Bedrohungen durch „IT-Insider“ treiben vielen IT-Sicherheits-Abteilungen den Angstschweiß auf die Stirn. Und dies auch zurecht, denn sie sind bereits fest in der Unternehmens-IT verankert. Sie stellen deswegen nach einer Kompromittierung ein besonders hohes Risiko dar, weil sie von normalen Sicherheitsmechanismen, die sich nach außen richten, kaum erkannt werden können.
Es ist also schwierig, sich mit traditionellen Mitteln vollständig gegen Insider-Bedrohungen abzusichern. Um sich gegen Insider-Bedrohungen zu wappnen und um aufzudecken, was innerhalb der Organisation passiert, benötigen Organisationen die richtigen Strategien und technischen Lösungen, die über die traditionellen Methoden der IT-Sicherheit hinausgehen.
75% der Sicherheitsverletzungen durch Insider
Schaut man sich an, welche Bedrohungen letzten Endes erfolgreich sind und es schaffen in die IT eines Unternehmens einzudringen, dann sind Insider-Bedrohungen keinesfalls ein zu vernachlässigendes Risiko. Laut dem Information Risk Research Team von Gartner sind Insider-Bedrohungen tatsächlich für 50-70 Prozent aller Sicherheitsvorfälle verantwortlich, und bei Sicherheitsverletzungen im Speziellen sind Insider für drei Viertel davon verantwortlich.
Die Folgen können gravierend sein: Das Ponemon Institute schätzt, dass Insider-Bedrohungen pro Jahr und betroffenem Unternehmen 8,76 Millionen Dollar kosten. Dies liegt nicht zuletzt daran, dass es im Durchschnitt 280 Tage dauert, um jeden Verstoß zu identifizieren und einzudämmen – ein beängstigendes Szenario für jedes Unternehmen.
Die drei Hauptformen der Insider-Bedrohungen
Das berühmteste Beispiel einer Insider-Bedrohung ist sicherlich Edward Snowden.
Aber seine Aktivitäten, auch wenn sie am bekanntesten sind, sind keineswegs typisch für die Szenarien, mit denen die meisten Organisationen konfrontiert sind, insbesondere im kommerziellen Kontext. In der Mehrzahl der Fälle nehmen Insider-Bedrohungen drei Hauptformen an: „Versehentliche“, „kompromittierte“ oder „böswillige“ Insider.
1. Wie der Name schon sagt, ist der „böswillige“ Insider typischerweise ein Angestellter oder Auftragnehmer, der Informationen stiehlt. Edward Snowden ist hierfür das wohl berühmteste Beispiel, wobei viele andere böswillige Insider Informationen nicht als Whistleblower sondern für finanziellen Gewinn erbeuten, wie etwa die Diebe der Schweizer Bankdaten vor einigen Jahren.
2. Der „kompromittierte“ Insider wird von vielen als die problematischste Form angesehen, da diese Person in der Regel nichts weiter getan hat, als unschuldig auf einen Link zu klicken oder ein Passwort einzugeben. Dies ist oft das Ergebnis von Phishing-Kampagnen, bei denen Benutzern ein Link zu einer authentisch aussehenden Website präsentiert wird, um sie zur Eingabe von Anmeldeinformationen oder anderen sensiblen Daten zu bewegen.
3. Nicht weniger gefährlich, ist der „versehentliche“ oder „fahrlässige“ Insider. Diese Insider zu entlarven kann eine besondere Herausforderung darstellen, denn unabhängig davon, wie viel Sorgfalt Unternehmen und Mitarbeiter auf die Cybersicherheit verwenden, passieren Fehler.
Technologische Möglichkeiten der Abwehr
Um solche einfachen aber im schlimmsten Fall sehr weitreichenden Fehler zu vermeiden, nutzen viele Organisation bereits intensiv Schulungen um das Bewusstsein ihrer Mitarbeiter in dieser Richtung zu erhöhen. Zweifelsohne können einige versehentliche und kompromittierte Insider-Angriffe verhindert werden, indem Endanwender einfach darin geschult werden, Phishing-Versuche zu erkennen und zu vermeiden. Doch auch über Schulungen hinaus gibt es technologische Möglichkeiten, die sich auf das Benutzerverhalten konzentrieren, um sich besser gegen Insider-Bedrohungen zu schützen.
User and Entity Behavior Analysis (UEBA)
Die Nutzung von traditionellen, nur nach Außen gerichteten Cybersecuritylösungen erzeugt einen sehr großen blinden Fleck. Um die vielschichtigen Herausforderung von Insider-Bedrohungen anzugehen, benötigen Sicherheitsteams die technologische Infrastrukturen und Tools, um das gesamte Bild und damit alle Bedrohungen zu sehen – auch die von Innen. Hier hilft User and Entity Behaviour Analysis (UEBA), also die Analyse des Verhaltens von Nutzern und Entitäten.Durch das Verständnis typischer Verhaltensweisen können Sicherheitsteams leichter erkennen, wenn ein Problem auftritt. Entsprechende Lösungen, die auf KI und maschinellem Lernen basieren, werden bereits von vielen Organisationen für einen effektiven, proaktiven Schutz eingesetzt.
Fazit: Proaktive Strategie mit Analytics
Organisationen benötigen die technologische Infrastruktur und Werkzeuge, um das gesamte Bild von Bedrohungen zu sehen. Moderne SOCs nutzen deshalb User and Entity Behaviour Analysis (UEBA) innerhalb ihrer SIEM-Systeme um sich auch von innen heraus gegen menschliches Versagen, Nachlässigkeit und böswillige Insider zu schützen. Kombiniert mit Schulungen kann eine solche proaktive Strategie den blinden Fleck nach Innen dramatisch verkleinern und viele Insider-Bedrohungen frühzeitig erkennen.
Mehr dazu bei Exabeam.com[starbox id=17]