|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Insider-Bedrohungen – Gefahr von innen

30. Juli 2020

Insider-Bedrohungen bezeichnen das Risiko, das von Mitarbeitern oder Auftragnehmern mit legitimem Zugriff auf das Unternehmensnetzwerk ausgeht. Gemeint sind jedoch nicht nur vorsätzliche Datendiebstähle durch verärgerte oder kurz vor der Entlassung stehende Mitarbeiter. Überall wo Menschen arbeiten, passieren Fehler. Unbeabsichtigte Fehler, die dennoch große Schäden zur Folge haben können. Der Global Report Cost of Insider Threats 2020 beziffert die Vorfälle, die das Ergebnis eines unvorsichtigen Arbeitnehmers oder Auftragnehmers waren, auf 60 Prozent. Lediglich 23 Prozent der Vorfälle wurden durch böswillige Insider verursacht. Bei 14 Prozent der Vorfälle mit Insider-Beteiligung waren Cyberkriminelle am Diebstahl von Zugangsdaten beteiligt.

Die Studie des Ponemon Instituts zeigt auch: Die entstehenden Schäden nehmen mit der Dauer bis zur Erkennung des Vorfalls zu. Vorkommnisse, bei deren Behebung mehr als 90 Tage ins Land gingen, verursachten im Jahresdurchschnitt Schäden in Höhe von 13,71 Millionen Dollar. Dauerte die Behebung weniger als 30 Tage, waren es lediglich 7,12 Millionen Dollar. Angesichts der durchschnittlich 77 Tage bis zur Behebung der Insider-Zwischenfälle bestehen hier enorme Potenziale zur Schadensreduktion. Je früher Bedrohungen erkannt werden, desto mehr Zeit haben Verantwortliche, zu reagieren und Schäden zu beheben.  

Die Exfiltration, also der nicht autorisierte Datentransfer sensibler oder vertraulicher Daten über E-Mail, ist aktuell einer der Hauptangriffsvektoren im Zusammenhang mit Insider-Bedrohungen, knapp gefolgt von der Datenverbreitung via Cloud-Dienste. Unabhängig davon, wie sensible Informationen das Unternehmen verlassen: Mögliche Regressforderungen und Reputationsschäden treffen die Opfer meist empfindlich. Dem Report zufolge steigen die Gesamtkosten für Insider-Bedrohungen an. Beliefen sie sich für 2018 noch auf rund 8,8 Millionen Dollar, waren es 2019 bereits rund 11,5 Millionen. Allein die Zahl der Vorfälle ist seither insgesamt um 47 % gestiegen.

Die Gefahr nimmt zu

Der Handlungsdruck steigt, auch weil die Corona-Pandemie die Situation verschärft. Deutlich mehr Insider befinden sich im Homeoffice, oft jenseits der Netzwerkgrenzen. Nutzerverhalten und Vorgänge im Netzwerk sind dadurch noch schwieriger zu kontrollieren. Zusätzlich haben die Unternehmen zum Teil auch Schutz- und Kontrollmechanismen gelockert, um die Produktivität aufrechtzuerhalten. Eine zusätzliche Gefahr geht von Mitarbeitern aus, die – nicht einmal aus böser Absicht – so einfach wie möglich auf Daten zugreifen, mit ihnen arbeiten und sie abspeichern wollen und dabei wichtige Sicherheitsvorgaben außer Acht lassen.

Effektiver Schutz ist einfach

Dabei können sich Unternehmen auch vor Insider-Bedrohungen schützen – sie müssen es nur tun:

• VPN-Richtlinien überprüfen

Damit sichergestellt bleibt, dass wirklich alle Verbindungen Ihrer im Homeoffice befindlichen Mitarbeiter über die gesicherten Netzwerkverbindungen des Unternehmens stattfinden, sollte beispielsweise Split-Tunneling deaktiviert sein. VPN-Serverprotokolle sollten nur Benutzern bereitgestellt werden, die zwingend Zugriff auf vertrauliche Informationen haben müssen.

• 2- bzw. Multi-Faktor-Authentifizierung verwenden

Zusätzlichen Schutz bietet eine 2- bzw. Multi-Faktor-Authentifizierung. Gerade weil sich die Homeoffice-Geräte außerhalb der Netzwerkgrenzen befinden, sollte die Identität von Nutzern hier mehrfach überprüft werden.

Auch die Gewährung privilegierter Rechte, z. B. für Installationen, sollte nur stark eingeschränkt erfolgen. Zum einen sollten sie immer nur auf das jeweilige System beschränkt sein und durch Generierung von Einmal-Passwörtern mit Ablaufdatum zusätzlich zeitlich eingeschränkt werden.

• Mitarbeitersensibilisierung (Awareness)

Sensibilisieren und schulen Sie Ihre Mitarbeiter. Technische Schutzverfahren sind wichtig, können aber immer nur Teil einer umfassenden Strategie sein. Mindestens genauso wichtig sind Mitarbeiter, die Gefahren kennen, die beispielsweise von E-Mail-Anhängen, Hyperlinks oder der Mehrfachverwendung von Passwörtern ausgehen.

• Technologie zur Erkennung von Verhaltensanomalien

Die missbräuchliche Verwendung von Zugriffsberechtigungen oder der Diebstahl sensibler Daten können frühzeitig erkannt und Schäden dadurch abgewehrt werden. Voraussetzung dafür ist der Einsatz von Technologien, die sämtliche Vorgänge in der gesamten IT-Infrastruktur rund um die Uhr überwachen und analysieren. Durch Alarmierung von Vorgängen, die vom gewohnten Nutzer- und Netzwerkverhalten abweichen, werden frühzeitige Reaktionen ermöglicht. Maschine-Learning-Einsatz macht zudem automatisierte Analysen für noch schnellere Reaktionen möglich.

Bild (c) leowolfert / AdobeStock

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Karriere
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen