Insider Threats: Die Gefahr von innen

Insider Threats: Die Gefahr von innen
Anzeige

Beitrag teilen

Die meisten Unternehmen fokussieren sich im Kampf gegen Cyberkriminalität auf externe Angreifer. Doch auch in den eigenen Reihen lauert eine wachsende Bedrohung. 33 Prozent aller Sicherheitsvorfälle werden 2021 auf Insider Threats zurückgehen, prognostizieren die IT-Sicherheitsexperten von FireEye Mandiant. Was können Unternehmen tun, um sich zu schützen?

Ein legitimer Zugang ist das A und O – die Mitarbeiter haben ihn und die Angreifer wollen ihn. Das beste Sicherheitsschloss an der Tür bringt nichts, wenn der Kriminelle bereits im Haus ist. Das weiß jeder Krimi-Fan. Ähnlich verhält es sich mit Cyberangriffen, die aus den eigenen Reihen kommen. Sie sind besonders gefährlich, weil die Täter Menschen sind, denen wir eigentlich vertrauen. Umso besorgniserregender ist es, dass die Zahl der Insider Threats signifikant steigt. 2019 und 2020 verzeichneten die Mandiant-Teams mehr Fälle denn je, bei denen Insider geschäftskritische Systeme kompromittierten, vertrauliche Daten preisgaben oder ihre Arbeitgeber erpressten. Solche Vorfälle können erheblichen finanziellen Schaden anrichten und die Reputation gefährden.

Anzeige

Wer hinter Insider-Angriffen steckt

Die meisten Insider Threats sind auf fahrlässige Mitarbeiter zurückzuführen, die nichts Böses im Sinn haben, sondern aus Unachtsamkeit Hackern ein Einfallstor bieten. Es kommt jedoch auch zu gezielten Angriffen von Insidern. Genau wie Angriffe von externen Akteuren verlaufen diese häufig über einen längeren Zeitraum hinweg. Dabei versuchen die Angreifer in der Regel unbemerkt zu bleiben und ihre Aktivitäten zu vertuschen. In manchen Fällen nutzen sie sogar Konten anderer Mitarbeiter, um die Aufmerksamkeit von sich abzulenken.

Längst steckt hinter Insider-Angriffen nicht mehr nur der verärgerte Ex-Angestellte, der sich an seinem ehemaligen Arbeitgeber rächen oder ihn bestehlen will. Im Grunde stellt jeder, der Zugang zu Netzwerken, System und Daten hat, ein potenzielles Risiko dar. Das kann der eigene Mitarbeiter sein, ebenso wie der Geschäfts- oder Lieferkettenpartner. Organisationen mit bedeutendem geistigem Eigentum oder Unternehmen, die fusionieren oder übernommen werden oder wichtige Veränderungen und Herausforderungen durchlaufen, tragen ein erhöhtes Risiko Opfer böswilliger Insider zu werden.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Anders als vielleicht vermutet, handeln Akteure heutzutage oft nicht alleine, sondern in Gruppen, zu denen auch IT-Administratoren und Insider Threat Team-Mitglieder gehören, die Warnungen und Ermittlungen verhindern. Teilweise sind Mitglieder dieser Gruppe außerhalb der Unternehmen, wie kriminelle und sogar regierungsnahe Organisationen, die technische Aktivitäten durchführen, um Datenzugang und -diebstahl zu ermöglichen.

Die vier häufigsten Insider Threats

Die Mandiant-Ermittler haben in der Praxis verschiedene Arten von Insider-Angriffen untersucht. Dabei zeichnen sich vier Trends ab:

Digitale Erpressung

Der böswillige Insider droht damit, gestohlene Daten zu veröffentlichen und gibt möglicherweise vor, ein externer Hacker zu sein. Meist fordert der Insider ein Lösegeld in einer digitalen Währung wie Bitcoin.

Wirtschaftsspionage

In diesem Szenario stiehlt der böswillige Insider geistiges Eigentum und gibt die Daten an Dritte weiter einschließlich staatlicher Akteure, um eine Entschädigung oder Job-Möglichkeit zu erhalten.

Asset-Destruction

Der böswillige Insider versucht, geschäftskritische Systeme zu stören, einen Betriebsausfall zu verursachen oder wichtige Datenbestände zu vernichten.

Stalking

Jon Ford, Managing Director of Global Government Services & Insider Threat Security Solutions bei Mandiant (Bild: FireEye).

Der böswillige Insider verschafft sich Zugriff zu sensiblen Mitarbeiterdaten oder Nutzerkonten von Kollegen, um an persönliche Informationen zu gelangen.

Gerade bei Erpressungsversuchen stehen Unternehmen unter enormen Druck: Sollten sie den Forderungen nachkommen oder lieber versuchen, den Insider schnellstmöglich zu identifizieren? Was, wenn das nicht rechtzeitig gelingt? Angriffsszenarien nachzuvollziehen und Täter aufzuspüren ist komplex. Die Hauptherausforderungen für Sicherheitsteams bei einem Erpressungsversuch sind: 1) die Feststellung, ob tatsächlich Daten gestohlen wurden, und 2) die Unterscheidung zwischen einem Insider-Vorfall und einem Angriff durch eine böswillige dritte Partei. Das erfordert eine Kombination aus technischer Forensik, Threat Intelligence und traditionellen Ermittlungsmethoden. Externe Spezialisten liefern unabhängige Analysen und bedeutende Expertise hierfür.

So können sich Unternehmen vor Insider-Risiken schützen

Unternehmen müssen Technologie und Wachsamkeit kombinieren und ihre Mitarbeiter durch regelmäßige Schulungen über die Gefahren von Insider Threats aufklären, um so Insider Angriffe effizient zu erkennen. Damit es gar nicht erst so weit kommt, sollten Unternehmen sich der Gefahr durch Insider Threats bewusst werden und geeignete Schutzmaßnahmen ergreifen. Fünf Tipps, um Risiken zu minimieren:

  • Investieren Sie in eine Insider Threat Data Loss Prevention-Lösung. Sie erkennt bösartiges Verhalten, schlägt Alarm und kann Aktionen falls nötig blockieren. Die Lösung sollte sowohl mit als auch ohne Internet-Verbindung funktionieren.
  • Schützen Sie alle Umgebungen in Ihren Netzwerken durch Zugangskontrollen. Dabei sollte jeder Nutzer, Entwickler und Administrator nur die Rechte erhalten, die er unbedingt für seine tägliche Arbeit benötigt. Beschränken Sie die Zahl der Mitarbeiter, die neue Konten in On-Premises und Cloud-Umgebungen anlegen dürfen, auf ein Minimum.
  • Senden Sie Logdaten und Event Aggregation an ein SIEM (Security Information and Event Management). Das stellt die Authentizität von Logs sicher und verhindert, dass ein Angreifer sie löschen oder manipulieren kann.
  • Setzen Sie Netzwerksegmentierung um. Indem Sie Netzwerkbereiche durch Sicherheitskontrollen voneinander trennen, verhindern Sie, dass sich ein Angreifer uneingeschränkt ausbreiten kann. Außerdem sollten Sie unnötigen Datenverkehr zwischen hochsensiblen und weniger vertrauenswürdigen Umgebungen limitieren. Alle Systeme, die nicht unbedingt öffentlich erreichbar sein müssen, sollten vom öffentlichen Zugang getrennt werden.
  • Achten Sie auf ein sicheres Offboarding. Wenn ein Mitarbeiter das Unternehmen verlässt, sollten Sie seinen Netzwerkzugang sofort sperren. Alle SSH-Schlüssel, PEM-Dateien und Passwörter, auf die die Person Zugriff hatte, sollten für alle Umgebungen geändert werden. Auch die Multifaktor-Authentifizierung (MFA) sollte umgehend deaktiviert werden.

Regelmäßige Assessments sind wichtig

Um das Risiko für Insider-Bedrohungen zu minimieren, brauchen Unternehmen Data Loss Prevention-Prozesse, SIEM-Funktionalität, Verhaltensanalysen und ein dediziertes Team. Die drei Kern-Bereiche Mensch, Prozesse und Werkzeuge sollten hier berücksichtigt werden. Untersuchungen zu Insider Bedrohungen sollten auf Beweisen basieren, die eine Profilbildung widerlegen und einer rechtlichen Prüfung standhalten. Externe Spezialisten können die bestehenden Fähigkeiten überprüfen, um die Nutzung der Investitionen zu maximieren, die Erstellung eines neuen Programms für Insider-Bedrohungen zu beschleunigen oder ein bestehendes Programm auf der Grundlage jahrelanger Katalogisierung bewährter Verfahren in der gesamten Branche zu verbessern. Da sich Voraussetzungen schnell ändern können, ist es wichtig, Security Assessments regelmäßig durchzuführen. Sie ermöglichen es, Schwachstellen aufzudecken und die Sicherheitsaufstellung kontinuierlich zu verbessern. So erhalten Unternehmen einen individuellen Fahrplan, um sich effektiv vor Insider-Angriffen und ihren Auswirkungen zu schützen.

Mehr bei FireEye.com

 


Über Trellix

Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.


 

Passende Artikel zum Thema

High-End-Plattformen gegen DDoS 

Radware stellt unter der Bezeichnung DefensePro X eine leistungsstarke neue Serie von sechs -Abwehrplattformen gegen Cyberangriffe und DDoS vor. Ebenfalls ➡ Weiterlesen

Kommt eine neue Ransomware-Ära?

Neueste Forschungsergebnisse zeigen, wie sich die Geschäftsmodelle der Cyberkriminellen verändern können. Trend Micro veröffentlicht eine neue Studie, die sich mit ➡ Weiterlesen

E-Mail-Kommunikation: Ende-zu-Ende verschlüsselt

E-Mails gelten als eine der wichtigsten Kommunikationsformen im geschäftlichen Umfeld. Aber nur jedes zweite Unternehmen nutzt Ende-zu-Ende-Verschlüsselungsmethoden wie PGP oder ➡ Weiterlesen

Mobile Security Report: 2 neue Malware-Apps pro Minute 

Smartphone-Besitzer mit Android sind einem hohen Cyberrisiko ausgesetzt. Mobile Security: Die Angriffe werden zwar weniger, sind aber deutlich besser ausgeführt. ➡ Weiterlesen

Ransomware: HardBit 2.0 fragt nach Cyberversicherung

Die Gruppe der Ransomware HardBit 2.0 fragt nach einer erfolgreichen Attacke das Unternehmen nach Cyberversicherungsinformationen. So will die Gruppe ihre ➡ Weiterlesen

Cyberangriffe: Automobilindustrie stark betroffen

Eine neue Studie zeigt: die Automobilindustrie und Zulieferer sind besonders häufig von Cybervorfällen betroffen. Trend Micro hat die Cyberangriffe untersucht ➡ Weiterlesen

Mobiles Arbeiten verschlechtert die Cybersicherheitslage

Mangelndes Sicherheitsbewusstsein im Homeoffice: In einer Umfrage* von SoSafe gaben 9 von 10 Befragten an, dass sich die Cybersicherheitslage verschlechtert ➡ Weiterlesen

2022: DDoS-Angriffe stiegen an und steigen weiter 

Wie eine Analyse der Daten aus 2022 zeigt, stiegen bösartige DDoS-Angriffe um 150%.Radware hat seinen Global Threat Analysis Report 2022 ➡ Weiterlesen