Bedrohungen durch Insider entgegenwirken

Bedrohungen durch Insider entgegenwirken

Beitrag teilen

IT-verantwortlich zu sein, ist derzeit nicht der leichteste Beruf. Wenn neben der stetigen Warnung vor externen Angriffen und dem Gebot von Zero-Trust-Prinzipien auch noch der Mahnruf vor internen Insider-Bedrohungen hinzukommt, kann man sich als CISO fragen, wem man noch vertrauen soll.

Insider-Threats sind ein reales Problem für Firmen aller Art und Größe. Ein aktuelles Beispiel ist der E-Autoproduzent Tesla: In der Gigafactory Berlin-Brandenburg gelangten im vergangenen Jahr über 100 Gigabyte an sensiblen Daten und Gehaltsinformationen von zehntausenden Beschäftigten in ganz Europa sowie Berichte über Fehlfunktionen und Probleme der Produkte an die Öffentlichkeit – im Verdacht standen zwei ehemalige Mitarbeiter Teslas. Zwar taten sie dies nicht, um sich an den Daten zu bereichern, sondern um auf Missstände und Sicherheitsprobleme innerhalb des Unternehmens hinzuweisen. Trotzdem handelt es sich beim Whistleblowing um eine Datenschutzverletzung, bei der die Informationen der Mitarbeiter auch für Identitätsraub oder Schlimmeres hätten missbraucht werden können.

Anzeige

Datenlecks sind existenzbedrohend

Derartige Fälle stehen immer in Zusammenhang mit bestehenden Sicherheitsvorkehrungen und können durch die engmaschige Verwaltung von Zugriffsrechten verhindert werden. Andernfalls reicht ein verprellter Angestellter mit einem Hauch krimineller Energie und der Bereitschaft, sensible Informationen oder seine Zugangsdaten an Cyber-Kriminelle zu veräußern, aus, um Firmengeheimnisse, Kundendaten und womöglich die Existenz des gesamten Unternehmens zu gefährden. Zu allem Übel gehört zu den Strategien der Drahtzieher auch das Anwerben von Komplizen im Darknet. Im Austausch für sensible Login-Daten bieten sie abtrünnigen oder leichtfertigen Angestellten hohe Geldsummen an.

Der Gefahren nicht genug, können Datenlecks zudem unsagbar teuer werden. Es besteht nicht nur das Risiko einer Infiltration des Unternehmensnetzwerks und einem anschließenden Ransomware-Angriff samt horrender Lösegeldforderungen. Bei Datenschutzverletzungen schaltet sich obendrein auch der Gesetzgeber ein. Denn den Behörden ist es egal, ob ein Innentäter, ein unachtsamer Mitarbeiter oder ein sonstiges Datenleck für den Schaden verantwortlich ist: Wer Daten verliert, wird zur Kasse gebeten. Das kann Unternehmen gemäß der EU DS-GVO bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes kosten. Auch das Bundesamt für Verfassungsschutz warnt deshalb explizit vor der Bedrohung durch Innentäter. Nicht jede Insider-Bedrohung ist das Ergebnis vorsätzlicher, böswilliger Handlungen und nicht jeder Mitarbeiter, der einen Fehltritt begeht, ist direkt ein Täter. Oft sind es unbeabsichtigte Fehler oder Unkenntnis, die Zwischenfälle verursachen. Lösungen für dieses Problem erfordern dabei nicht nur technische, sondern auch zwischenmenschliche Ansätze.

Role-based Access Control

Ein Kernstück des Identitäts-Managements: Mitarbeiter erhalten beim Antrifft ihres neuen Jobs oder einer neuen Position automatisiert die Zugriffsrechte, die sie basierend auf ihrer Rolle und Tätigkeit im Unternehmen benötigen. So wird sichergestellt, dass alle Angestellten und Führungskräfte nur auf die Informationen und Systeme zugreifen können, die sie für ihre Arbeit benötigen. Indem man die Menge an Zugriffsrechten der Mitarbeiter rollenbasiert auf das Notwendige reduziert, wird im Falle eines unbefugten Zugriffs die Bewegungsfreiheit – der sogenannte Blast-Radius – des Angreifers wesentlich eingeschränkt. Das schränkt abtrünnige Mitarbeiter in jedem Szenario ein – egal, ob sie ihre Zugangsdaten innerhalb oder außerhalb des Unternehmens zu missbrauchen versuchen. KI-gestützte Lösungen können RBAC-Systeme obendrein mit intelligenter, kontextbasierter Zuweisung und Automatisierung in neue Höhen treiben und effizient verwalten.

Privileged Access Management (PAM)

Ähnlich der RBAC hilft PAM dabei, den Zugriff auf kritische Systeme und Daten zu kontrollieren. Durch die Vergabe, Verwaltung und Überwachung von privilegierten Berechtigungen wird sichergestellt, dass nur autorisierte Personen, wie CEOs, Entwickler und Netzwerkadministratoren, Zugriff auf hochsensible Informationen haben. Mit PAM und RBAC lässt sich außerdem umgehend feststellen, ob die Zugriffsrechte mehrerer Benutzer plötzlich erweitert wurden – beispielweise, weil ein Hacker mit einem gestohlenen Benutzerkonto auch seinen Komplizen Zugriff auf das Netzwerk der Zielorganisation verschaffen will.

Joiner-Mover-Leaver-Systeme

Dieses System steuert den Lebenszyklus von Mitarbeiteridentitäten im Unternehmen. Es gewährleistet, dass Zugriffsrechte bei Eintritt, Versetzung oder Ausscheiden eines Mitarbeiters entsprechend angepasst werden, um unnötige Sicherheitsrisiken zu vermeiden. Der Clou: Man schützt sich, wie auch bei RBAC und PAM, sowohl vor externen als auch vor internen Angriffen. Zum einen werden sogenannte Verwaiste Konten vermieden. Das sind Benutzerkonten, die eigentlich keinem Mitarbeiter mehr zugeordnet werden, aber durch das Raster fallen und immer noch mit Zugriffsrechten ausgestattet sind, manchmal hochrangigen. Solche sind unter Hackern beliebt, weil sie dann mit einem gut ausgestatteten, legitimen Benutzerkonto unter dem Radar der IT-Abwehr fliegen können. Lösungen für Identity Governance and Administration (IGA) automatisieren die daher wichtigen Anpassungen und liefern obendrein besagte RBAC- und PAM-Funktionen, die Compliance gewährleisten und IT-Teams entlasten. Zum anderen wird so der Fall vermieden, dass ein verärgerter Mitarbeiter nach Ausscheiden aus dem Unternehmen seine Zugangsdaten zum Schaden des alten Arbeitgebers missbrauchen oder diese sogar im Darknet lukrativ an organisierte Kriminelle verkaufen kann.

Black- und Whitelisting von Software

Durch das Festlegen von genehmigter (Whitelist) und unerwünschter (Blacklist) Software wird die Wahrscheinlichkeit verringert, dass Malware eingeschleust oder unerlaubte Anwendungen im Unternehmensnetzwerk verwendet werden. So wird sogenannter Schatten-IT und der unkontrollierten Erstellung von Nutzerkonten ein Riegel vorgeschoben. Dennoch sollten die Mitarbeiter dazu eingeladen werden, Vorschläge für die Beschaffung neuer Tools vorzubringen, um ihre tägliche Arbeit zu erleichtern. Wer die eigene Belegschaft zudem sensibilisiert, dass eigenmächtig heruntergeladene Software einen Schadcode enthalten könnte, der verhindert unbeabsichtigte Innentäterschaft.

Schulungen und Workshops

Um Gefahren im Keim zu ersticken, muss man sie kennen und erkennen können. Die Taktiken Cyber-Krimineller werden so schnell weiterentwickelt, dass man von keinem Angestellten verlangen kann, stets über die jüngsten Maschen im Bilde zu sein. Phishing-Mails sind nicht zuletzt durch die Möglichkeiten von GenKI mittlerweile solch authentische Imitate von E-Mails vertrauenswürdiger großer Marken geworden, dass man sehr leicht versehentlich auf einen verseuchten Link klickt und so aus Versehen zum Hacker-Komplizen wird. Regelmäßige Fortbildungen zu modernen Phishing-und Social-Engineering-Methoden, wie Voice-Phishing per KI-Nachbildung von Stimmen, und der Erkennung von Bedrohungsindikatoren stärken das Bewusstsein der Mitarbeiter für diese Risiken und lehren sie, diese zu erkennen. Sie sind dazu eine nützliche Teambuilding-Maßnahme, die das Vertrauen der Mitarbeiter untereinander stärken kann.

Überwachung der Benutzeraktivität und Zero Trust

Der Zero-Trust-Ansatz ist zum fundamentalen Grundprinzip jeder modernen IT-Sicherheitslösung geworden und das mit gutem Grund: Er ist nämlich die Antithese zu jeder Art von Zugangsmissbrauch. ‘Vertraue niemandem und wenn, dann erst nach ausreichender Prüfung’, so lautet die Devise. Dabei kann es jedoch schwierig sein, gewöhnliches von verdächtigem Nutzungsverhalten zu unterscheiden. Die Überwachung von Login-Verhalten und die Nutzung von IAM-Systemen (Identity Access Management) und Multi-Faktor-Authentifizierung (MFA) sind daher entscheidend, um ungewöhnliche oder unbefugte Zugriffsversuche frühzeitig zu erkennen. Solche Systeme tragen dazu bei, Insider-Bedrohungen zu identifizieren, bevor sie Schaden anrichten können und verkleinern die Angriffsfläche jeder Organisation enorm.

Mitarbeiter-Wohlbefinden

Ein oft übersehener Aspekt der Sicherheitskultur ist das Wohlbefinden der Mitarbeiter. Regelmäßige Check-ins und das Vermitteln des Gefühls, dass ihre Meinungen und Bedenken ernst genommen werden, können dazu beitragen, das Risiko zu verringern, dass Mitarbeiter wissentlich oder unwissentlich zu einer Sicherheitsbedrohung werden. Gleichzeitig erhöhen das die Motivation in der Belegschaft, Sicherheitsmaßnahmen ernst zu nehmen, und vorsichtig zu sein, um sich selbst und ihr Arbeitsumfeld zu schützen. Auch innerbetriebliche Konflikte zwischen dem Personal können ausschlaggebend für Sabotage-Akte sein. Diese durch offene Kommunikation, Mediation und Schlichtung zu unterbinden, hilft letztlich nicht nur dem Arbeitsklima, sondern auch der Compliance. Denn warum sollten sich Mitarbeiter gegen den Arbeitgeber wenden, wenn sie wertschätzend behandelt und gehört werden?

Menschlichkeit und Technik gegen Insider-Bedrohungen

Insider-Bedrohungen sind eine wachsende Bedrohung, doch das heißt nicht, dass aus einer vertrauensvollen Unternehmenskultur nun ein Spionage-Thriller werden muss, in dem alle gemeinsam den Maulwurf suchen und niemand niemandem mehr vertraut. Die Prävention gegen Insider-Bedrohungen erfordert schlicht einen umfassenden Ansatz, der sowohl technische Maßnahmen für das Zugriffs-Management als auch die Förderung einer positiven Unternehmenskultur umfasst. Unter dem Dach von Identity Management vereinen sich zudem alle Werkzeuge, die CISOs und IT-Verantwortliche brauchen, um Risiko-Quellen im Inneren schnell erkennen und bannen zu können. Das wirksamste Mittel gegen unabsichtliche oder geplante Insider-Gefahren sind jedoch immer noch Mitarbeiter, die ihrem Arbeitgeber wohlgesonnen sind und obendrein noch ein geschultes Auge für Betrugsmaschen besitzen.

Mehr bei Omada.com

 


Über Omada

Omada wurde im Jahr 2000 gegründet und bietet innovatives Identitätsmanagement für komplexe hybride Umgebungen auf der Grundlage unseres bewährten Best-Practice-Prozess-Frameworks und Implementierungsansatzes.


 

Passende Artikel zum Thema

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen