Bedrohung von innen sind Cybersicherheitsbedrohungen, die von autorisierten Benutzern (wie Mitarbeitenden, Auftragnehmern und Geschäftspartnern) ausgehen, die absichtlich oder versehentlich ihren rechtmäßigen Zugang missbrauchen oder deren Konten von Cyberkriminellen gekapert werden.
Während externe Bedrohungen häufiger vorkommen und für die größten Schlagzeilen sorgen, können Bedrohungen von innen – ob böswillig oder durch Nachlässigkeit verursacht – kostspieliger und gefährlicher sein. Laut dem Bericht „Cost of a Data Breach Report“ von IBM waren Datenschutzverletzungen, die von böswilligen Insidern initiiert wurden, mit durchschnittlich 4,99 Millionen USD am teuersten. Ein vor Kurzem veröffentlichter Bericht von Verizon hat gezeigt, dass die durchschnittliche externe Bedrohung etwa 200 Millionen Datensätze beeinträchtigt, während Vorfälle, an denen ein interner Bedrohungsakteur beteiligt war, zur Offenlegung von 1 Milliarde Datensätzen oder mehr geführt haben.1
Gewinnen Sie mit dem IBM X-Force Threat Intelligence Index Erkenntnisse, um sich schneller und effektiver auf Cyberangriffe vorzubereiten und darauf zu reagieren.
Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung
Bei böswilligen Insidern handelt es sich in der Regel um verärgerte aktuelle Mitarbeiter – oder verärgerte ehemalige Mitarbeiter, deren Zugangsdaten nicht gelöscht wurden –, die ihren Zugang absichtlich missbrauchen, um sich zu rächen, finanzielle Vorteile zu erzielen oder beides. Einige böswillige Insider „arbeiten“ für einen böswilligen Außenstehenden, z. B. einen Hacker, einen Konkurrenten oder einen nationalstaatlichen Akteur, um den Geschäftsbetrieb zu stören (Einschleusen von Malware oder Manipulation von Dateien oder Anwendungen) oder um Kundeninformationen, geistiges Eigentum, Geschäftsgeheimnisse oder andere vertrauliche Daten offenzulegen.
Einige aktuelle Angriffe von böswilligen Insidern:
Zu Beginn der COVID-19-Pandemie nutzte ein verärgerter ehemaliger Mitarbeiter eines Unternehmens für medizinische Verpackungen ein zuvor erstelltes Administratorkonto, um ein gefälschtes neues Benutzerkonto einzurichten. Anschließend änderte er dann Tausende von Dateien so, dass der Versand von persönlicher Schutzausrüstung an Krankenhäuser und Gesundheitsdienstleister verzögert oder gestoppt wurde (Link befindet sich außerhalb von ibm.com).
Im Jahr 2022 wurde ein X-Mitarbeiter verhaftet, weil er gegen Bestechungsgeld private Informationen von X-Benutzern an Beauftragte des Königreichs Saudi-Arabien und der saudischen Königsfamilie gesendet hatte (Link befindet sich außerhalb von ibm.com). Nach Angaben des US-Justizministeriums handelte der Mitarbeiter „... im Geheimen als Agent einer ausländischen Regierung, die es auf abweichende Meinungen abgesehen hat“.
Fahrlässige Insider haben keine böswilligen Absichten, sondern schaffen Sicherheitsbedrohungen durch Unwissenheit oder Nachlässigkeit. Sie fallen z. B. auf einen Phishing-Angriff herein, umgehen Sicherheitskontrollen, um Zeit zu sparen, verlieren einen Laptop, mit dem Cyberkriminelle auf das Unternehmensnetzwerk zugreifen können, oder senden die falschen Dateien (z. B. Dateien mit vertraulichen Informationen) per E-Mail an Personen außerhalb des Unternehmens.
Unter den Unternehmen, die im Ponemon Cost of Insider Threats Global Report 2022 befragt wurden, war die Mehrheit der Bedrohungen von innen – 56 % – auf unvorsichtige oder fahrlässige Insider zurückzuführen.2
Kompromittierte Insider sind rechtmäßige Benutzer, deren Zugangsdaten von externen Bedrohungsakteuren gestohlen wurden. Bedrohungen, die von kompromittierten Insidern ausgehen, sind die teuersten Bedrohungen von innen und die Behebung der durch sie verursachten Probleme kostet die Opfer dem Ponemon-Bericht zufolge im Durchschnitt 804.997 USD.3
Kompromittierte Insider sind oft das Ergebnis eines fahrlässigen Verhaltens von Insidern. Im Jahr 2021 nutzte ein Betrüger beispielsweise eine Social-Engineering-Taktik – konkret einen Voice-Phishing (Vishing)-Telefonanruf –, um Zugangsdaten zu Kundensupportsystemen der Handelsplattform Robinhood zu erhalten. Im Rahmen des Angriffs wurden mehr als 5 Millionen E-Mail-Adressen von Kunden und 2 Millionen Namen von Kunden gestohlen (Link befindet sich außerhalb von ibm.com).
Da Bedrohungen von innen teilweise oder vollständig von befugten Benutzern – und manchmal auch von privilegierten Benutzern – ausgeführt werden, kann es besonders schwierig sein, Indikatoren für fahrlässige oder böswillige Bedrohungen von innen oder Verhaltensweisen, die auf solche Bedrohungen hinweisen, von normalen Benutzerhandlungen und -verhaltensweisen zu unterscheiden. Laut einer Studie benötigen Sicherheitsteams durchschnittlich 85 Tage, um eine Bedrohung von innen zu erkennen und einzudämmen.4 Einige Bedrohungen von innen sind jedoch jahrelang unentdeckt geblieben (Link befindet sich außerhalb von ibm.com).
Um Bedrohungen von innen besser erkennen, eindämmen und verhindern zu können, setzen Sicherheitsteams auf eine Kombination aus Vorgehensweisen und Technologien.
Die kontinuierliche Schulung aller autorisierten Benutzer in Bezug auf Sicherheitsrichtlinien (z. B. Passworthygiene, ordnungsgemäßer Umgang mit vertraulichen Daten, Meldung verlorener Geräte) und Sicherheitsbewusstsein (z. B. Erkennung von Phishing-Betrug, ordnungsgemäße Weiterleitung von Anfragen auf Systemzugriff oder vertrauliche Daten) kann dazu beitragen, das Risiko fahrlässiger Bedrohungen von innen zu verringern. Schulungen können auch die Auswirkungen von Bedrohungen insgesamt abschwächen. Laut dem Bericht „Cost of a Data Breach“ lagen beispielsweise die durchschnittlichen Kosten einer Datenschutzverletzung in Unternehmen mit Mitarbeiterschulungen um 232,867 USD niedriger als bei Unternehmen ohne Schulungen.
Identitäts- und Zugriffsmanagement (IAM) konzentriert sich auf die Verwaltung von Benutzeridentitäten, Authentifizierung und Zugriffsberechtigungen, um sicherzustellen, dass die richtigen Benutzer und Geräte zur richtigen Zeit und aus den richtigen Gründe auf das Gewünschte zugreifen können. Privileged Access Management, eine Teildisziplin von IAM, konzentriert sich auf eine genauere Kontrolle der Zugriffsrechte, die Benutzern, Anwendungen, Administratorkonten und Geräten gewährt werden.
Eine wichtige IAM-Funktion zur Verhinderung von Insiderattacken ist das Identitätslebenszyklus-Management. Die Einschränkung der Rechte eines verärgerten Mitarbeiters, der das Unternehmen verlassen wird, oder die sofortige Außerbetriebnahme der Konten von Benutzern, die das Unternehmen verlassen haben, sind Beispiele für Maßnahmen zum Management des Identitätslebenszyklus, mit denen das Risiko von Bedrohungen von innen reduziert werden kann.
Bei der Analyse des Nutzerverhaltens (User Behavior Analytics, UBA) kommen fortschrittliche Datenanalyse und künstliche Intelligenz (AI) zum Einsatz, um das normale Nutzerverhalten zu modellieren und Anomalien zu erkennen, die auf entstehende oder bereits aktive Cyberbedrohungen, darunter potenzielle Bedrohungen von innen, hinweisen können. Eine eng damit verwandte Technologie, die Analyse des Benutzer- und Entitätsverhaltens (UEBA), erweitert diese Funktionen, um anomales Verhalten in IoT-Sensoren und anderen Endgeräten zu erkennen.
UBA wird häufig zusammen mit Security Information and Event Management (SIEM) verwendet. Dabei werden sicherheitsbezogene Daten aus dem gesamten Unternehmen erfasst, korreliert und analysiert.
Offensive Security (auch „OffSec“ genannt) verwendet gegnerische Taktiken – die gleichen Taktiken, die böswillige Akteure bei echten Angriffen anwenden –, um die Netzwerksicherheit zu stärken, statt sie zu gefährden. Offensive Sicherheit wird in der Regel von ethischen Hackern durchgeführt. Dabei handelt es sich um Cybersicherheitsexperten, die ihre Hacking-Fähigkeiten dafür einsetzen, um Fehler in IT-Systemen sowie Sicherheitsrisiken und Schwachstellen in der Art und Weise, wie Benutzer auf Angriffe reagieren, zu erkennen und zu beheben.
Zu den offensiven Sicherheitsmaßnahmen, die zur Stärkung von Programmen gegen Bedrohungen von innen beitragen können, gehören Phishing-Simulationen und Red Teaming. Dabei startet ein Team von ethischen Hackern einen simulierten, zielorientierten Cyberangriff auf das Unternehmen.
Schützen Sie Ihr Unternehmen vor böswilligen oder unabsichtlichen Bedrohungen, die von mit Zugriff auf Ihr Netzwerk ausgehen. Insider-Bedrohungen können schwer zu erkennen sein. Die meisten Fälle bleiben über Monate oder Jahre unbemerkt.
Schützen Sie kritische Ressourcen und verwalten Sie den gesamten Bedrohungslebenszyklus mit einem intelligenten, einheitlichen Bedrohungsmanagement-Ansatz, der Ihnen dabei hilft, komplexe Bedrohungen zu erkennen, schnell und präzise zu reagieren sowie sich von Störungen zu erholen.
SIEM (Security Information and Event Management) ist Software, die Unternehmen dabei hilft, potenzielle Sicherheitsbedrohungen und Schwachstellen zu erkennen und zu beheben, bevor sie den Geschäftsbetrieb stören können.
Analysieren Sie in dieser kostenlosen 3-stündigen Design-Thinking-Session, an der Sie virtuell oder persönlich teilnehmen können, Ihre Cybersicherheitslandschaft und priorisieren Sie Ihre nächsten Initiativen gemeinsam mit erfahrenen IBM Security Architects und Consultants.
Das Bedrohungsmanagement wird von Cybersicherheitsexperten eingesetzt, um Cyberangriffe zu verhindern, Cyberbedrohungen zu erkennen und auf Sicherheitsvorfälle zu reagieren.
Fußnoten
1 Verizon 2023 Data Breach Investigations Report (Link befindet sich außerhalb von ibm.com)
2, 3, 4 Ponemon Cost of Insider Threats Global Report 2022 (für Proofpoint; Link befindet sich außerhalb von ibm.com)