Was ist eine Insider-Bedrohung? Wie man sie erkennt und verhindert

Mit jedem Tag werden wir abhängiger von Apps und Geräten, um unser Leben sowohl innerhalb als auch außerhalb der Arbeit zu verwalten.

Deshalb sind Daten überall, und es gibt viele Lücken, durch die sie durchsickern können, und jeder kann sie missbrauchen. Wir sind darauf konditioniert zu denken, dass Datenlecks von Fremden kommen, die in unsere Systeme eindringen, aber das ist nicht immer der Fall.

Manchmal kommen die bösartigsten Cyberangriffe auf unsere Daten von innen in Form einer Insider-Bedrohung. Unternehmen verwenden Tools wie Security Information and Event Management (SIEM) Software, um Benutzeraktivitäten zu überwachen, und Multi-Faktor-Authentifizierungstools, um die Kontosicherheit zu stärken und Insider-Angriffe zu verhindern.

Diese Art von Angriff muss nicht unbedingt von einem aktuellen Mitarbeiter oder Stakeholder ausgehen. Er kann von einem ehemaligen Arbeitgeber, Vorstandsmitglied oder jeder Person kommen, die Zugang zu vertraulichen und privaten Informationen einer Organisation hatte.

Insider-Bedrohungen treten auf, wenn jemand, der einer Organisation nahe steht, autorisierten Zugang hat und diesen missbraucht, um kritische Informationen oder Systeme negativ zu beeinflussen.

Arten von Insider-Bedrohungen

Es gibt drei Haupttypen, auf die man bei Insider-Bedrohungen achten sollte.

Bösartig

Eine bösartige Insider-Bedrohung geht von jemandem aus, der absichtlich versucht, einer Organisation zu schaden. Die Ziele sind typischerweise Spionage, Betrug und Diebstahl von geistigem Eigentum.

Ein Beispiel dafür wäre ein unzufriedener Mitarbeiter, der die Absicht hat, Informationen zu stehlen, nachdem er gekündigt hat oder entlassen wurde. Es gibt auch eine Art von Insider-Bedrohung, die als Logikbombe bezeichnet wird. Sie tritt auf, wenn ehemalige Mitarbeiter bösartige Software auf Computersystemen installieren.

Unbeabsichtigt

Eine unbeabsichtigte Insider-Bedrohung entsteht durch menschliches Versagen oder schlechtes Urteilsvermögen. Dazu gehört alles, von der Öffnung einer Phishing-E-Mail, die Malware auslöst, über die Beteiligung an Shadow IT bis hin zur unbeabsichtigten Unterstützung des Bedrohungsakteurs.

Im Jahr 2020 ergab eine Studie von Verizon, dass 2% der Mitarbeiter, die in einer Phishing-Kampagne ins Visier genommen wurden, auf bösartige Links klicken.

Maulwurf

Ein Maulwurf ist ein Außenstehender, der Zugang zum Netzwerk einer Organisation hat. Dies kann jeder sein, der sich als Mitarbeiter, Auftragnehmer oder Partner ausgibt.

Einige Unternehmen nutzen Multi-Faktor-Authentifizierung, um Maulwürfe bis zu einem gewissen Grad einzuschränken, indem sie Benutzerkonten schützen.

Wie man Insider-Bedrohungen erkennt

Insider-Bedrohungen sind schwieriger zu identifizieren und zu blockieren als andere Angriffe. Selbst wenn Sie Security Information and Event Management (SIEM) Software verwenden, wird ein ehemaliger Mitarbeiter, der seine Anmeldedaten verwendet, um Ihr System zu hacken, nicht die gleichen Alarme auslösen wie ein hochrangiger Hacker, der Ihr Netzwerk übernimmt.

Der beste Weg, um Insider-Bedrohungen zu stoppen, besteht darin, alle Benutzeraktivitäten kontinuierlich zu überwachen und Maßnahmen zu ergreifen, wenn Vorfälle auftreten. Sie können Threat Intelligence Software implementieren, die modernste Tools und Methoden verwendet, um Cyber-Bedrohungen zu identifizieren.

Was sind einige potenzielle Indikatoren für Insider-Bedrohungen?

Es ist wichtig, sich der Warnzeichen einer potenziellen Insider-Bedrohung bewusst zu sein.

• Diebstahl und Korruption: Beobachten Sie, ob die Benutzeraktivität Ihrer Mitarbeiter von der Norm abweicht. Vielleicht haben sie zum ersten Mal seit langer Zeit oder von einem neuen Standort aus auf ein Konto zugegriffen.
• Schädliche Fehler: Dies ist der Fall, wenn Ihre Mitarbeiter unvorsichtig handeln. Es umfasst alles, von der Nutzung persönlicher Konten auf Unternehmensservern, dem Teilen von Anmeldedaten für ein VPN bis hin zum Abrufen von E-Mails über einen Drittanbieter.
• Neue Öffnungen für Außenstehende: Dies sind Anzeichen dafür, dass ein Cyberkrimineller bereits in eine Organisation eingedrungen ist. Achten Sie auf eine erhöhte Anzahl von Datenübertragungen, eine höhere als erwartete Anzahl von Anmeldungen, Versuche, Berechtigungen und Anmeldedaten auf einem bestehenden Konto zu ändern, oder das Eröffnen vieler neuer Konten.

Wie man Insider-Bedrohungen verhindert

Organisationen können Richtlinien und Verfahren festlegen, um Insider-Bedrohungen zu mindern und Schäden zu kontrollieren, falls ein unglücklicher Vorfall eintritt. Im Folgenden sind einige bewährte Praktiken aufgeführt, die Ihnen helfen, sich vor Insider-Bedrohungen zu schützen.

Dokumentieren und durchsetzen von Richtlinien und Kontrollen

Erstellen Sie Richtlinien darüber, wie Mitarbeiter mit der IT-Umgebung einer Organisation interagieren, und setzen Sie diese durch.

Im Folgenden sind einige Standardrichtlinien aufgeführt, die Unternehmen einführen sollten.

• Datenschutzbestimmungen
• Drittanbieter-Zugangsrichtlinie
• Passwortverwaltungsrichtlinie
• Benutzerüberwachungsrichtlinie
• Kontoverwaltungsrichtlinie
• Vorfallreaktionsrichtlinie

Stellen Sie sicher, dass Ihre Rechtsabteilung diese Richtlinien überprüft und dass Ihr Erfolgsteam oder Ihre IT-Abteilung sie effektiv an alle in der Organisation kommuniziert.

Führen Sie eine organisationsweite Risikobewertung durch

Eine organisationsweite Risikobewertung hilft Ihnen, kritische Vermögenswerte, Schwachstellen und damit verbundene Risiken zu identifizieren. Sie können Prioritäten für Minderungsmaßnahmen setzen und Ihre IT-Infrastruktur gegen jeden Cyberangriff oder Insider-Bedrohung stärken, basierend auf der Art der Risiken.

Sie können IT-Risikomanagement-Software verwenden, um Geschäftsdaten gegen alle mit Software und Hardware verbundenen Risiken zu schützen.

Implementieren Sie strenge Konten- und Zugangsmanagementpraktiken

Benutzer sollten herausgefordert werden, ihre Identität nicht nur durch Eingabe von Passwörtern, sondern auf mehrere andere Arten zu beweisen. Sie können Multi-Faktor-Authentifizierungssoftware einführen, um mehr Herausforderungen zu schaffen. Diese Software würde von Benutzern verlangen, sich durch mehrere Mechanismen wie biometrische Authentifizierung oder durch Eingabe von Einmalpasswörtern (OTP) zu authentifizieren, um ihre Identität zu beweisen.

Finden Sie riskante Akteure und reagieren Sie umgehend auf verdächtige Aktivitäten

Behalten Sie die Sicherheitssysteme genau im Auge und reagieren Sie auf verdächtige Aktivitäten gemäß Ihrem Vorfallreaktionsplan. Es ist wichtig, den Fernzugriff auf Systeme zu überwachen und zu kontrollieren und sicherzustellen, dass Sie über mehrere Kanäle benachrichtigt werden, wenn verdächtige Aktivitäten erkannt werden.

Erwägen Sie die Verwendung von Benutzer- und Entitätsverhaltensanalysesoftware (UEBA), um Muster zu identifizieren, Benutzer- oder Maschinenverhalten zu überwachen und Stakeholder im Falle von abnormalen Aktivitäten zu benachrichtigen.

Reale Beispiele für Insider-Bedrohungen

Für alle True-Crime-Enthusiasten da draußen, werfen wir einen Blick auf einige Insider-Bedrohungsbeispiele und die Unternehmen, die den Preis dafür bezahlt haben.

General Electric: Mitarbeiter stiehlt wertvolle Daten und Geschäftsgeheimnisse

Im Juli 2020 wurden Details aus einem acht Jahre langen Insider-Job bei General Electric (GE) bekannt. Der Betrug sah vor, dass der Mitarbeiter Jean Patrice Delia wertvolle proprietäre Daten und Geschäftsgeheimnisse stahl, um diese Informationen zu nutzen, um ein konkurrierendes Unternehmen zu gründen.

Nachdem ihm Zugang zu den Dateien gewährt wurde, die er von einem IT-Administrator angefordert hatte, schickte Delia kommerziell sensible Berechnungen per E-Mail an seinen Mitverschwörer. Nach einem Schuldbekenntnis zu den Anklagen drohten Delia bis zu 87 Monate Gefängnis.

Cisco: Ex-Mitarbeiter sabotiert Benutzerdaten

Sudhish Kasaba Ramesh aus San Jose, Kalifornien, erhielt zwei Jahre Gefängnis für die Bereitstellung von Malware, die über 16.000 Benutzerkonten auf Ciscos Systemen löschte und einen Schaden von 2,4 Millionen Dollar verursachte. Der Vorfall unterstreicht die Notwendigkeit, Daten vor Bedrohungen von innen und außen zu sichern.

Er dient als Erinnerung daran, dass nicht nur Ihre aktuellen Mitarbeiter eine potenzielle interne Bedrohung darstellen, sondern auch Ihre ehemaligen Mitarbeiter.

Anthem: Mitarbeiterdateninfiltration

Zwischen 2014-2015 erlebte Anthem einen Datenverstoß in Form von Insider-Diebstahl, bei dem Angreifer die persönlichen Daten von über 18.000 Medicare-Mitgliedern stahlen. Es dauerte bis April 2017 – fast drei Jahre später –, bis der Medicare-Versicherungskoordinationsdienstleister.

Der Mitarbeiter hinter dieser Insider-Bedrohung hatte eine Datei mit Medicare-ID-Nummern, Sozialversicherungsnummern, Gesundheitsplan-ID-Nummern, Mitgliedsnamen und mehr an seine E-Mail-Adresse gesendet.

Target: Bedrohung durch Drittanbieter-Anmeldedaten

Im Jahr 2013 erlebte Target einen hochgradig publizierten Kreditkartendatenverstoß aufgrund eines Drittanbieters, der die Anmeldedaten kritischer Systeme außerhalb eines angemessenen Anwendungsfalls nutzte. Diese Informationen ermöglichten es Hackern, in die Zahlungssysteme von Target einzudringen, auf die Kundendatenbank zuzugreifen und Malware zu installieren.

Dadurch konnten sie Informationen von Targets Kunden stehlen, einschließlich Namen, Telefonnummern, E-Mail-Adressen und Zahlungsinformationen.

RSA: Mitarbeiter fallen auf einen Phishing-Angriff herein

Im März 2011 fiel die RSA einer Insider-Bedrohung zum Opfer, als Mitarbeiter auf einen gezielten Phishing-Angriff klickten, was dazu führte, dass 40 Millionen Mitarbeiterdaten kompromittiert wurden.

Die beiden Hackergruppen hinter diesem Angriff starteten den Phishing-Betrug, indem sie sich als vertrauenswürdige Kollegen und Kontakte innerhalb der Organisation ausgaben. Die RSA ist der Sicherheitsarm der EMC, und dieser Angriff zeigte, dass niemand, nicht einmal ein Sicherheitsanbieter, vor einem internen Datenverstoß sicher ist.

Rockwell und Boeing: beschäftigten einen Spion

Denken Sie, Spione sind nur für TV-Dramen und Hollywood-Filme? Denken Sie noch einmal nach.

Spione kommen in allen Formen und Größen; in diesem Fall kommen sie in Form von Greg Chung, der für China spionierte, während er sowohl bei Rockwell als auch bei Boeing beschäftigt war. Zwischen 1979 und 2006 stahl Chung Hunderte von Kisten mit Dokumenten über Pläne für US-Militär- und Raumfahrtexpeditionen.

Diese von einem Staat gesponserte Insider-Bedrohung ist eine der Möglichkeiten, wie andere Länder Zugang zu wertvollen und hochklassifizierten Geheimnissen und geistigem Eigentum erlangen können.

Schützen Sie sich von innen heraus

Da Insider-Bedrohungen ein so enormes finanzielles Risiko darstellen, ist es wichtiger denn je, Bewusstseinsschulungen zu nutzen und die Anzeichen einer Insider-Bedrohung zu erkennen, bevor sie eintritt. Hören Sie nie auf, Benutzeraktivitäten zu überwachen, da die Ursache aller Insider-Bedrohungen für Ihre Systeme die Menschen sind, die sie nutzen.

Interessiert daran, mehr über die Bedrohungen da draußen zu erfahren? Erfahren Sie, wie Sie die verschiedenen Arten von Spyware identifizieren können.