Insider-Attacken und Insider-Bedrohungen in der Cybersicherheit erklärt

Organisationen konzentrieren sich in der Regel auf Cyber-Bedrohungen, die externen Ursprungs sind. Dazu gehören Anti-Malware, externe Firewalls, Abwehr von DDoS-Angriffen, Schutz vor externen Datenverlusten und die Liste geht weiter. Das ist gut so, denn externe Cyber-Angriffe sind sehr häufig, sodass es wichtig ist, Ihre Netzwerke vor unbefugtem Zugriff und bösartigem Eindringen zu schützen. Das Internet und der unbefugte physische Zugang zu Ihren Einrichtungen werden immer ein Risiko darstellen, und sie müssen überwacht und verwaltet werden. Aber es ist leicht, eine oft übersehene Cyber-Angriffsfläche aus den Augen zu verlieren, und das ist die im Inneren. Interne Cyber-Angriffe sind häufiger, als viele Leute annehmen, und diese Tatsache zu ignorieren, wäre auf Ihre Gefahr hin. Hier erfahren Sie, warum Sie auf interne Cyber-Bedrohungen vorbereitet sein sollten und was Sie dagegen tun können.

Die Auswirkungen und die Bedeutung von Insider-Angriffen

Insider-Bedrohungen für Ihr Netzwerk betreffen typischerweise Personen, die als Angestellte oder Auftragnehmer Ihres Unternehmens arbeiten. Sie gehören in Ihre Einrichtungen und haben oft Benutzerkonten in Ihren Netzwerken. Sie wissen Dinge über Ihr Unternehmen, die Außenstehende normalerweise nicht wissen – den Namen Ihres Netzwerkadministrators, welche spezifischen Anwendungen Sie verwenden, welche Art von Netzwerkkonfiguration Sie haben, mit welchen Anbietern Sie zusammenarbeiten. Externe Cyber-Angreifer müssen in der Regel Fingerabdrücke von Ihrem Netzwerk nehmen, Informationen über Ihr Unternehmen recherchieren, sensible Daten von Ihren Mitarbeitern ausspionieren und sich böswilligen Zugriff auf jedes Benutzerkonto verschaffen, selbst auf solche mit den geringsten Rechten. Interne Angreifer haben also bereits Vorteile, die externen Angreifern fehlen.

Außerdem stammen einige Insider-Bedrohungen nicht von böswilligen Akteuren. Einige Insider-Bedrohungen sind rein zufällig. Vielleicht lässt ein Mitarbeiter versehentlich einen USB-Stick mit sensiblen Dokumenten im Waschraum eines Restaurants liegen oder er klickt auf einen bösartigen Hyperlink, der Web-Malware in Ihr Netzwerk einschleust. Laut der Studie „Cost of Insider Threats“ des Ponemon Institute vom April 2018 kosten Vorfälle mit Insider-Bedrohungen die 159 untersuchten Organisationen durchschnittlich 8,76 Millionen US-Dollar im Jahr. Bösartige Insider-Bedrohungen sind teurer als versehentliche Insider-Bedrohungen. Vorfälle, die durch fahrlässige Mitarbeiter oder Auftragnehmer verursacht werden, kosten durchschnittlich 283.281 US-Dollar pro Vorfall, während böswilliger Diebstahl von Insider-Anmeldeinformationen durchschnittlich 648.845 US-Dollar pro Vorfall kostet. Aber unterm Strich sind alle diese Vorfälle sehr teuer und müssen verhindert werden.

Vergleich von Cybersecurity-Bedrohungen und -Angriffen durch Insider vs. Outsider

Insider-Bedrohungen können also viel gefährlicher sein als Outsider-Bedrohungen. Was böswillige Angreifer betrifft, so haben Insider bereits autorisierten Zugriff auf Ihre Gebäude und Benutzerkonten. Ein außenstehender Angreifer muss sich einen externen Angriffsvektor in Ihre Netzwerke und physischen Einrichtungen suchen. Das sind Schritte, die Insider-Angreifer in der Regel überspringen können. Es ist viel einfacher, von einem bereits vorhandenen Benutzerkonto aus eine Privilegienerweiterung durchzuführen, als überhaupt in ein Benutzerkonto einzubrechen. Ein Sicherheitsbeamter wird eine unbekannte Person genau unter die Lupe nehmen, während er einem bekannten Mitarbeiter nur zuwinken wird.

Das Gleiche gilt für zufällige Vorfälle. Ich kenne keine sensiblen Informationen über Unternehmen, für die ich nie gearbeitet habe. Ein aktueller oder ehemaliger Mitarbeiter weiß es oft, und es kann sein, dass sie sozialisiert wurden.

Aufgrund des privilegierten Zugangs, den Insider bereits haben, können sie viel schwieriger zu erkennen und zu stoppen sein als Bedrohungen von außen. Wenn ein Mitarbeiter mit sensiblen Daten arbeitet, ist es sehr schwer zu erkennen, ob er etwas Böses tut oder nicht. Wenn sich ein Insider innerhalb Ihres Netzwerks böswillig verhält, kann er behaupten, es sei ein ehrlicher Fehler gewesen, und daher kann es schwierig sein, die Schuld zu beweisen. Insider-Bedrohungen können sehr viel schwieriger einzudämmen sein als Bedrohungen von außen. Laut der Studie „Cost of Insider Threats 2018“ des Ponemon Institute dauerte es durchschnittlich 73 Tage, um Insider-Vorfälle einzudämmen. Nur 16 % der Insider-Vorfälle wurden in weniger als 30 Tagen eingedämmt. Selbst wenn eine Bedrohung für Ihr Netzwerk 20 Tage dauern würde, stellen Sie sich vor, wie viel Schaden in dieser Zeit angerichtet werden könnte.

Lockheed Martin hat das Cyber Kill Chain Framework als Modell zur Identifizierung und Verhinderung von Cyber-Eingriffen entwickelt. Es ist ein exzellentes System, aber es ist am besten darauf ausgerichtet, Bedrohungen von außen zu erkennen. Zum Glück haben wir einen Weg gefunden, die Cyber Kill Chain aus der Perspektive der Insider-Bedrohungen zu implementieren. Probieren Sie es aus!

Insider-Bedrohungsindikatoren, auf die Sie achten sollten

Da Insider-Bedrohungen so viel schwieriger zu erkennen und einzudämmen sind, ist es wichtig zu wissen, auf welche Indikatoren Sie achten sollten.

Verärgerte Mitarbeiter werden manchmal zu böswilligen Insidern.

Am gefährlichsten sind diejenigen, die eine Kündigung erhalten haben. Sie beschließen vielleicht, dass sie nichts zu verlieren haben, weil sie keine Angst mehr haben, gefeuert zu werden. Je nach Art Ihres Unternehmens und der Arbeit, die Sie verrichten, könnte es eine gute Idee sein, dass sie in dem Moment, in dem sie wissen, dass sie gekündigt wurden, nicht mehr für Ihr Unternehmen arbeiten. Bringen Sie sie dazu, Ihnen alle physischen Schlüssel zu geben, die sie möglicherweise haben, und deaktivieren Sie ihre Benutzerkonten sofort. Es kann Ihr Unternehmen letztlich weniger Geld kosten, wenn Sie Ihrem gekündigten Mitarbeiter einfach die Abfindung auszahlen, als wenn Sie ihn dafür bezahlen, dass er noch ein paar Wochen weiterarbeitet. Aber wenn sie noch einige Zeit nach der Kündigung arbeiten müssen, sollten Sie sie besonders sorgfältig beobachten.

Verärgerte Mitarbeiter, die nicht gekündigt werden sollen, können ebenfalls eine Bedrohung darstellen. Zu den Anzeichen für verärgerte Mitarbeiter, die zu böswilligen Insidern werden könnten, gehören solche, die häufige Konflikte mit Vorgesetzten und Kollegen haben, und solche, die einen Leistungsabfall und allgemeine Unpünktlichkeit zeigen. Der Besuch von Websites mit Stellenangeboten ist ein weiteres deutliches Indiz für einen verärgerten Mitarbeiter.

Interessanterweise ist ein weiteres Indiz für einen Mitarbeiter oder Auftragnehmer, der ein böswilliger Insider sein könnte, wenn er ungewöhnlich begeistert von seiner Arbeit zu sein scheint. Sie melden sich vielleicht freiwillig für mehr Arbeit oder zusätzliche Aufgaben, nicht weil sie eine Gehaltserhöhung wollen, sondern weil sie ihren Zugang zu sensiblen Daten erweitern wollen. Ja, ich arbeite im Helpdesk, aber ich habe viel Erfahrung mit der Verwaltung von Netzwerken! Ich kann für den Netzwerkadministrator einspringen, wenn er sich eine Auszeit nimmt!

Häufige Reisen in andere Städte oder Länder können ein Zeichen für Industriespionage sein. Sie könnten sensible und geschützte Informationen an ein anderes Unternehmen weitergeben.

Ein weiterer wichtiger Indikator für Insider-Bedrohungen sind Mitarbeiter oder Angestellte, die signifikante, unerklärliche Veränderungen in ihren finanziellen Verhältnissen aufweisen. Warum fährt der Mitarbeiter, der 40.000 Dollar im Jahr verdient, auf einmal einen Bentley? Oder die Anzeichen können viel subtiler sein als das. So oder so könnte das zusätzliche Geld aus Industriespionage, Kryptomining-Malware oder dem Diebstahl von Geld von Firmenkonten stammen.

Insider-Attacken in der Cloud

Immer mehr Unternehmen haben Cloud-Netzwerke implementiert. Sie sind günstiger im Betrieb und ermöglichen es, das Netzwerk zu erweitern, ohne größere Räumlichkeiten anschaffen zu müssen, außerdem sind sie viel skalierbarer als On-Premises-Netzwerke. Aber Cloud-Netzwerke stellen einzigartige Herausforderungen für Insider-Bedrohungen dar.

Laut der Frühjahrsveröffentlichung Threatbusters: Bitglass‘ 2019 Insider Threat Report, sagen 41 % der Befragten, dass Assets, die in die Cloud migriert wurden, nicht auf anomale Aktivitäten überwacht werden. Das macht Insider-Angriffe in der Cloud schwieriger zu erkennen. Ihr Unternehmen hat in der Regel keinen physischen Zugang zu Ihren Cloud-Netzwerken und es kann einige Zeit dauern, bis Sie sich mit der Implementierung der Sicherheitskontrollen Ihres Cloud-Anbieters vertraut gemacht haben. Es ist also leicht zu verstehen, warum das so ist.

Ihre Cloud-Umgebung hat Schnittstellen zu all Ihren Infrastruktur-Stacks und Anwendungen, daher ist es sehr wichtig, auf mögliche Insider-Bedrohungen zu achten, die dort existieren.

Um Insider-Bedrohungen in Ihrer Cloud zu verhindern, müssen Sie sicherstellen, dass sie für optimale Sicherheit richtig konfiguriert ist. Secure-by-default-Landing-Zones können verhindern, dass sich in Entwicklungs-, Staging- und Produktionsumgebungen neue Angriffsflächen auftun. Außerdem müssen Sie ein Identitäts-Zugriffsmanagement implementieren, das gut für die Cloud geeignet ist. Das Prinzip der geringsten Privilegien kann für den Schutz von Cloud-Netzwerken ebenso nützlich sein wie für lokale Netzwerke. Kein Benutzer sollte mehr Privilegien haben, als er unbedingt braucht, um seine Arbeit zu erledigen.

Fazit: Unterschätzen Sie nicht die Bedeutung von Insider-Bedrohungen

Es ist klar, dass Insider-Bedrohungen und -Angriffe ein erhebliches Problem für die Netzwerke Ihres Unternehmens darstellen, unabhängig von Ihrer Branche oder Netzwerkkonfiguration. Richtiges und häufiges Training ist der Schlüssel zur Eindämmung von Insider-Bedrohungen. Die Mitarbeiter in Ihrem Unternehmen sollten über Anzeichen von Insider-Bedrohungen Bescheid wissen und darauf achten. Um versehentlichen Bedrohungen vorzubeugen, sollten Benutzer darin geschult werden, sich gegen Social Engineering zu wappnen und besonders vorsichtig im Umgang mit sensiblen Daten zu sein. Menschen lernen am besten, wenn die Schulungen häufig und konsequent durchgeführt werden. Daher sollten Schulungen mindestens zwei- oder dreimal pro Jahr stattfinden, anstatt nur einmal.

Bewusstsein und Wachsamkeit sind von größter Bedeutung. Unternehmen unterschätzen oft das Risiko von Insider-Bedrohungen. Wissen ist Macht!