Verdecken hybride Arbeitsmodelle Insider-Bedrohungen?

Insider-Bedrohungen sind ein großes Problem – und das nicht erst seit gestern. Bedauerlicherweise gibt es im Cybersecurity-Umfeld unzählige Beispiele für Unternehmen, die Angriffen von innen heraus zum Opfer gefallen sind., erläutert Michael Heuer, Vice President DACH bei Proofpoint. in einem Gastbeitrag.

In den letzten Jahren hat sich die Situation in Sachen Insider-Vorfälle jedoch erheblich verschärft: Die Zahl der Fälle wuchs zwischen 2018 und 2020 um fast 50 Prozent. Und die Folgen solcher Attacken können sehr schwerwiegend sein. Schätzungen des Ponemon Institute zufolge kosten Insider-Angriffe Unternehmen im Durchschnitt rund 9,67 Millionen Euro pro Jahr.

Während sich viele Organisationen der Bedrohung durch Insider zunehmend bewusstwerden, erschweren gleichzeitig moderne Arbeitsmodelle die Prävention. Da sich aufgrund der Erfahrungen der vergangenen Monate mittlerweile viele an das Arbeiten in den eigenen vier Wänden bzw. an das mobile Arbeiten gewöhnt haben, ist es unwahrscheinlich, dass Unternehmen wieder vollständig zur Arbeit im Büro zurückkehren werden, so wie dies vor der Pandemie die Regel war.

Die damit einhergehende Abhängigkeit von Cloud-Ressourcen, veränderte Arbeitszeiten und Verhaltensweisen sowie mangelnde Transparenz machen die Abwehr von Insider-Bedrohungen – ob böswillig oder fahrlässig – sehr viel schwieriger. Forrester schätzt, dass im laufenden Jahr ein Drittel aller Cyberangriffe von Insidern ausgehen wird, derzeit sind es noch 25 Prozent.

Angesichts dieser wachsenden Bedrohung ist der Bedarf an einer umfassenden Lösung für das Insider Threat Management (ITM) nicht von der Hand zu weisen. Unternehmen müssen heute mehr denn je umfassende ITM-Programme ins Leben rufen, die Tools, Technologie, Prozesse und – wohl am wichtigsten – Menschen miteinbeziehen.

Insider-Bedrohungen verstehen

Klassische Abwehrsysteme im Bereich der Cybersicherheit bauen auf den Schutz des Perimeters und versuchen damit das Unternehmen von außen nach innen abzuschirmen. Insider-Bedrohungen hingegen erfordern Maßnahmen, die die Daten, Netzwerke und Systeme in einer Umgebung ohne Perimeter schützen. Dies bedingt einen anderen Ansatz mit maßgeschneiderten Tools, Strategien und Security Awareness Trainings. Doch dies wird leider von nicht wenigen Verantwortlichen in den Unternehmen bis heute ignoriert.

Erschwerend kommt hinzu, dass Insider-Bedrohungen in vielen Formen auftreten können. Angefangen mit den Attacken, bei denen absichtlich versucht wird, einer Organisation Schaden zuzufügen, bis hin zu denen, die auf Fahrlässigkeit beruhen. Zudem zählen auch Account-Übernahmen zur Kategorie „Insider-Bedrohung“, obgleich bei dieser Angriffsform der tatsächliche Auslöser in Wahrheit gar kein „Insider“ ist.

Den größten Anteil an Insider Threats machen fahrlässigen Bedrohungen aus. Sie sind für fast zwei Drittel aller Vorfälle verantwortlich und treten auf, wenn ein Benutzer einem Angreifer unbeabsichtigt Zugang zu Daten und Systemen gewährt. Dies kann durch das Klicken auf einen gefährlichen Link, den Missbrauch eines Passworts oder die versehentliche Preisgabe sensibler Daten geschehen.

Obwohl vorsätzliche Bedrohungen seltener vorkommen, sind sie zumeist kostspieliger – die Schäden belaufen sich hier durchschnittlich auf 637.937 Euro pro Vorfall. Im Vergleich dazu fallen fahrlässige Bedrohungen mit einem durchschnittlichen Schaden von 259.232 Euro geradezu günstig aus. Vorsätzliche Insider Threats gehen gewöhnlich von Mitarbeitern aus, die an Rache oder finanziellem Gewinn interessiert sind.

Die dritte Variante von Insider-Bedrohungen stellen kompromittierte Benutzerkonten dar, die im Durchschnitt 735.790 Euro pro Vorfall kosten. Verübt werden diese Taten im Regelfall von Betrügern oder Cyberkriminellen, die es auf die Anmeldeinformationen von Nutzern abgesehen haben, um sich illegal Zugriff auf Anwendungen und Systeme zu verschaffen. Diese Variante ist die teuerste Art von Insider-Bedrohungen.

Generell gilt, dass Insider-Bedrohungen schwer zu erkennen und abzuwehren sind. Insbesondere bei fahrlässigen Insidern, bei denen kein Motiv für eine solche Handlung besteht, gibt es meist nur wenige Warnzeichen. Böswillige Angreifer geben sich hingegen große Mühe, ihre Spuren zu verwischen und keinen Verdacht zu erregen. Kommen dann noch relativ neue Arbeitsmodelle, eine heterogene Belegschaft und zunehmende Angriffspunkte hinzu, liegt die Herausforderung für die Cybersecurity-Teams auf der Hand.

Der hybride Faktor

Hybride Umgebungen erhöhen nicht nur das Risiko von Insider-Bedrohungen, sondern machen es ohne ein umfassendes ITM-Programm auch erheblich schwieriger, sie zu entdecken. Obwohl für viele Organisationen hybride Arbeitsmodelle mittlerweile zur Normalität geworden sind, ist dies dennoch eine relativ junge Entwicklung. Cybersecurity-Teams sind noch immer damit beschäftigt, die neuen Telemetriedaten zunächst kennenzulernen und Benutzer zu berücksichtigen, die von verschiedenen Orten und Geräten aus auf die Netzwerke zugreifen.

Mit flexiblen Arbeitsmodellen, die den heutigen Alltag prägen, sind bestimmte Bedrohungssituationen viel schwieriger zu erkennen. Verhaltensweisen, die früher als ungewöhnlich oder gar verdächtig bei der Analyse wahrgenommen wurden, erregen nun unter Umständen keinen Verdacht mehr. Bei vielen Organisationen hat sich auch die Anzahl der Zugangspunkte erheblich vergrößert, was zu einer Steigerung der potenziellen Angriffsfläche enorm beiträgt.

Erschwerend kommen die sozialen sowie psychologischen Auswirkungen von flexiblen und hybriden Arbeitsmodellen hinzu. Denn außerhalb des Büros neigen Nutzer eher dazu, von gängigen Verfahrensweisen abzuweichen, schlicht aufgrund der „Bequemlichkeit“. Dies kann der Fall sein, wenn persönliche Geräte für geschäftliche Zwecke oder umgekehrt Firmenrechner für persönliche eingesetzt werden, Passwörter aufgeschrieben werden oder ein unsachgemäßer Zugriff auf Systeme bzw. Daten erfolgt.

Besonders besorgniserregend ist jedoch, dass sich viele Benutzer nicht einmal im Klaren darüber sind, welche Best Practices in Sachen IT-Sicherheit es bei der Arbeit von zu Hause aus zu beachten gilt. Bis Ende 2020 hatten nur 36 Prozent der Unternehmen ihre Benutzer in dieser Hinsicht geschult, obwohl 92 Prozent auf die Arbeit aus dem Homeoffice umgestellt haben.

Die Arbeit außerhalb des Büros geht ferner auch nicht selten mit gewissen Ablenkungen einher, diese reichen von Alltagsaufgaben bis hin zu den Annehmlichkeiten der eigenen vier Wände. All das kann dazu führen, dass Benutzer anfälliger für einfache, aber zugleich teure Fehler werden. Und diejenigen, die böse Absichten verfolgen, haben vielleicht das Gefühl, dass sie außerhalb der Unternehmensatmosphäre freier agieren können.

Aufbau eines Programms für das Insider Threat Management

Eine effektive Erkennung und Abwehr von Insider-Bedrohungen auch unter Berücksichtigung neuer Arbeitsmodelle ist zwar schwierig sein, allerdings keineswegs unmöglich. Die Lösung besteht in einem umfassenden ITM-Programm, in dem Kontrollen, Prozesse und die Mitarbeiter kombiniert werden. Dies beginnt mit Einführung von Prozessen zur Überwachung von Insider-Bedrohungen, in deren Rahmen verdächtige Aktivitäten genauer unter die Lupe genommen werden.

Ein personenorientiertes ITM-Programm erfordert zudem spezielle Ressourcen wie Überwachungstools, die in der Lage sind, den Abfluss von Daten, Missbrauch von Privilegien, Anwendungsmissbrauch, unbefugten Zugriff sowie riskantes und anormales Verhalten zu erkennen. Ferner muss das damit beauftragte Team in der Lage sein, klare Best-Practice-Richtlinien für hybrides Arbeiten zu entwickeln und durchzusetzen. Diese müssen Regelungen für den System- und Netzwerkzugriff, Benutzerrechte, Passworthygiene, nicht autorisierte Anwendungen, Nutzung privater Geräte, Datenschutz und mehr enthalten.

Ein weiterer wichtiger Eckpfeiler jedes umfassenden ITM-Programms ist das Wissen. Denn das ITM-Team muss über ein weitreichendes Verständnis der Datenaktivitäten innerhalb der Organisation verfügen, also Kenntnisse darüber entwickeln, wer auf welche Daten zugreift – wann, warum und über welche Plattformen. Dieses kontextbezogene Wissen kann dabei helfen, Motive und Absichten frühzeitig zu erkennen. Und dies wiederum ist der Schlüssel, um Warnzeichen für Insider-Bedrohungen richtig zu deuten.

Auch die Angestellten müssen darüber hinaus mit den entsprechenden Kenntnissen ausgestattet werden, um sich selbst und ihr eigenes Unternehmen zu schützen. Dies lässt sich am besten durch regelmäßige und an aktuellen Entwicklungen orientierten Awareness Trainings ermöglichen. Die Trainings sollte dabei Multiple-Choice-Tests beinhalten und nicht nur traditionelle Tipps in puncto digitaler Sicherheit umfassen. Ziel muss es sein, allen Beteiligten die Bedeutung des individuellen Verhaltens für die Sicherheit des gesamten Unternehmens bewusst zu machen.

Ob zu Hause, im Büro oder unterwegs, alle Angestellten müssen die richtigen Verhaltensweisen kennen und wissen, welche Rolle sie bei der Sicherheit ihrer Organisation spielen. Das sorgt für mehr Sicherheit des Unternehmens und aller Mitarbeitenden.

Themenseiten: Cybercrime, Proofpoint

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Verdecken hybride Arbeitsmodelle Insider-Bedrohungen?

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *