die größten Bedrohungen und reduzieren Sie das Gesamtvolumen der Warnmeldungen. Mit mehr Transparenz in lokalen und cloudbasierten Umgebungen kann Ihr Team KI einsetzen, um Untersuchungen zu beschleunigen und Reaktionen und Abhilfemaßnahmen zu automatisieren.


Reaktion auf einen Vorfall beschleunigen

Die Erkennung von Bedrohungen ist nur die Hälfte der Sicherheitsgleichung. Sie müssen auch intelligent auf die wachsende Zahl von Warnmeldungen reagieren, mit mehreren Tools arbeiten und Personalmangel ausgleichen. Ausgereifte Unternehmen setzen eine zentrale SOAR-Plattform (Security Orchestration, Automation and Response) ein und arbeiten mit Consulting und Managed Services zusammen, um ihre Security Operations Center zu verbessern.