Insider-Bedrohungen entlarven

Bedrohungen durch «Insider» treiben vielen IT-Sicherheitsabteilungen den Angstschweiss auf die Stirn. Und dies auch zurecht, denn sie sind bereits fest in der Unternehmens-IT verankert. Sie stellen deswegen nach einer Kompromittierung ein besonders hohes Risiko dar, weil sie von normalen Sicherheitsmechanismen, die sich nach aussen richten, kaum erkannt werden können. Es ist also schwierig, sich mit traditionellen Mitteln vollständig gegen Insider-Bedrohungen abzusichern. Um sich gegen Insider-Bedrohungen zu wappnen und um aufzudecken, was innerhalb der Organisation passiert, benötigen Organisationen die richtigen Strategien und technischen Lösungen, die über die traditionellen Methoden der IT-Sicherheit hinausgehen.

Insider-Bedrohungen: 50-70% aller Sicherheitsverletzungen

Schaut man sich an, welche Bedrohungen letzten Endes erfolgreich sind und in die IT eines Unternehmens eindringen konnten, dann sind Insider-Bedrohungen keinesfalls ein zu vernachlässigendes Risiko. Laut dem Information Risk Research Team von Gartner sind Insider-Bedrohungen tatsächlich für 50 bis 70 Prozent aller Sicherheitsvorfälle verantwortlich, und bei Sicherheitsverletzungen im Speziellen sind Insider für drei Viertel davon verantwortlich.

Die Folgen können gravierend sein: Das Ponemon Institute schätzt, dass Insider-Bedrohungen pro Jahr und betroffenem Unternehmen 8,76 Millionen Dollar kosten. Dies liegt nicht zuletzt daran, dass es im Durchschnitt 280 Tage dauert, um jeden Verstoss zu identifizieren und einzudämmen – ein beängstigendes Szenario für jedes Unternehmen.

Die drei Hauptformen der Insider-Bedrohungen

Das berühmteste Beispiel einer Insider-Bedrohung ist sicherlich Edward Snowden.
Aber seine Aktivitäten, auch wenn sie am bekanntesten sind, sind keineswegs typisch für die Szenarien, mit denen die meisten Organisationen konfrontiert sind, insbesondere im kommerziellen Kontext. In der Mehrzahl der Fälle nehmen Insider-Bedrohungen drei Hauptformen an: «Versehentliche», «kompromittierte» oder «böswillige» Insider.

1. Wie der Name schon sagt, ist der «böswillige» Insider typischerweise ein Angestellter oder Auftragnehmer, der Informationen stiehlt. Edward Snowden ist hierfür das wohl berühmteste Beispiel, wobei viele andere böswillige Insider Informationen nicht als Whistleblower, sondern für finanziellen Gewinn erbeuten, wie etwa die Diebe der Schweizer Bankdaten vor einigen Jahren.

2. Der «kompromittierte» Insider wird von vielen als die problematischste Form angesehen, da diese Person in der Regel nichts weiter getan hat, als unschuldig auf einen Link zu klicken oder ein Passwort einzugeben. Dies ist oft das Ergebnis von Phishing-Kampagnen, bei denen Benutzern ein Link zu einer authentisch aussehenden Website präsentiert wird, um sie zur Eingabe von Anmeldeinformationen oder anderen sensiblen Daten zu bewegen.

3. Und alternativ, aber nicht weniger gefährlich, ist der «Versehentliche» oder «fahrlässige» Insider. Diese Insider zu entlarven kann eine besondere Herausforderung darstellen, denn unabhängig davon, wie viel Sorgfalt Unternehmen und Mitarbeiter auf die Cybersicherheit verwenden, passieren Fehler.

Über Schulungen hinaus gibt es technologische Möglichkeiten der Abwehr

Um solche einfachen aber im schlimmsten Fall sehr weitreichenden Fehler zu vermeiden, nutzen viele Organisation bereits intensiv Schulungen, um das Bewusstsein ihrer Mitarbeiter in dieser Richtung zu erhöhen. Zweifelsohne können einige versehentliche und kompromittierte Insider-Angriffe verhindert werden, indem Endanwender einfach darin geschult werden, Phishing-Versuche zu erkennen und zu vermeiden. Doch auch über Schulungen hinaus gibt es technologische Möglichkeiten, die sich auf das Benutzerverhalten konzentrieren, um sich besser gegen Insider-Bedrohungen zu schützen.

User and Entity Behavior Analysis (UEBA)

Die Nutzung von traditionellen, nur nach Aussen gerichteten Cybersecurity-Lösungen erzeugt einen sehr grossen blinden Fleck. Um die vielschichtigen Herausforderungen von Insider-Bedrohungen anzugehen, benötigen Sicherheitsteams die technologischen Infrastrukturen und Tools, um das gesamte Bild und damit alle Bedrohungen zu sehen – auch die von Innen. Hier hilft User and Entity Behaviour Analysis (UEBA), also die Analyse des Verhaltens von Nutzern und Entitäten. Durch das Verständnis typischer Verhaltensweisen können Sicherheitsteams leichter erkennen, wenn ein Problem auftritt. Entsprechende Lösungen, die auf KI und maschinellem Lernen basieren, werden bereits von vielen Organisationen für einen effektiven, proaktiven Schutz eingesetzt.

Fazit: Proaktive Strategie mit Analytics erhöht die Sicherheit

Organisationen benötigen die technologische Infrastruktur und Werkzeuge, um das gesamte Bild von Bedrohungen zu sehen. Moderne SOCs nutzen deshalb UEBA innerhalb ihrer SIEM-Systeme um sich auch von innen heraus gegen menschliches Versagen, Nachlässigkeit und böswillige Insider zu schützen. Kombiniert mit Schulungen kann eine solche proaktive Strategie den blinden Fleck nach Innen dramatisch verkleinern und viele Insider-Bedrohungen frühzeitig erkennen.