Insider Bedrohungen – wenn der Anruf aus demselben Haus kommt
Es ist wie ein Szenario aus einem Spion- oder Horrorfilm: die Gefahr lauert in den eigenen Reihen. Insider Bedrohungen sind einer der Türöffner für Industriespionage und Cyberkriminalität. Wir erläutern, warum die Gefahr immer weiter ansteigt und was die Lösung ist, damit es dann doch ein Happy End wird.
Die Kündigung auf dem Tisch, Wut im Bauch und Lust auf Rache. So stellen sich viele den gekündigten Mitarbeitenden vor, der aus Frust über seine Entlassung Firmengeheimnisse preisgibt oder seinen Zugang verkauft. Dies ist auch eins der bekannten und nicht seltenen Szenarien. Es gibt auch andere. Die sind aber so unschön, dass wir an dieser Stelle nicht darüber berichten.
Aber auch das Einschleusen oder „Umdrehen“ eines Mitarbeitenden, ist eine der Möglichkeiten, um an wichtige Informationen zu gelangen. Und wenn es nicht ein echter Mensch ist, dann kann es natürlich sein, dass einfach ein Profil eines Mitarbeiters übernommen wurde.
Bedrohung wird immer größer
Nun klingt das vielleicht alles weit weg und sogar nach Hollywood. Und man kennt doch seine eigenen Mitarbeiterinnen und Mitarbeiter – die würden das ja nie tun. Die Realität ist jedoch eine andere. Wie groß die Bedrohung durch Insider ist, zeigen die Zahlen von unserem Partner proofpoint. Seit 2020 sind die Kosten zur Bewältigung von Insider-bezogenen Sicherheitsproblemen laut dem kalifornischen Hersteller um 34 % gestiegen. So wenden Unternehmen, die von Sicherheitsvorfällen durch Insider betroffen sind, im Durchschnitt jährlich 15,38 Millionen US-Dollar (2022) dafür auf. 2020 waren es durchschnittlich noch 11,45 Millionen US-Dollar. Zudem nahm auch die Zahl der Insider-Zwischenfälle um 44 % zu.
Und warum genau steigt das Risiko von Insider-Bedrohungen? Die Antwort liegt laut proofpoint eindeutig in der gestiegenen Nutzung hybrider Arbeitsmodelle, der beschleunigten digitalen Transformation und dem rasch zunehmenden Einsatz Cloud-basierter Anwendungen.
User Behaviour Analytics als Lösung
Doch wie kann gegen Bedrohungen von Innen vorgegangen werden? Die Lösung heißt User Behaviour Analytics und Anomalie-Erkennung als Teil eines SIEM, EDR, oder Insider Threat Management & Monitoring von proofpoint. Durch die Analyse von Benutzerinformationen werden hier Bedrohungen erkannt. Darunter fallen ungewöhnliche Anmeldefrequenzen, Arbeitszeitpunkte oder -daten. Das ermöglicht die Identifizierung von verdächtigen Datei- oder Systemaktivitäten, Benutzerimitationen, internen Erkundungen oder langsamen Angriffen. Zur weiteren Untersuchung werden diese Informationen an das zuständige Sicherheitsteam weitergeleitet.
Tipp: Betriebs- oder Personalrat mit ins Boot holen
Hierbei ist wichtig zu erwähnen, dass nicht analysiert wird, was oder gar wie viel eine Mitarbeiterin oder ein Mitarbeiter arbeitet, sondern lediglich ihre oder seine Bewegungen innerhalb des Netzwerks. In Deutschland rufen solche Analysetools gerne den Betriebs- oder Personalrat auf den Plan, der natürlich die Rechte seiner Kolleginnen und Kollegen gefährdet sieht. Hier gilt die klare Empfehlung: Den Betriebsrat so früh wie möglich kontaktieren und mit ins Boot holen. Denn die Erfahrung zeigt, dass die meisten Betriebs- oder Personalräte, kein Problem mit den Tools haben. Wichtig ist, dass klar erläutert wird, dass niemand überwacht und nur Verhaltensmuster analysiert und Anomalien erkannt werden. Als zusätzlichen Tipp, wenn ein weiterer Kompromiss gefunden werden muss: Mit QRadar von IBM können die Datensätze bis zu einem Sicherheitsvorfall anonymisiert werden und zusätzlich wird der Betriebs- und Personalrat im Fall der Fälle hinzugezogen.