6 Tipps wie Unternehmen Insider-Bedrohungen erkennen und verhindern können

19. Dezember, 2022

Die Auswirkungen von Insider-Bedrohungen auf die Cyber-Sicherheit

Eine Insider-Bedrohung beschreibt mögliche Sicherheitsvorfälle, die von Personen innerhalb einer Organisation ausgehen können. Diese Personen können Mitarbeiter*innen, Beschäftigte in Projekten, Praktikant*innen oder sogar Führungskräfte des eigenen Unternehmens sein. Insider- Bedrohungen können in vielen Formen auftreten, einschließlich Sabotage, Diebstahl von geistigem Eigentum, Verletzung von Datenschutzvorschriften und anderen illegalen Aktivitäten. Der Grund für solche Gefahren kann dabei aus verschiedensten Bereichen kommen. Neben einer rein finanziellen Motivation können auch zutiefst persönliche Motive dazu führen, dem eigenen Unternehmen schaden zu wollen. Denkbar ist auch, dass Mitarbeiter*innen aus Unwissenheit heraus Sicherheitsvorfälle auslösen. Es sind auch Überschneidungen mit externen Bedrohungen möglich, bei denen sich die Angreifer als Insider tarnen. Durch das Übernehmen und Ausnutzen von internen Zugangsberechtigungen wird dann stellvertretend auf sensible Bereiche zugegriffen. Obwohl die Auswirkungen ähnlich sind, werden solche extern ausgelösten Vorfälle nicht der Insider-Bedrohung zugerechnet. In einer Studie der letzten beiden Jahre wurde eine Verdoppelung der Vorfälle durch Insider festgestellt [1].

Welche Vorkehrungen können getroffen werden?

Insider-Bedrohungen sind deswegen sehr gefährlich, weil sie von an sich vertrauenswürdigen Personen innerhalb einer Organisation ausgehen. Sie sind daher schwieriger zu erkennen und zu verhindern, als typische Bedrohungen von außerhalb. Um sich vor Insider-Bedrohungen zu schützen, gibt es einige Empfehlungen, die geprüft und vorbereitet werden können [2]:

  1. Alle Mitarbeiter*innen sollten regelmäßig über die Bedeutung von Sicherheit und Datenschutz aufgeklärt werden. Ein Ablauf, wie auf verdächtige Aktivitäten oder Bedrohungen reagiert wird und wer im Verdachtsfall zu verständigen ist, soll einfach einsehbar sein.
  2. Setzen Sie Richtlinien für den Umgang mit geistigem Eigentum und vertrauliche Informationen um. Sorgen Sie dafür, dass alle Mitarbeiter*innen über diese Richtlinien Bescheid wissen und auch über strafrechtliche Konsequenzen aufgeklärt werden.
  3. Setzen Sie robuste Zugriffs- und Authentifizierungsverfahren ein, um sicherzustellen, dass nur wirklich autorisierte Personen auf sensible Informationen zugreifen können. Minimieren Sie den möglichen Zugriff nur für Rollen und Personen, die solche Daten wirklich für die Durchführung ihrer Aufgaben unbedingt benötigen.
  4. Überwachen und protokollieren Sie den Zugriff auf sensible Daten und Systeme, um mögliche Bedrohungen frühzeitig zu erkennen. Auch nach einem Vorfall können solche Daten helfen, den Verursacher und das Ausmaß zu identifizieren.
  5. Bei Verdacht des Missbrauchs oder auch z.B. Unternehmensaustritten sollen die Rechte der Person sofort stark eingeschränkt oder entzogen werden.
  6. Führen Sie regelmäßig Sicherheitsüberprüfungen und Audits durch, um Schwachstellen in den Sicherheitsmaßnahmen und Rechtevergaben aufzudecken.

Achtung bei besonders “mächtigen” Benutzern

Einen besonderen Stellenwert nehmen in Bezug auf Insider-Bedrohungen Personen mit besonders weitreichenden Rechten wie Administratoren und Superuser ein. Gerade bei diesen Rollen sollte eine grundsätzliche Zusatzvalidierung der wichtigsten, höchsten Befugnisse erfolgen (z.B. 4-Augen-Prinzip) und auch sichergestellt werden, dass z.B. die Protokollierungen von Tätigkeiten manipulationssicher ausgeführt ist und gegen Veränderung gesichert ist.

Fazit: Insider-Bedrohungen stellen eine weit unterschätzte Sicherheitsgefahr dar. Es ist wichtig, dass alle Mitarbeiter*innen an der Sicherheit und dem Schutz von Unternehmensdaten beteiligt sind und wissen, wie sie sich verantwortungsbewusst verhalten. Durch die Umsetzung und Einhaltung von Trennung der wichtigsten Rollen und -Richtlinien sowie einer minimierten Rechtevergabe können Insider-Bedrohungen zumindest minimiert werden.

Quellen:

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download