Eine Insider-Bedrohung ist ein Sicherheitsrisiko, das innerhalb einer Organisation entsteht und von Mitarbeitern, ehemaligen Mitarbeitern und Dritten ausgelöst wird. Eine Insider-Bedrohung wird zwar häufig mit böswilligen Absichten in Verbindung gebracht, kann aber auch aus Unfällen resultieren. Sie bezieht sich in der Regel auf Cyber-Ereignisse, die dazu führen, dass legitime Benutzerzugriffsrechte genutzt werden, um unbefugt Zugriff auf sensible Daten, Netzwerke und Systeme zu erhalten.
Ein Insider ist „jede Person, die autorisierten Zugang zu den Ressourcen eines Unternehmens hat oder hatte, einschließlich Personal, Einrichtungen, Informationen, Ausrüstung, Netzwerke und Systemen.“
-Cybersecurity & Infrastructure Security Agency (CISA)
Eine Insider-Bedrohung mit böswilligen Absichten zielt meist auf finanziellen Gewinn ab. Ihr Ziel ist eine Datenschutzverletzung, ein Betrug oder ein Ransomware-Angriff. Einige böswillige Insider-Bedrohungen zielen jedoch darauf ab, das Unternehmen aus terroristischen oder Rachegründen zu stören.
Eine versehentliche bzw. unbeabsichtigte Insider-Bedrohung kann auf viele Arten ausgelöst werden, z. B. durch das Anklicken eines Phishing-Links oder durch Social-Engineering. Auch unschuldige Benutzer können zu einer Insider-Bedrohung werden, indem sie versehentlich auf sensible Daten zugreifen, ohne dazu berechtigt zu sein, oder sie per E-Mail verbreiten.
Arten von Insider-Bedrohungen
Eine Insider-Bedrohung wird in der Regel als böswillig oder versehentlich einstuft. Ein böswilliger Insider ist eine Person (z. B. ein Angestellter oder ein Dritter), die ihre Zugriffsrechte nutzt, um ein Unternehmen zu bestehlen oder ihm Schaden zuzufügen. Diese Art von Insider-Bedrohung wird auch als vorsätzliche Insider-Bedrohung bezeichnet, da Mitarbeiter Unternehmensdaten stehlen, um sie an Hacker, Drittorganisationen oder konkurrierende Unternehmen zu verkaufen. Eine versehentliche Insider-Bedrohung kann auf viele Arten entstehen, z. B. durch laxe Sicherheitsrichtlinien des Unternehmens, mangelnde Mitarbeiterschulung und unvorsichtige Teammitglieder.
Innerhalb dieser beiden Kategorien sind mehrere Unterkategorien zu beachten, darunter folgende:
Ausscheidende Mitarbeiter
Wenn ein Mitarbeiter ein Unternehmen freiwillig oder unfreiwillig verlässt, wird er oft zur Insider-Bedrohung. Manchmal geschieht dies versehentlich, da ein Mitarbeiter unbeabsichtigt interne Informationen mitnimmt. In anderen Fällen handelt es sich um böswillige Handlungen, bei denen ausscheidende Mitarbeiter Informationen zur persönlichen Bereicherung stehlen (z. B. Geschäftsgeheimnisse, Kundenlisten) oder sensible Daten aus Rache preisgeben.
Insider-Agenten
Spionage zielen auf Unternehmen ab und nehmen Positionen als Mitarbeiter oder Dritte ein, um Zugang zu sensiblen Daten und Informationen zu erhalten. Insider-Agenten arbeiten oft im Auftrag einer externen Gruppe.
Ehemalige Mitarbeiter
Ehemalige Mitarbeiter können in Unternehmen mit laxen Entlassungsprozessen weiterhin Zugang zu Systemen haben. Einige ehemalige Mitarbeiter werden zu einer Insider-Bedrohung, indem sie ihren Zugang nutzen, um Schaden anzurichten oder Daten zu stehlen, oder indem sie ihren Zugang an böswillige Personen oder Gruppen weitergeben.
Maulwürfe
Maulwürfe sind eine externe Bedrohung, da sie autorisierte Mitarbeiter oder Dritte manipulieren, um Zugang zu Systemen und Daten zu erhalten. Maulwürfe wenden in der Regel Social-Engineering-Taktiken an.
Sicherheitsumgehungen
Eine hybride Insider-Bedrohung: Sicherheitsumgehungen gefährden Unternehmen, indem sie vorsätzlich und manchmal böswillig Sicherheitsvorkehrungen ignorieren, umgehen oder außer Kraft setzen.
Dritte, die keine Mitarbeiter sind
Auch wenn es sich nicht um Mitarbeiter handelt, können Dritte, die keine Mitarbeiter sind, eine Insider-Bedrohung darstellen. Bei einem Nicht-Mitarbeiter handelt es sich um einen Partner, Auftragnehmer, Verkäufer, eine Tochtergesellschaft, einen externen Mitarbeiter, einen Freiwilligen, einen Studenten oder einen Dienstleister mit Zugriff auf die Systeme, Daten und Apps eines Unternehmens.
Das Risiko durch Dritte kann genauso bedrohlich oder in einigen Fällen sogar noch bedrohlicher sein als andere Insider-Bedrohungen, da viele Dritte nicht über dasselbe Maß an Sicherheitsmaßnahmen verfügen wie die Unternehmen, die sie beauftragen.
Unbeabsichtigte Insider
Eine unbeabsichtigte Insider-Bedrohung, die auch als fahrlässige Insider-Bedrohung bezeichnet wird, wird meist als gefährlicher eingestuft als eine böswillige Insider-Bedrohung, da die Person oft nicht weiß, dass sie kompromittiert wurde. Dies kann auf verschiedene Weise geschehen, z. B. wenn ein Benutzer:
- ein unverschlüsseltes Arbeitsgerät unbeaufsichtigt lässt
- unsichere Kommunikationskanäle verwendet
- auf einen Phishing-Betrug hereinfällt
- auf Social-Engineering-Taktiken hereinfällt
Eine Insider-Bedrohung ist zwar ernst zu nehmen, lässt sich aber leichter bekämpfen als andere Cyberbedrohungen, da das Risiko durch bewährte Sicherheitsmaßnahmen erheblich reduziert werden kann.
Erkennen einer Insider-Bedrohung
Obwohl sie in der Regel unbemerkt bleiben, gibt es mehrere Cyber-Warnsignale, die auf eine Insider-Bedrohung hindeuten können. Wenn Sie verstehen, wie eine Insider-Bedrohung entstehen kann, und Verhaltensmuster und Aktivitäten erkennen, die auf eine Bedrohung hindeuten, können Sie sensible Daten, Netzwerke und Systeme proaktiv schützen.
So entsteht eine Insider-Bedrohung
Eine Insider-Bedrohung tritt auf, wenn legitime Anmeldedaten verwendet werden, um „autorisierten“ Zugang zu den Systemen, Daten oder Netzwerken eines Unternehmens zu erhalten. Egal, ob versehentlich oder böswillig: eine Insider-Bedrohung umfasst den Missbrauch von Benutzerdaten zum Nachteil eines Unternehmens.
Verhaltensmuster von Insider-Bedrohungen
Eine Insider-Bedrohung kann oft aufgrund von Warnzeichen im Verhalten erkannt werden. In vielen Fällen können Verhaltensänderungen eines Benutzers oder ungewöhnliche Verhaltensweisen ein Hinweis auf eine Bedrohung sein. Auch wenn ein einzelner Vorfall nicht unbedingt auf eine Bedrohung hindeutet, sollte eine Person als potenzielle Insider-Bedrohung betrachtet werden, wenn mehrere Faktoren zutreffen.
- Zugriff auf Informationen, die nicht mit ihrer Arbeit zusammenhängen
- Versuche, die Sicherheitsprotokolle zu umgehen
- Plötzliche Käufe von Luxusgütern (z. B. Urlaub, Schmuck, Auto, Haus)
- Konflikte mit Kollegen
- Kopieren von Daten auf persönliche Geräte
- Eröffnung von nicht autorisierten Konten
- Verärgertes Verhalten gegenüber Arbeitskollegen
- Herunterladen ungewöhnlich großer Datenmengen
- Interesse an sensiblen Projekten, die nichts mit ihrer Arbeit zu tun haben
- Häufige Krankenstände
- Häufige Verstöße gegen Datenschutz- und Compliance-Regeln
- Häufige Besuche im Büro außerhalb der normalen Arbeitszeiten
- Erhöhter Stresspegel
- Unzufriedenheit am Arbeitsplatz
- Mangelndes Interesse an arbeitsbezogenen Projekten und Aufträgen
- Anmeldungen im Netzwerk zu ungewöhnlichen Zeiten
- Schlechte Bewertungen in Leistungsberichten
- Missbräuchliche Verwendung von Reisen und Spesen
- Plötzliche Änderungen des Lebensstils
- Diskussionen über neue Arbeitsstellen oder Gedanken an eine Kündigung
- Verstöße gegen die Unternehmensrichtlinien
Hinweise auf Insider-Bedrohungen
Weitere Anzeichen für eine Insider-Bedrohung durch einen Benutzer sind die Verwendung von Tools zu folgendem Zweck:
- Zugriff auf oder Herunterladen von großen Datenmengen
- Änderung der Passwörter von nicht autorisierten Konten
- Umgehen von Zugangskontrollen
- Verbindung von externe Technologien oder persönlichen Geräten mit den Systemen des Unternehmens
- Horten von Daten oder Kopieren von Dateien aus sensiblen Ordnern
- Demontieren, Ausschalten oder Vernachlässigen von Sicherheitskontrollen (z. B. Verschlüsselung, Antivirenprogramme, Firewall-Einstellungen)
- Versand von sensiblen Daten per E-Mail außerhalb des Unternehmens
- Zugriff auf Daten oder Apps, die nicht mit der Rolle oder den Verantwortlichkeiten der betreffenden Person in Verbindung stehen
- Installation von Hardware oder Software, um aus der Ferne auf die Systeme des Unternehmens zuzugreifen
- Installation von nicht autorisierter Software oder Malware
- Verschieben von Unternehmensdaten in persönliche Versionen der genehmigten Apps
- Durchsuchen von Netzwerken und andere Suchen nach sensiblen Daten
- Aufhebung von Sperren bei Versuchen, Daten zu exfiltrieren
- Eskalieren der Zugangsberechtigungen
- Umbenennen von Dateien, damit die Dateierweiterung nicht mit dem Inhalt übereinstimmt
- Suchen und Scannen nach Sicherheitslücken
- Versenden von Anhängen über einen nicht genehmigten verschlüsselten E-Mail-Dienst
- Übertragung von Daten außerhalb des Unternehmens
- Verwendung nicht autorisierter Speichergeräte (z. B. USB-Laufwerke, externe Festplatten)
Beispiele für Insider-Bedrohungen
Ein kompromittierter Mitarbeiter
Hacker hackten mit Hilfe einer telefonischen Spear-Phishing-Kampagne mehrere hochkarätige Twitter-Konten und verschafften sich Zugang zu Support-Tools, mit denen sie mehr als 100 Twitter-Konten knacken konnten.
Ein ausscheidender Mitarbeiter
In diesem Beispiel für eine Insider-Bedrohung stahl ein Mitarbeiter firmeneigene Produktinformationen, nachdem er ein Jobangebot von der Konkurrenz erhalten hatte. Der Mitarbeiter lud mehr als eine halbe Million Seiten des geistigen Eigentums seines Arbeitgebers auf persönliche Geräte herunter, da er wusste, dass die Informationen für den neuen Job hilfreich sein würden.
Ein Mitarbeiterfehler
Ein unschuldiger städtischer Angestellter löschte mehr als 20 TB (Terabytes) Daten. Unter den zerstörten Dateien befanden sich mehr als 10 TB Videos, Fotos und Fallunterlagen.
Ein ehemaliger Mitarbeiter
Ein ehemaliger Mitarbeiter wurde zur Insider-Bedrohung, als er aus Enttäuschung über seinen Arbeitgeber ein geheimes Konto nutzte, das er während seiner Beschäftigung eingerichtet hatte. Über dieses griff er auf das Versandsystem des Unternehmens zu und löschte Versanddaten, wodurch sich wichtige Produktlieferungen verzögerten.
Ein die Sicherheitsmaßnahmen missachtender Mitarbeiter
Ein Mitarbeiter schickte eine vertrauliche Tabelle per E-Mail an seine Frau und bat sie um Hilfe bei der Lösung eines Formatierungsproblems. Die Tabelle enthielt in verborgenen Spalten zehntausende persönliche Daten der Mitarbeiter. Die Umgehung von Sicherheitsprotokollen und der Versand der Tabelle an ein ungesichertes Gerät an eine Nicht-Mitarbeiterin führte dazu, dass Identifikationsnummern, Geburtsorte und Sozialversicherungsnummern der Mitarbeiter kompromittiert wurden.
Ein gekündigter Mitarbeiter
Dieses Beispiel für eine Insider-Bedrohung ereignete sich, als ein gekündigter Mitarbeiter vertrauliche Vertriebsdaten stahl, indem er die Schutzmaßnahmen vor Datenverlust (DLP) umging und wichtige Dokumente auf ein USB-Laufwerk herunterlud und weitergab.
Ein Dritter, der kein Mitarbeiter ist
Cyberangreifer nutzten die Anmeldedaten der Mitarbeiter von Dritten, um eine App zu hacken, die von Tausenden Unternehmen genutzt wird. Die Angreifer stahlen Millionen von Datensätzen mit personenbezogenen Daten, was zu einer Geldstrafe von fast 20 Millionen Dollar führte.
So schützen Sie Ihr Unternehmen vor Insider-Bedrohungen
Obgleich es keine Möglichkeit gibt, das Risiko einer Insider-Bedrohung zu eliminieren, können Schritte zu seiner Eliminierung unternehmen. Zur Bekämpfung von Insider-Bedrohungen:
- Bedenken Sie, dass diese ein von Menschen verursachtes Problem sind
- Halten Sie Sicherheitslösungen und -abläufe auf dem aktuellen Stand
- Seien Sie sich darüber im Klaren, wo sich sensible Daten und Ressourcen befinden und wer Zugang dazu hat
- Achten Sie darauf, welche Zugriffe Sie Nicht-Mitarbeitern gewähren
- Überwachen Sie fortlaufend die Benutzer- und Netzwerkaktivitäten
- Ergreifen Sie sofort Maßnahmen, wenn ein Sicherheitsvorfall festgestellt wird
- Stellen Sie sicher, dass Sie detaillierte Einblicke in alle Systemaktivitäten haben
- Stellen Sie Systeme so ein, dass bei anormalen Aktivitäten Warnungen ausgelöst werden.
- Untersuchen Sie die Ursache von Sicherheitsvorfällen.
- Legen Sie Regeln für normales Benutzerverhalten fest.
- Segmentieren Sie Netzwerke, um Vorfälle einzudämmen.
- Setzen Sie das Prinzip der geringsten Privilegien durch.
- Verwenden Sie virtuelle private Netzwerke (VPNs), um Daten zu verschlüsseln und es Benutzern zu ermöglichen, ihre Browsing-Aktivitäten zu anonymisieren.
- Entwickeln Sie robuste Sicherheitsrichtlinien und -programme und setzen Sie diese durch.
Welche Unternehmen sehen sich mit Insider-Bedrohungen konfrontiert?
Insider-Bedrohungen gefährden Unternehmen aller Art, da die Motive der Täter im Falle von böswilligen Insidern sehr vielfältig sind und jeder Mitarbeiter jedes Unternehmens versehentlich zum Insider werden kann. Am anfälligsten für Angriffe auf Daten sind jedoch diejenigen, die sensible Daten sammeln und speichern.
Zu den Daten, auf die Insider-Bedrohungen häufig abzielen, gehören:
- Steuerdaten
- Sensible Regierungsdaten
- Geistiges Eigentum
- Kreditkartendaten
- Personenbezogene Daten
- Geschützte Gesundheitsdaten
- Studentendaten und Ausbildungsunterlagen, die durch den Family Educational Rights and Privacy Act (FERPA) geschützt sind
Häufig gestellte Fragen über Insider-Bedrohungen
Wie können Insider-Bedrohungen verhindert werden?
Auch wenn es keine Garantie dafür gibt, dass Insider-Bedrohungen verhindert werden können, so können sie doch reduziert werden. Dies ist durch die kontinuierliche Überwachung der physischen und digitalen Aktivitäten und des Verhaltens der Benutzer, der Netzwerkaktivitäten und der Systemprotokolle sowie durch regelmäßige Sicherheitsschulungen möglich.
Welche Risiken sind mit Insider-Bedrohungen verbunden?
Die Liste der Risiken, die von Insider-Bedrohungen ausgehen, ist lang. Zu den am häufigsten genannten Risiken gehören Datenbeschädigung, Datendiebstahl, Finanzbetrug und Ransomware-Angriffe.
Woher kommen Insider-Bedrohungen?
Eine Insider-Bedrohung geht von einem Benutzer aus, der legitimen Zugang zu den Ressourcen eines Unternehmens hat:
- Ein böswilliger Mitarbeiter, der seinen Zugang nutzt, um sensible Daten zu stehlen.
- Ein fahrlässiger Dritter, der die Sicherheit gefährdet, da er bewährte Sicherheitsmaßnahmen nicht befolgt.
- An employee or third-party non-employee who
- einen Computer und/oder einen Netzwerkzugang erhalten hat
- mit einem Ausweis oder Zugangsgerät ausgestattet wurde
- privilegierten Zugang zu sensiblen Daten und Ressourcen hat
- die Abläufe eines Unternehmens kennt
- unbeabsichtigt oder vorsätzlich die Cybersicherheitsmaßnahmen missachtet
- Ein Mitarbeiter, der entlassen wurde oder gekündigt hat, aber aktive Anmeldedaten oder aktivierte Profile behält und verwendet.
- Jeder, der die Grundlagen des Unternehmens kennt, einschließlich der Preisgestaltung, der Zukunftspläne, der Produktentwicklung sowie der Stärken und Schwächen des Unternehmens.
Welche drei Kategorien von Insider-Bedrohungen gibt es?
- Kompromittiert – Ein Cyberkrimineller nutzt die von einem rechtmäßigen Mitarbeiter gestohlenen Anmeldedaten und gibt sich als autorisierter Benutzer aus, um sensible Daten zu stehlen – oft ohne das Wissen des Benutzers.
- Fahrlässig – Ein rechtmäßiger Mitarbeiter missbraucht versehentlich vertrauliche Informationen oder gibt sie preis, was oft durch Social Engineering, verlorene oder gestohlene Geräte oder den unberechtigten Versand von E-Mails oder Dateien passiert.
- Böswillig – Ein autorisierter Benutzer (z. B. ein aktueller oder ehemaliger Mitarbeiter, ein Dritter oder ein Partner) missbraucht vorsätzlich einen privilegierten Zugang, um sensible Daten für Betrug, Sabotage, Lösegeld oder Erpressung zu stehlen.
Welche zwei Arten von Insider-Bedrohungen gibt es?
Zu den Insider-Bedrohungen gehören Pawns (Bauernfiguren) und Turncloaks (Abtrünnige). Pawns sind Mitarbeiter, die durch einen Trick dazu gebracht werden, einen Cyberangriff zu unterstützen (z. B. indem sie auf Social Engineering hereinfallen und ihre Anmeldedaten preisgeben oder indem sie zum Herunterladen von Malware verleitet werden).
In der Regel handelt es sich bei Turncloaks um Mitarbeiter, die ihren Arbeitgeber absichtlich ausnutzen, um Gewinne zu machen oder dem Unternehmen zu schaden. In einigen Fällen sind Turncloaks nicht böswillig, wie z. B. im Fall eines Whistleblowers.
Heimliche Insider-Bedrohungen bekämpfen
Unternehmen geben sehr viel Geld für die Bekämpfung von externen Bedrohungen aus. Auch wenn diese ein ernstes Problem darstellen, darf die heimliche Bedrohung durch Insider nicht übersehen werden. Eine Insider-Bedrohung, die sich oft im Verborgenen abspielt, kann genauso viel oder sogar mehr Schaden anrichten als eine externe Bedrohung.
Die gute Nachricht ist, dass eine Insider-Bedrohung in den meisten Fällen leichter zu erkennen und zu stoppen ist als eine externe Bedrohung. Mit der richtigen Überwachung und Schulung können Insider-Bedrohungen eingedämmt werden. In den meisten Fällen können viele der Tools, die zur Bekämpfung von externen Bedrohungen eingesetzt werden, auch dazu verwendet werden, eine Insider-Bedrohung zu stoppen, bevor es zu einem Vorfall kommt.
Das könnte Sie auch interessieren:
Lösen Sie Ihre größten Sicherheitsherausforderungen
Erfahren Sie mehr über die Identitätssicherheit mit SailPoint.