Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Insider-Risiken: Anleitung für CISO

Gemäß des kürzlich erschienenen Verizon DBIR (Data Breach Investigations Report) sind Insider mitschuldig an 28 % der Datenverstöße im Jahr 2017. Aufgegliedert auf vertikale Märkte sind Insider verantwortlich für 54 % der...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 3. November 2021

Inhalt

    Gemäß des kürzlich erschienenen Verizon DBIR (Data Breach Investigations Report) sind Insider mitschuldig an 28 % der Datenverstöße im Jahr 2017. Aufgegliedert auf vertikale Märkte sind Insider verantwortlich für 54 % der Datenverstöße im Gesundheitswesen und 34 % in der öffentlichen Verwaltung. Hacken (48%) und Malware (30%) waren beim Datendiebstahl die beiden vorrangigsten Taktiken, während menschliches Versagen (17%) und Missbrauch von Privilegien (12%) auch den Cut überstehen.

    insider threat statistic for CISO

    Was bedeutet das alles? Insider haben Fähigkeiten und Privilegien, die entweder von ihnen selbst oder durch andere missbraucht werden können, um wichtige Daten zu stehlen.

    Was ist ein Insider-Risiko?

    Ein Insider-Risiko beschreibt einen Sicherheitsvorfall, der innerhalb des betroffenen Unternehmens verursacht wird. Das bedeutet nicht, dass der Täter ein aktiver Mitarbeiter oder eine Führungskraft im Unternehmen ist. Es könnte ein Berater, ein ehemaliger Mitarbeiter, ein Geschäftspartner oder ein Vorstandsmitglied sein.

    Jeder, der Insider-Wissen besitzt und/oder Zugriff auf vertrauliche Daten, die IT oder Netzwerkressourcen des Unternehmens hat, sollte als potenzielles Insider-Risiko betrachtet werden.

    Insider-Risikotypen

    Wer also sind mögliche Täter bei einer Insider-Bedrohung?

    Als erstes haben wir den Verräter: Das ist ein Insider, der böswillig Daten stiehlt. In den meisten Fällen handelt es sich dabei um einen Mitarbeiter oder Vertragspartner – jemand, der im Netzwerk sein soll und über legitime Anmeldeinformationen verfügt, diesen Zugriff jedoch aus Spaß oder aus eigenem Nutzen missbraucht. Wir haben alle möglichen Arten von Motiven gesehen, die ein solches Verhalten steuern.

    Als nächstes haben wir den Unbedarften: Das ist nur ein normaler Mitarbeiter, der einen Fehler macht, der von einem Übeltäter ausgenutzt wird: ganz gleich, ob es sich dabei um einen verloren gegangenen Laptop oder das versehentliche Senden eines sensiblen Dokuments per E-Mail an die falsche Person handelt.

    Und schließlich haben wir den Betrüger: Während sich der Verräter vom legitimen Insider zum Schurken entpuppt, handelt es sich bei dem Betrüger in Wirklichkeit um einen Outsider, der die Anmeldeinformationen eines Insiders übernommen hat. Er ist in Ihrem Netzwerk und verhält sich wie ein legitimer Mitarbeiter. Sein Ziel ist es, die größtmögliche Menge an Informationen zu finden, auf die sein „Host“ Zugriff hat und unbemerkt Daten exfiltriert.

    Übliche Verhaltensindikatoren einer Insider-Bedrohung

    Wie identifizieren Sie eine Insider-Bedrohung? Es gibt häufige Verhaltensweisen, die eine Insider-Bedrohung nahelegen – ganz gleich, ob digital oder leibhaftig. Diese Indikatoren sind wichtig für CISOs, Sicherheitsbeauftragte und ihre Teams bei der Überwachung, Nachverfolgung und Analyse, damit sie potenzielle Insider-Risiken identifizieren können.

    behavioral indicators of an insider threat for CISO

    Digitale Warnsignale

    • Herunterladen oder Zugreifen auf beträchtliche Datenmengen
    • Zugreifen auf sensible Daten, die nicht zur eigentlichen Tätigkeit gehören
    • Zugreifen auf Daten, die sich außerhalb des Verhaltensprofils befinden
    • Mehrere Anfragen für den Zugriff auf Ressourcen, die nicht zur eigentlichen Tätigkeit gehören
    • Nutzung nicht autorisierter Speichergeräte (z. B. USB-Sticks oder Disketten)
    • Netzwerk-Crawling und Suchen nach sensiblen Daten
    • Datenhorten, Kopieren von Dateien aus sensiblen Ordnern
    • Senden von sensiblen Daten per E-Mail außerhalb des Unternehmens

    Menschliche Warnsignale

    • Versuche, die Sicherheitsmaßnahmen zu umgehen
    • Häufige Anwesenheit im Büro außerhalb der Geschäftszeiten
    • Zurschaustellen von unzufriedenem Verhalten gegenüber Kollegen
    • Verletzung von Unternehmensrichtlinien
    • Gespräche über Kündigung oder neue berufliche Möglichkeiten

    Solange die menschlichen Warnsignale ein Anzeigen für potenzielle Probleme sein können, sind digitale Untersuchungen und Analysen der effektivste Weg zum Schutz vor Insider-Risiken. Die Analysen des Nutzerverhaltens  (UBA=User Behavior Analytics) und Sicherheitsanalysen helfen, potenzielle Insider-Bedrohungen zu erkennen, zu analysieren und Warnmeldungen auszugeben, sobald sich ein Benutzer verdächtig verhält oder entgegen seiner typischen Verhaltensweisen agiert.

    Bekämpfung von Insider-Bedrohungen

    Ein Datenverstoß mit 10 Millionen Datensätzen kostet ein Unternehmen etwa 3 Millionen US-Dollar – und Vorsicht die Mutter der Porzellankiste.

    Da sich Insider immer innerhalb befinden, können Sie sich beim Schutz Ihres Unternehmen nicht auf herkömmliche Sicherheitsmaßnahmen auf Perimeterebene verlassen. Und da es sich um einen Insider handelt: Wer ist in erster Linie für den Umgang mit der Situation verantwortlich? Ist es die IT, die Personalabteilung oder ist es gar ein rechtliches Problem? Oder betrifft es alle drei und das Team des CISO? Die Erstellung und Umsetzung einer Richtlinie als Maßnahme bei potenziellen Insider-Risiken muss von der Unternehmensspitze kommen.

    Ein richtiger Ansatz ist das A und O, um Insider-Bedrohungen auszumachen und zu beheben – zudem sind die richtigen Lösungen zum Erkennen und zum Schutz von Insider-Bedrohungen erforderlich.

    Schritte für einen Vorsorgeplan gegen Insider-Bedrohungen:

    1. Dateien, E-Mails und Aktivitäten in Ihren wichtigsten Datenquellen überwachen
    2. Identifizieren und Erkennen, wo sich Ihre sensiblen Daten befinden
    3. Bestimmen, wer Zugriff auf diese Daten hat und wer darauf Zugriff haben sollte
    4. Implementieren und Umsetzen eines Privilegienmodells auf Basis der minimalen Rechtevergabe innerhalb Ihre Infrastruktur
      1. Löschen globaler Zugriffsgruppen
      2. Einsatz von Daten-Verantwortlichen (data owners), die die Berechtigungen für ihre Daten verwalten und temporären Zugriff rasch löschen
    5. Anwenden von Sicherheitsanalysen zur Warnung bei abnormalem Verhalten, einschließlich:
      1. Versuche, auf sensible Daten zuzugreifen, die nicht zur normalen Tätigkeit gehören
      2. Versuche, Zugang zu Berechtigungen auf sensible Daten außerhalb normaler Prozesse zu erhalten
      3. Erhöhte Dateiaktivität in sensiblen Ordnern
      4. Versuche, Systemprotokolle zu ändern oder große Datenmengen zu löschen
      5. Große Datenmengen außerhalb der normalen Tätigkeit per E-Mail aus dem Unternehmen versenden
    6. Sensibilisieren und schulen Sie Ihre Mitarbeiter, damit sie in Richtung Datensicherheit denken

    Es ist gleichermaßen wichtig, einen Reaktionsplan bereitzustellen, um auf einen potenziellen Datenverstoß reagieren zu können:

    1. Risiken erkennen und Maßnahmen ergreifen
      1. Benutzer bei verdächtigen Aktivitäten oder Verhalten deaktivieren und/oder abmelden
      2. Bestimmen, welche Benutzer und Dateien betroffen sind
    2. Präzision (und Schwere) der Bedrohung prüfen und entsprechende Teams (Rechtsabteilung, Personalabteilung, IT, CISO) warnen
    3. Gegenmaßnahmen
      1. Gelöschte Daten bei Bedarf wiederherstellen
      2. Alle weiteren Zugriffsrechte, die vom Insider verwendet wurden, entfernen
      3. Sämtliche Malware, die während des Angriffs genutzt wurde, scannen und entfernen
      4. Sämtliche umgangene Sicherheitsmaßnahmen erneut aktivieren
    4. Genaue Untersuchungen über den Sicherheitsvorfall durchführen
    5. Im Bedarfsfall Compliance- und Regulierungsbehörden informieren

    Das Geheimnis zum Schutz vor Insider-Bedrohungen ist die Überwachung Ihrer Daten, das Sammeln von Informationen und das Auslösen von Warnsignalen bei abnormalem Verhalten.

    Die Varonis Datensicherheitsplattform identifiziert, wer Zugriff auf Ihre Daten hat, klassifiziert Ihre sensiblen Daten, warnt Ihre Teams vor potenziellen Bedrohungen und hilft bei der Verwaltung eines Privilegienmodells auf Basis der minimalen Rechtevergabe. Mit den richtigen Ressourcen können CISOs/CIOs Transparenz in hochriskante Benutzer sowie die Informationen erhalten, die sie zur Vorbeugung von Insider-Risiken benötigen.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?