IT-Insider-Bedrohungen mit Analytics entlarven

IT-Insider-Bedrohungen mit Analytics entlarven

Beitrag teilen

Bedrohungen durch „IT-Insider“ treiben vielen IT-Sicherheits-Abteilungen den Angstschweiß auf die Stirn. Und dies auch zurecht, denn sie sind bereits fest in der Unternehmens-IT verankert. Sie stellen deswegen nach einer Kompromittierung ein besonders hohes Risiko dar, weil sie von normalen Sicherheitsmechanismen, die sich nach außen richten, kaum erkannt werden können.

Es ist also schwierig, sich mit traditionellen Mitteln vollständig gegen Insider-Bedrohungen abzusichern. Um sich gegen Insider-Bedrohungen zu wappnen und um aufzudecken, was innerhalb der Organisation passiert, benötigen Organisationen die richtigen Strategien und technischen Lösungen, die über die traditionellen Methoden der IT-Sicherheit hinausgehen.

Anzeige

75% der Sicherheitsverletzungen durch Insider

Schaut man sich an, welche Bedrohungen letzten Endes erfolgreich sind und es schaffen in die IT eines Unternehmens einzudringen, dann sind Insider-Bedrohungen keinesfalls ein zu vernachlässigendes Risiko. Laut dem Information Risk Research Team von Gartner sind Insider-Bedrohungen tatsächlich für 50-70 Prozent aller Sicherheitsvorfälle verantwortlich, und bei Sicherheitsverletzungen im Speziellen sind Insider für drei Viertel davon verantwortlich.

Die Folgen können gravierend sein: Das Ponemon Institute schätzt, dass Insider-Bedrohungen pro Jahr und betroffenem Unternehmen 8,76 Millionen Dollar kosten. Dies liegt nicht zuletzt daran, dass es im Durchschnitt 280 Tage dauert, um jeden Verstoß zu identifizieren und einzudämmen – ein beängstigendes Szenario für jedes Unternehmen.

Die drei Hauptformen der Insider-Bedrohungen

Das berühmteste Beispiel einer Insider-Bedrohung ist sicherlich Edward Snowden.
Aber seine Aktivitäten, auch wenn sie am bekanntesten sind, sind keineswegs typisch für die Szenarien, mit denen die meisten Organisationen konfrontiert sind, insbesondere im kommerziellen Kontext. In der Mehrzahl der Fälle nehmen Insider-Bedrohungen drei Hauptformen an: „Versehentliche“, „kompromittierte“ oder „böswillige“ Insider.

1. Wie der Name schon sagt, ist der „böswillige“ Insider typischerweise ein Angestellter oder Auftragnehmer, der Informationen stiehlt. Edward Snowden ist hierfür das wohl berühmteste Beispiel, wobei viele andere böswillige Insider Informationen nicht als Whistleblower sondern für finanziellen Gewinn erbeuten, wie etwa die Diebe der Schweizer Bankdaten vor einigen Jahren.

2. Der „kompromittierte“ Insider wird von vielen als die problematischste Form angesehen, da diese Person in der Regel nichts weiter getan hat, als unschuldig auf einen Link zu klicken oder ein Passwort einzugeben. Dies ist oft das Ergebnis von Phishing-Kampagnen, bei denen Benutzern ein Link zu einer authentisch aussehenden Website präsentiert wird, um sie zur Eingabe von Anmeldeinformationen oder anderen sensiblen Daten zu bewegen.

3. Nicht weniger gefährlich, ist der „versehentliche“ oder „fahrlässige“ Insider. Diese Insider zu entlarven kann eine besondere Herausforderung darstellen, denn unabhängig davon, wie viel Sorgfalt Unternehmen und Mitarbeiter auf die Cybersicherheit verwenden, passieren Fehler.

Technologische Möglichkeiten der Abwehr

Um solche einfachen aber im schlimmsten Fall sehr weitreichenden Fehler zu vermeiden, nutzen viele Organisation bereits intensiv Schulungen um das Bewusstsein ihrer Mitarbeiter in dieser Richtung zu erhöhen. Zweifelsohne können einige versehentliche und kompromittierte Insider-Angriffe verhindert werden, indem Endanwender einfach darin geschult werden, Phishing-Versuche zu erkennen und zu vermeiden. Doch auch über Schulungen hinaus gibt es technologische Möglichkeiten, die sich auf das Benutzerverhalten konzentrieren, um sich besser gegen Insider-Bedrohungen zu schützen.

User and Entity Behavior Analysis (UEBA)

Die Nutzung von traditionellen, nur nach Außen gerichteten Cybersecuritylösungen erzeugt einen sehr großen blinden Fleck. Um die vielschichtigen Herausforderung von Insider-Bedrohungen anzugehen, benötigen Sicherheitsteams die technologische Infrastrukturen und Tools, um das gesamte Bild und damit alle Bedrohungen zu sehen – auch die von Innen. Hier hilft User and Entity Behaviour Analysis (UEBA), also die Analyse des Verhaltens von Nutzern und Entitäten.Durch das Verständnis typischer Verhaltensweisen können Sicherheitsteams leichter erkennen, wenn ein Problem auftritt. Entsprechende Lösungen, die auf KI und maschinellem Lernen basieren, werden bereits von vielen Organisationen für einen effektiven, proaktiven Schutz eingesetzt.

Fazit: Proaktive Strategie mit Analytics

Organisationen benötigen die technologische Infrastruktur und Werkzeuge, um das gesamte Bild von Bedrohungen zu sehen. Moderne SOCs nutzen deshalb User and Entity Behaviour Analysis (UEBA) innerhalb ihrer SIEM-Systeme um sich auch von innen heraus gegen menschliches Versagen, Nachlässigkeit und böswillige Insider zu schützen. Kombiniert mit Schulungen kann eine solche proaktive Strategie den blinden Fleck nach Innen dramatisch verkleinern und viele Insider-Bedrohungen frühzeitig erkennen.

Mehr dazu bei Exabeam.com

 

[starbox id=17]

 

Passende Artikel zum Thema

Angriffe auf die Lieferkette nehmen zu

Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu ➡ Weiterlesen

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

Studie: SOC-Teams haben wenig Zutrauen in ihre Sicherheitstools

Ein führender Anbieter von KI-gestützter erweiterter Erkennung und Reaktion (XDR), hat die Ergebnisse seines neuen Forschungsberichts "2024 State of Threat ➡ Weiterlesen