Startseite > Security > Resilienz gegen Insider-Bedrohungen vor dem Hintergrund von NIS2

Advertorial

Resilienz gegen Insider-Bedrohungen vor dem Hintergrund von NIS2

11. März 2024, 9:30 Uhr | Delinea

Cyberangriffe nehmen immens zu. Nicht umsonst hat die EU die NIS-2-Richtline im Geltungsbereich von Cyber-Sicherheitsbestimmungen erweitert: Der Begriff kritischer Infrastrukturen wurde um die Kategorien „wesentlicher“ und „wichtiger“ Einrichtungen ergänzt und auf neue Branchen ausgedehnt.

Cyberangriffe auf Infrastrukturen nehmen zu. Nicht umsonst hat die EU ihre neue EU-Richtlinie für Netzwerke und Informationssysteme NIS-2 im Geltungsbereich von Cyber-Sicherheitsbestimmungen erweitert, indem sie den Begriff kritischer Infrastrukturen um die Kategorien „wesentlicher“ und „wichtiger“ Einrichtungen ergänzt und sie auf neue Branchen ausdehnt. Die neue Richtlinie betrifft damit einen Großteil der Unternehmen und soll im Oktober 2024 in Kraft treten. Es ist also höchste Zeit, dass sich die Verantwortlichen in den Unternehmen mit dem Thema beschäftigen. Dass es tatsächlich einen Bedarf an mehr Netzwerksicherheit gibt, zeigt der aktuelle Ransomware Report. Demnach haben Dreiviertel der Unternehmen im Jahr 2023 Lösegeld bezahlt.

Um dieses eklatante Risiko zu minimieren und die neuen Richtlinien einhalten zu können, ist es unabdingbar, dass Unternehmen lernen, Indikatoren von Bedrohungen zu erkennen. Mehr noch, um geeignete Cybersicherheitsstrategien und -lösungen bestimmen zu können, die ein Unternehmen zu seinem Schutz einsetzen sollte, ist es ebenso wichtig, zwischen Insider-Risiken und Insider-Bedrohungen zu unterscheiden. Denn Insider-Risiko ist nicht gleich Insider-Bedrohung - auch wenn die Auswirkungen in beiden Fällen enorm schädlich sein können.

Im Gegensatz zur „Insider-Bedrohung" meint „Insider-Risiko" keine böswillige Absicht, sondern umfasst Situationen, in denen Mitarbeitenden unbeabsichtigt Fehler unterlaufen. So sind laut Ponemon mehr als 50 Prozent der Insider-Vorfälle auf Pannen und Unachtsamkeit zurückzuführen, z. B. auf Fehlkonfigurationen von Systemen und die unbefugte oder versehentliche Offenlegung von Daten.

Klar ist: Traditionelle Methoden der Bedrohungserkennung und -abwehr, die für externe Akteure entwickelt wurden, sind nicht geeignet, um Risiken durch unwissende Insider oder Bedrohungen durch böswillige Insider zu verhindern, zu identifizieren und einzudämmen und damit nachhaltig zu verringern. Das Verständnis der Unterschiede zwischen böswilligen Insidern und solchen, die unbeabsichtigte Fehler machen, ist daher entscheidend für die Entwicklung wirksamer Sicherheitsmaßnahmen zur Eindämmung entsprechender Vorfälle.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Indikatoren erkennen und unterscheiden

Wollen Unternehmen etwa Insider-Bedrohungen zeitnah erkennen, müssen sie ungewöhnliche und verdächtige Verhaltensmuster oder unbefugte Aktivitäten stets im Blick haben, die einzelne Personen, Teams oder Maschinen als potenzielles Sicherheitsrisiko identifizieren. Klassische Indikatoren sind etwa ungewöhnliche Zugangszeiten außerhalb der normalen Geschäftszeiten, abnormale wie z. B. mehrere Sitzungen, unbekannte Standorte, die auf Ressourcen zugreifen, mehrere fehlgeschlagene Anmeldeversuche über Passwörter oder MFA[HW1] oder unbekannte Geräte.

Ganz wichtig in diesem Zusammenhang ist die Motivation, die hinter einem Angriffsszenario steht. Während böswillige Insider in der Regel durch persönlichen oder finanziellen Gewinn motiviert sind, liegt der Ursprung unbeabsichtigter Insider-Bedrohungen meist in situativem Stress und einem erhöhten Arbeitsdruck. Ihre Motivation liegt vor allem darin, mit weniger Aufwand und mitunter durch die Umgehung bestimmter Sicherheitsmaßnahmen ihre Arbeit zu erledigen. Hier gilt es, aufmerksam alle Abweichungen vom „Normal“ im Blick zu haben und nachzuverfolgen.

Auch die Aktivitäten unterscheiden sich eklatant. Während böswillige Insider versuchen, aktiv Systeme auszuschalten oder zu verlangsamen, indem sie beispielsweise Schadsoftware einschleusen, ist das Hauptproblem bei unwissenden Insidern der Zugriff auf und die Weitergabe von Informationen, die eigentlich durch Compliance- und Datenschutzbestimmungen sowie ein entsprechendes Zugriffsmanagement geschützt sein sollten.

Die größten Schäden verursachen in der Regel böswillige Insider, insbesondere wenn sie die Absicht haben, den Geschäftsbetrieb lahmzulegen. Aber auch Diebstahl vertraulicher Daten durch ausscheidende Mitarbeiter – etwa durch Exportieren auf einen USB-Stick – kommt laut einer Studie von DTEX in 56 Prozent der Unternehmen vor. Indikatoren hierfür können ungewöhnliche Zugriffszeiten und große Downloads sein. Unbeabsichtigte Handlungen von „freundlichen“ Insidern hingegen haben eher selten Ausfallzeiten zur Folge, führen aber in der Regel zur Offenlegung von Daten. Die Folgen sind teilweise erheblich, es drohen hohe Bußgelder, Reputationsschäden und Versicherungskosten. So kann zum Beispiel beim Einrichten eines Services eines Drittanbieters auf einem neuen Computer versehentlich ein Virus heruntergeladen werden. Indikatoren für eine solche Insider-Bedrohung könnten unbekannte Geräte sein, die auf privilegierte Ressourcen zugreifen.

Das war unser Webinar-Thementag „NIS-Richtlinie" am 14. März 2024

Hier geht es zur Aufzeichnung – klicken Sie rein!