Was sind Bedrohung von innen?

Während externe Bedrohungen häufiger vorkommen und die Schlagzeilen über Cyberangriffe dominieren, können Insider-Bedrohungen kostspieliger und gefährlicher sein. Laut dem „Data Breach Kostenreport“ von IBM waren Datenschutzverletzungen, die von böswilligen Insidern initiiert wurden, mit durchschnittlich 4,99 Millionen USD am teuersten.

Ein vor Kurzem veröffentlichter Bericht von Verizon hat gezeigt, dass die durchschnittliche externe Bedrohung etwa 200 Millionen Datensätze beeinträchtigt, während Vorfälle, an denen ein interner Bedrohungsakteur beteiligt war, zur Offenlegung von 1 Milliarde Datensätzen oder mehr geführt haben.¹

Nicht alle internen Bedrohungen sind bösartig. Eine Studie des Institute for Business Value von IBM hat ergeben, dass wohlmeinende Mitarbeiter private Unternehmensdaten mit Produkten von Drittanbietern teilen, ohne zu wissen, ob die Tools ihre Sicherheitsanforderungen erfüllen. Die Studie berichtet, dass 41 % der Mitarbeiter Technologien ohne das Wissen ihres IT- oder Sicherheitsteams erworben, geändert oder erstellt haben, wodurch eine ernsthafte Sicherheitslücke entstand.

Bei böswilligen Insidern handelt es sich um verärgerte aktuelle Mitarbeiter – oder verärgerte ehemalige Mitarbeiter, deren Zugangsdaten nicht gelöscht wurden –, die ihren Zugang absichtlich missbrauchen, um sich zu rächen, finanzielle Vorteile zu erzielen oder beides.Einige böswillige Insider arbeiten mit einer externen Bedrohung zusammen, z. B. einem Hacker, einem Konkurrenten oder einem nationalstaatlichen Akteur, um den Geschäftsbetrieb zu stören, indem sie Malware einschleusen oder Dateien und Anwendungen manipulieren. Andere konzentrieren sich auf die Weitergabe von Kundeninformationen, geistigem Eigentum, Geschäftsgeheimnissen oder anderen sensiblen Daten, um einen Vorteil für ihre außenstehenden Komplizen zu erzielen.

Einige aktuelle Angriffe von böswilligen Insidern:

• Zu Beginn der COVID-19-Pandemie nutzte ein verärgerter ehemaliger Mitarbeiter eines Unternehmens für medizinische Verpackungen ein zuvor erstelltes Administratorkonto, um ein gefälschtes neues Benutzerkonto einzurichten. Anschließend änderte er dann Tausende von Dateien so, dass der Versand von persönlicher Schutzausrüstung an Krankenhäuser und Gesundheitsdienstleister verzögert oder gestoppt wurde.
   

• Im Jahr 2022 wurde ein X-Mitarbeiter verhaftet, weil er gegen Bestechungsgeld private Informationen von X-Benutzern an Beauftragte des Königreichs Saudi-Arabien und der saudischen Königsfamilie gesendet hatte. Nach Angaben des US-Justizministeriums handelte der Mitarbeiter „... im Geheimen als Agent einer ausländischen Regierung, die es auf abweichende Meinungen abgesehen hat“.

Fahrlässige Insider haben keine böswilligen Absichten, sondern schaffen versehentlich Sicherheitsbedrohungen durch Unwissenheit oder Unachtsamkeit, z. B. indem sie auf einen Phishing-Angriff hereinfallen oder Sicherheitskontrollen umgehen, um Zeit zu sparen. Ihre Handlungen können auch den Verlust eines Laptops umfassen, mit dem ein Cyberkrimineller auf das Netzwerk des Unternehmens zugreifen könnte, oder das versehentliche Versenden vertraulicher Dateien per E-Mail an Personen außerhalb des Unternehmens.

Unter den Unternehmen, die im Ponemon Cost of Insider Threats Global Report 2022 befragt wurden, war die Mehrheit der Bedrohungen von innen – 56 % – auf unvorsichtige oder fahrlässige Insider zurückzuführen.²

Externe Bedrohungsakteure, von denen eine Sicherheitsbedrohung ausgeht, stehlen die Anmeldedaten legitimer Benutzer und verwandeln sie so in kompromittierte Insider. Bedrohungen, die von kompromittierten Insidern ausgehen, sind die teuersten Bedrohungen von innen und die Behebung der durch sie verursachten Probleme kostet die Opfer dem Ponemon-Bericht zufolge im Durchschnitt 804.997 USD.³

Kompromittierte Insider sind oft das Ergebnis eines fahrlässigen Verhaltens von Insidern. Im Jahr 2021 nutzte ein Betrüger beispielsweise eine Social-Engineering-Taktik – konkret einen Voice-Phishing (Vishing)-Telefonanruf –, um Zugangsdaten zu Kundensupportsystemen der Handelsplattform Robinhood zu erhalten. Bei dem Angriff wurden mehr als 5 Millionen E-Mail-Adressen und 2 Millionen Kundennamen gestohlen.

Insider Threats werden entweder teilweise oder vollständig von voll berechtigten Benutzern, einschließlich privilegierten Benutzern, durchgeführt. Dieser Ansatz macht es besonders schwierig, Indikatoren und Verhaltensweisen von fahrlässigen oder böswilligen Insiderbedrohungen von normalen Benutzeraktionen zu unterscheiden.Laut einer Studie benötigen Sicherheitsteams durchschnittlich 85 Tage, um einen Insider Threat zu erkennen und einzudämmen.⁴ Einige Insider Threats sind sogar jahrelang unentdeckt geblieben.

Um Bedrohungen von innen besser erkennen, eindämmen und verhindern zu können, setzen Sicherheitsteams auf eine Kombination aus Vorgehensweisen und Technologien.

Die kontinuierliche Schulung aller autorisierten Benutzer in Bezug auf die Sicherheitsrichtlinien – z. B. Passworthygiene, ordnungsgemäßer Umgang mit sensiblen Daten und Meldung verlorener Geräte – kann dazu beitragen, das Risiko von Bedrohungen durch fahrlässige Insider zu verringern. Darüber hinaus kann eine Schulung des Sicherheitsbewusstseins zu Themen wie dem Erkennen von Phishing-Betrug und der korrekten Weiterleitung von Anfragen für Systemzugriff oder sensible Daten die Gesamtauswirkungen von Bedrohungen abmildern. Laut dem Data Breach Kostenreport lagen beispielsweise die durchschnittlichen Kosten einer Datenschutzverletzung in Unternehmen mit Mitarbeiterschulungen um 232,867 USD niedriger als bei Unternehmen ohne Schulungen.

Identitäts- und Zugriffsmanagement (IAM) konzentriert sich auf die Verwaltung von Benutzeridentitäten, Authentifizierung und Zugriffsberechtigungen, um sicherzustellen, dass die richtigen Benutzer und Geräte zur richtigen Zeit und aus den richtigen Gründe auf das Gewünschte zugreifen können. Privileged Access Management, eine Teildisziplin von IAM, konzentriert sich auf eine genauere Kontrolle der Zugriffsrechte, die Benutzern, Anwendungen, Administratorkonten und Geräten gewährt werden.

Eine wichtige IAM-Funktion zur Verhinderung von Insiderattacken ist das Identitätslebenszyklus-Management. Die Einschränkung der Rechte eines verärgerten Mitarbeiters, der das Unternehmen verlassen wird, oder die sofortige Außerbetriebnahme der Konten von Benutzern, die das Unternehmen verlassen haben, sind Beispiele für Maßnahmen zum Management des Identitätslebenszyklus, mit denen das Risiko von Bedrohungen von innen reduziert werden kann.

Bei der Analyse des Nutzerverhaltens (User Behavior Analytics, UBA) kommen fortschrittliche Datenanalyse und künstliche Intelligenz (KI) zum Einsatz, um das normale Nutzerverhalten zu modellieren und Anomalien zu erkennen, die auf entstehende oder bereits aktive Cyberbedrohungen, darunter potenzielle Insider Threats, hinweisen können. Eine eng damit verwandte Technologie, die Analyse des Benutzer- und Entitätsverhaltens (UEBA), erweitert diese Funktionen, um anomales Verhalten in IoT-Sensoren und anderen Endgeräten zu erkennen.

UBA wird häufig zusammen mit Security Information and Event Management (SIEM) verwendet. Dabei werden sicherheitsbezogene Daten aus dem gesamten Unternehmen erfasst, korreliert und analysiert.

Offensive Security (auch „OffSec“ genannt) verwendet gegnerische Taktiken – die gleichen Taktiken, die böswillige Akteure bei echten Angriffen anwenden –, um die Netzwerksicherheit zu stärken, statt sie zu gefährden. Ethische Hacker, Cybersicherheitsexperten mit Kenntnissen in Hacking-Techniken, leiten die offensive Sicherheit, indem sie Schwachstellen in IT-Systemen, Sicherheitsrisiken und Schwachstellen in der Reaktion der Benutzer auf Cyberangriffe, identifizieren und beheben.

Zu den offensiven Sicherheitsmaßnahmen, die zur Stärkung von Insider-Threat-Programmen beitragen können, gehören Phishing-Simulationen und Red Teaming. Dabei startet ein Team von ethischen Hackern einen simulierten, zielorientierten Cyberangriff auf das Unternehmen.