Was ist eine interne Bedrohung?

Eine Insider-Bedrohung ist ein Sicherheitsrisiko, das von einem Mitarbeiter, ehemaligen Mitarbeiter, Auftragnehmer oder Lieferanten ausgeht. Insider-Bedrohungen können zu Geldstrafen, Rufschädigung und dem Verlust von geistigem Eigentum führen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Arten von böswilligen und versehentlichen Insider-Bedrohungen zu identifizieren
  • Die Rolle der Zugriffskontrolle und des Zugriffsmanagements bei der Bekämpfung der Gefahren verstehen
  • Optionen zur Risikominderung evaluieren

Link zum Artikel kopieren

Was ist eine interne Bedrohung?

Eine Insider-Bedrohung ist ein Sicherheitsrisiko, das von einer Person ausgeht, die mit der Organisation in Verbindung steht, z. B. von einem Mitarbeiter, ehemaligen Mitarbeiter, Auftragnehmer, Berater, Vorstandsmitglied oder Lieferanten.

Diese Bedrohungen können böswillig oder versehentlich sein. Eine Verizon-Analyse von 3.950 Datenschutzverletzungen hat beispielsweise ergeben, dass 30 % davon „von internen Akteuren verursacht wurden“.

Insider können auf vielfältige Weise Schaden anrichten:

  • Stehlen, Leaking oder Zerstören von Daten
  • Verkauf von Betriebsgeheimnissen
  • Zerstörung von Systemen, Netzwerken oder anderen IT-Ressourcen
  • Verlegen von Betriebsmitteln
  • Senden eines E-Mail-Anhangs an die falsche Person
  • Opfer der Betrügereien von Angreifern werden
  • Falsche Konfiguration von Netzwerk- oder Datenbankeinstellungen

Was sind die Motive für Insider-Bedrohungen?

Böswillige Insider kompromittieren die Daten eines Unternehmens aus einer Vielzahl von Gründen, darunter der Wunsch, die Daten zu verkaufen, Rache, Langeweile, Ideologie und politische Einstellung.

Wenn ein Insider unbeabsichtigt ein Sicherheitsrisiko schafft oder eine Sicherheitsverletzung verursacht, dann gibt es dafür kein Motiv. Der Insider kann einen Fehler machen, der das Problem verursacht, er kann einen Teil der Unternehmensausrüstung verlieren oder durch Social Engineering, wie z. B. Phishing, zu einer Datenschutzverletzung verleitet werden.

Was sind gängige Indikatoren für Insider-Bedrohungen?

Veränderungen im Verhalten können ein Zeichen für Probleme sein. Ein böswilliger Insider könnte sich wie folgt verhalten:

  • Aufsuchen des Büros außerhalb der üblichen Zeiten
  • Zugriff auf andere Dateien und Systeme als üblich
  • Massenhaftes Herunterladen von Dateien
  • Verwendung von Speichergeräten
  • Plötzlicher Versand von E-Mails mit sehr großen Anhängen
  • Viel mehr Überstunden

Diese Anzeichen sind nicht per se schlecht. Für viele gibt es völlig vernünftige Erklärungen, insbesondere für IT-Fachleute.

Warum ist die Zugriffskontrolle für Programme gegen Insider-Bedrohungen wichtig?

Ein grundlegender Aspekt des Schutzes vor Insider-Bedrohungen ist die Zugriffskontrolle oder eine Reihe von Regeln und Richtlinien, die darüber entscheiden, wer Zugang zu eingeschränkten Standorten, Informationen und Systemen erhält. Ein Ansatz ist die rollenbasierte Zugriffskontrolle, bei der die Berechtigungen der einzelnen Personen von ihrer Abteilung und ihren Arbeitsaufgaben abhängen.

Das Prinzip des minimalen Zugangs in der Netzwerksicherheit bedeutet, dass Mitarbeiter und andere Insider nur auf das zugreifen können, was sie zur Erfüllung ihrer Aufgaben benötigen – mehr nicht. So muss ein Mitarbeiter der Personalabteilung die Gehaltsdaten seiner Mitarbeiter einsehen und ein Programmierer die Codebasis ändern, aber keiner von beiden benötigt Zugriff auf die Dateien des anderen.

Dies ist ein Teil dessen, was Zero Trust-Sicherheit zu einem effektiven IT-Sicherheitsmodell macht. Es erfordert eine strenge Identitätsüberprüfung für jede Person und jedes Gerät, die auf eine Unternehmensressource zugreifen möchten, selbst wenn sie sich bereits im Netzwerk befinden. Durch die Beschränkung des Nutzerzugriffs und des Gerätezugriffs verringert sich der potenzielle Schaden für alle Arten von Insider-Bedrohungen – so wie es einen großen Unterschied macht, ob man eine Kreditkarte oder das gesamte Portemonnaie verliert.

Wie können Unternehmen das Risiko von Insider-Bedrohungen bekämpfen?

Bei der Feinabstimmung eines Programms zur Abwehr von Insider-Bedrohungen müssen Sie unbedingt auf die Motive achten und darauf, wie diese Motive die Bedrohungslandschaft beeinflussen. Sowohl bei böswilligen als auch bei versehentlichen Insidern kann die strikte Einhaltung der Best Practices für die Zugriffskontrolle erheblich zur Prävention von Datenverlusten beitragen.

Die Strategien umfassen:

  • Aufzeigen, wo sensible Daten gespeichert sind und wer Zugang zu ihnen hat
  • Entwicklung von Checklisten für austretende Mitarbeiter und andere Insider, einschließlich der Abschaltung des Zugriffs auf Software und Apps von Drittanbietern sowie auf interne Systeme
  • Erhöhte Wachsamkeit bei Fusionen und Übernahmen, wenn sich Berechtigungen und Zugriffsrechte häufig ändern
  • Gezielte und umfassende Schulungen zu unbeabsichtigten Insider-Risiken, wie z. B. dass Mitarbeiter wissen, wie man Passwörter geheim hält, fehlende Geräte meldet und mögliche Social-Engineering-Betrügereien erkennt

Zusätzlich zur Zugriffsverwaltung zum Schutz von Daten und Systemen kann die IT-Abteilung Beschränkungen für firmeneigene oder verwaltete Geräte festlegen, z. B. die Optionen für die Datenübertragung sperren und die Erlaubnis zum Herunterladen neuer Software verlangen.

Mit den Protokollierungs- und Analytics-Funktionen lassen sich Warnungen für Verhaltensmuster einstellen, die für Insider-Bedrohungen typisch sind. So können potenzielle Probleme frühzeitig erkannt werden. Zu den Warnmeldungen gehören:

  • Besuche bei nicht genehmigten Filesharing-Anwendungen
  • Anwendungszugriff von unbekannten oder nicht verwalteten Geräten
  • Herunterladen von einem Cloud-Speicheranbieter und anschließendes Hochladen zu einem anderen Cloud-Speicheranbieter
  • E-Mails mit größeren Anhängen als üblich
  • Unerwartete DNS- oder HTTP-Abfragen (ein sicheres Web-Gateway kann bei der Erkennung helfen)
  • Versuche, mehr Privilegien zu erlangen, als für die Rolle der Person erforderlich sind
  • Änderungen an vielen Dateien in kurzer Zeit vornehmen

Erfahren Sie, wie Cloudflare Access die Einrichtung von rollenbasierten Zugriffskontrollen vereinfacht und den Remote-Zugriff beschleunigt.