Insiderbedrohungen abwenden
Warum Kontext essenziell ist
Man sollte eigentlich annehmen, dass die eigenen Angestellten im Vergleich zu Angreifern von außen ein relativ geringes Sicherheitsrisiko darstellen. Dennoch zeigt eine Studie von Computing, dass bei der Hälfte der gemeldeten Sicherheitsverletzungen Insider eine Rolle spielten.
Wenn bekannt wird, dass Sicherheitsverletzungen durch Insider ausgelöst wurden, kann das für den Ruf eines Unternehmens besonders schädlich sein. Es impliziert eine schlechte Unternehmenskultur und Nachlässigkeit und sorgt dafür, dass das Vertrauen in die Organisation schwindet. Aber auch wenn eine Sicherheitsverletzung nicht öffentlich bekannt wird, kann ein Diebstahl von geistigem Eigentum oder anderen geschäftskritischen Assets erheblichen negativen Einfluss auf die Wettbewerbsposition des Unternehmens haben.
Egal ob sie durch unzufriedene Angelstellte, unvorsichtiges Handeln oder systematisch vorgehende, böswillige Akteure entstehen: Insiderbedrohungen sind ein besonders komplexer Risikofaktor, der proaktiv adressiert werden muss. Denn genauso wie bei externen Bedrohungen entwickeln sich auch die Werkzeuge, Techniken und Verfahren (TTPS: tools, techniques and procedures) der Insider beständig weiter.
Innerhalb der eigenen Wände Risiken identifizieren
Insiderbedrohungen sind facettenreicher als ihr externes Pendant und sind damit schwieriger mit herkömmlichen Sicherheitstools allein zu managen. Eine Attacke von außen bedarf typischerweise eines ersten Exploits oder eines Breaches, um Zugang zum Zielnetzwerk zu gelangen. Meist wird dabei von automatisierten Intrusion Detection Systems Alarm ausgelöst, sodass Incident Response Teams schnell Untersuchungen einleiten können. Insider hingegen haben bereits Zugriff auf das Netzwerk sowie Privilegien und wecken normalerweise bei Systemen zur Überwachung des Perimeters wie Firewalls keinen Verdacht. Verdächtiges oder nachlässiges Handeln lässt sich also nur identifizieren, wenn die IT-Sicherheit Informationen aus verschiedenen Quellen korreliert. Diese könnten Analysen zum Nutzerverhalten sein, sogenannte User and Entity Behaviour Analytics (UEBA), Tools für Schutz vor Datenverlust, sogenannte Data Loss Prevention (DLP) Tools, Netzwerk-Logs sowie die Aktivitäten auf den Endgeräten. Die Tools können zwar erkennen, ob ein Angestellter sich anders verhält als sonst, sich beispielsweise am Wochenende erstmalig in das System einloggt oder bestimmte Wörter in Emails nutzt, die darauf hindeuten, dass er mit der Firma nicht zufrieden ist. Jedoch können sie keinen Aufschluss darüber geben, was außerhalb der Mauern und der IT eines Unternehmens passiert und möglicherweise auf das Risiko einer Insiderbedrohung hinweist.
Zur Bedrohung könnte beispielsweise ein unzufriedener Angestellter werden, der in illegalen Online-Communities im Deep und Dark Web (DDW) aktiv ist. Oder jemand mit finanziellen Problemen, der von externen Akteuren angeworben und bestochen wurde, wertvolle Daten zu stehlen. Um solche Situationen zu überblicken, brauchen Unternehmen menschliches Urteilsvermögen und Analysen. Business Risk Intelligence, die aus der Überwachung von illegalen Online-Communities gewonnen wurde, hilft dabei, die Aktivitäten von Individuen in einen wertvollen Kontext einordnen und lenkt die Aufmerksamkeit auf diese Personen, falls sie verdächtig erscheinen und untersucht werden sollten. Aber welche Art Vorfälle werden davon erfasst?
- Warum Kontext essenziell ist
- Momente hohen Risikos – Kündigungen und Neuzugänge
Lesen Sie mehr zum Thema
