Insider-Risiken: Anleitung für CISO

Gemäß des kürzlich erschienenen Verizon DBIR (Data Breach Investigations Report) sind Insider mitschuldig an 28 % der Datenverstöße im Jahr 2017. Aufgegliedert auf vertikale Märkte sind Insider verantwortlich für 54 % der...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 3. November 2021

Gemäß des kürzlich erschienenen Verizon DBIR (Data Breach Investigations Report) sind Insider mitschuldig an 28 % der Datenverstöße im Jahr 2017. Aufgegliedert auf vertikale Märkte sind Insider verantwortlich für 54 % der Datenverstöße im Gesundheitswesen und 34 % in der öffentlichen Verwaltung. Hacken (48%) und Malware (30%) waren beim Datendiebstahl die beiden vorrangigsten Taktiken, während menschliches Versagen (17%) und Missbrauch von Privilegien (12%) auch den Cut überstehen.

insider threat statistic for CISO

Was bedeutet das alles? Insider haben Fähigkeiten und Privilegien, die entweder von ihnen selbst oder durch andere missbraucht werden können, um wichtige Daten zu stehlen.

Was ist ein Insider-Risiko?

Ein Insider-Risiko beschreibt einen Sicherheitsvorfall, der innerhalb des betroffenen Unternehmens verursacht wird. Das bedeutet nicht, dass der Täter ein aktiver Mitarbeiter oder eine Führungskraft im Unternehmen ist. Es könnte ein Berater, ein ehemaliger Mitarbeiter, ein Geschäftspartner oder ein Vorstandsmitglied sein.

Jeder, der Insider-Wissen besitzt und/oder Zugriff auf vertrauliche Daten, die IT oder Netzwerkressourcen des Unternehmens hat, sollte als potenzielles Insider-Risiko betrachtet werden.

Insider-Risikotypen

Wer also sind mögliche Täter bei einer Insider-Bedrohung?

Als erstes haben wir den Verräter: Das ist ein Insider, der böswillig Daten stiehlt. In den meisten Fällen handelt es sich dabei um einen Mitarbeiter oder Vertragspartner – jemand, der im Netzwerk sein soll und über legitime Anmeldeinformationen verfügt, diesen Zugriff jedoch aus Spaß oder aus eigenem Nutzen missbraucht. Wir haben alle möglichen Arten von Motiven gesehen, die ein solches Verhalten steuern.

Als nächstes haben wir den Unbedarften: Das ist nur ein normaler Mitarbeiter, der einen Fehler macht, der von einem Übeltäter ausgenutzt wird: ganz gleich, ob es sich dabei um einen verloren gegangenen Laptop oder das versehentliche Senden eines sensiblen Dokuments per E-Mail an die falsche Person handelt.

Und schließlich haben wir den Betrüger: Während sich der Verräter vom legitimen Insider zum Schurken entpuppt, handelt es sich bei dem Betrüger in Wirklichkeit um einen Outsider, der die Anmeldeinformationen eines Insiders übernommen hat. Er ist in Ihrem Netzwerk und verhält sich wie ein legitimer Mitarbeiter. Sein Ziel ist es, die größtmögliche Menge an Informationen zu finden, auf die sein „Host“ Zugriff hat und unbemerkt Daten exfiltriert.

Übliche Verhaltensindikatoren einer Insider-Bedrohung

Wie identifizieren Sie eine Insider-Bedrohung? Es gibt häufige Verhaltensweisen, die eine Insider-Bedrohung nahelegen – ganz gleich, ob digital oder leibhaftig. Diese Indikatoren sind wichtig für CISOs, Sicherheitsbeauftragte und ihre Teams bei der Überwachung, Nachverfolgung und Analyse, damit sie potenzielle Insider-Risiken identifizieren können.

behavioral indicators of an insider threat for CISO

Digitale Warnsignale

  • Herunterladen oder Zugreifen auf beträchtliche Datenmengen
  • Zugreifen auf sensible Daten, die nicht zur eigentlichen Tätigkeit gehören
  • Zugreifen auf Daten, die sich außerhalb des Verhaltensprofils befinden
  • Mehrere Anfragen für den Zugriff auf Ressourcen, die nicht zur eigentlichen Tätigkeit gehören
  • Nutzung nicht autorisierter Speichergeräte (z. B. USB-Sticks oder Disketten)
  • Netzwerk-Crawling und Suchen nach sensiblen Daten
  • Datenhorten, Kopieren von Dateien aus sensiblen Ordnern
  • Senden von sensiblen Daten per E-Mail außerhalb des Unternehmens

Menschliche Warnsignale

  • Versuche, die Sicherheitsmaßnahmen zu umgehen
  • Häufige Anwesenheit im Büro außerhalb der Geschäftszeiten
  • Zurschaustellen von unzufriedenem Verhalten gegenüber Kollegen
  • Verletzung von Unternehmensrichtlinien
  • Gespräche über Kündigung oder neue berufliche Möglichkeiten

Solange die menschlichen Warnsignale ein Anzeigen für potenzielle Probleme sein können, sind digitale Untersuchungen und Analysen der effektivste Weg zum Schutz vor Insider-Risiken. Die Analysen des Nutzerverhaltens  (UBA=User Behavior Analytics) und Sicherheitsanalysen helfen, potenzielle Insider-Bedrohungen zu erkennen, zu analysieren und Warnmeldungen auszugeben, sobald sich ein Benutzer verdächtig verhält oder entgegen seiner typischen Verhaltensweisen agiert.

Bekämpfung von Insider-Bedrohungen

Ein Datenverstoß mit 10 Millionen Datensätzen kostet ein Unternehmen etwa 3 Millionen US-Dollar – und Vorsicht die Mutter der Porzellankiste.

Da sich Insider immer innerhalb befinden, können Sie sich beim Schutz Ihres Unternehmen nicht auf herkömmliche Sicherheitsmaßnahmen auf Perimeterebene verlassen. Und da es sich um einen Insider handelt: Wer ist in erster Linie für den Umgang mit der Situation verantwortlich? Ist es die IT, die Personalabteilung oder ist es gar ein rechtliches Problem? Oder betrifft es alle drei und das Team des CISO? Die Erstellung und Umsetzung einer Richtlinie als Maßnahme bei potenziellen Insider-Risiken muss von der Unternehmensspitze kommen.

Ein richtiger Ansatz ist das A und O, um Insider-Bedrohungen auszumachen und zu beheben – zudem sind die richtigen Lösungen zum Erkennen und zum Schutz von Insider-Bedrohungen erforderlich.

Schritte für einen Vorsorgeplan gegen Insider-Bedrohungen:

  1. Dateien, E-Mails und Aktivitäten in Ihren wichtigsten Datenquellen überwachen
  2. Identifizieren und Erkennen, wo sich Ihre sensiblen Daten befinden
  3. Bestimmen, wer Zugriff auf diese Daten hat und wer darauf Zugriff haben sollte
  4. Implementieren und Umsetzen eines Privilegienmodells auf Basis der minimalen Rechtevergabe innerhalb Ihre Infrastruktur
    1. Löschen globaler Zugriffsgruppen
    2. Einsatz von Daten-Verantwortlichen (data owners), die die Berechtigungen für ihre Daten verwalten und temporären Zugriff rasch löschen
  5. Anwenden von Sicherheitsanalysen zur Warnung bei abnormalem Verhalten, einschließlich:
    1. Versuche, auf sensible Daten zuzugreifen, die nicht zur normalen Tätigkeit gehören
    2. Versuche, Zugang zu Berechtigungen auf sensible Daten außerhalb normaler Prozesse zu erhalten
    3. Erhöhte Dateiaktivität in sensiblen Ordnern
    4. Versuche, Systemprotokolle zu ändern oder große Datenmengen zu löschen
    5. Große Datenmengen außerhalb der normalen Tätigkeit per E-Mail aus dem Unternehmen versenden
  6. Sensibilisieren und schulen Sie Ihre Mitarbeiter, damit sie in Richtung Datensicherheit denken

Es ist gleichermaßen wichtig, einen Reaktionsplan bereitzustellen, um auf einen potenziellen Datenverstoß reagieren zu können:

  1. Risiken erkennen und Maßnahmen ergreifen
    1. Benutzer bei verdächtigen Aktivitäten oder Verhalten deaktivieren und/oder abmelden
    2. Bestimmen, welche Benutzer und Dateien betroffen sind
  2. Präzision (und Schwere) der Bedrohung prüfen und entsprechende Teams (Rechtsabteilung, Personalabteilung, IT, CISO) warnen
  3. Gegenmaßnahmen
    1. Gelöschte Daten bei Bedarf wiederherstellen
    2. Alle weiteren Zugriffsrechte, die vom Insider verwendet wurden, entfernen
    3. Sämtliche Malware, die während des Angriffs genutzt wurde, scannen und entfernen
    4. Sämtliche umgangene Sicherheitsmaßnahmen erneut aktivieren
  4. Genaue Untersuchungen über den Sicherheitsvorfall durchführen
  5. Im Bedarfsfall Compliance- und Regulierungsbehörden informieren

Das Geheimnis zum Schutz vor Insider-Bedrohungen ist die Überwachung Ihrer Daten, das Sammeln von Informationen und das Auslösen von Warnsignalen bei abnormalem Verhalten.

Die Varonis Datensicherheitsplattform identifiziert, wer Zugriff auf Ihre Daten hat, klassifiziert Ihre sensiblen Daten, warnt Ihre Teams vor potenziellen Bedrohungen und hilft bei der Verwaltung eines Privilegienmodells auf Basis der minimalen Rechtevergabe. Mit den richtigen Ressourcen können CISOs/CIOs Transparenz in hochriskante Benutzer sowie die Informationen erhalten, die sie zur Vorbeugung von Insider-Risiken benötigen.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

was-ist-eine-insider-bedrohung?-definition-und-beispiele
Was ist eine Insider-Bedrohung? Definition und Beispiele
Ein Insider-Risiko beschreibt ein Sicherheitsrisiko, das innerhalb des betroffenen Unternehmens verursacht wird. Das bedeutet nicht, dass der Täter ein aktiver Mitarbeiter oder eine Führungskraft im Unternehmen ist. Es könnte sich...
sind-ihre-daten-sicher-vor-insidern?-fünf-schritte,-um-ihre-geheimnisse-zu-schützen
Sind Ihre Daten sicher vor Insidern? Fünf Schritte, um Ihre Geheimnisse zu schützen
In diesem Artikel erklären wir, mit welchen fünf Schritten Sie ermitteln können, wie gut Sie auf einen böswilligen Insider oder einen externen Angreifer vorbereitet sind, der das Konto oder den Computer eines Insiders kompromittiert.
insider-bedrohungen,-teil-4:-die-schlussfolgerungen
Insider-Bedrohungen, Teil 4: Die Schlussfolgerungen
In dieser Serie von Blogeinträgen zu Insider-Bedrohungen haben wir viele Aspekte beleuchtet. Kurz zusammengefasst: Insider, die IT-Sabotage begehen oder sensible Informationen stehlen, sind in der Regel technisch versierte Mitarbeiter mit...
diebstahl-geistigen-eigentums,-teil-4:-ambitionierte-insider
Diebstahl geistigen Eigentums, Teil 4: Ambitionierte Insider
Im letzten Blog-Eintrag dieser Serie möchte ich noch auf eine andere Art von Insidern eingehen. Über Mitarbeiter mit Anspruchsdenken habe ich schon geschrieben. Das sind Insider, wie wir sie uns...