Blog Datensicherheit

Insider-Risiken: Anleitung für CISO

Gemäß des kürzlich erschienenen Verizon DBIR (Data Breach Investigations Report) sind Insider mitschuldig an 28 % der Datenverstöße im Jahr 2017. Aufgegliedert auf vertikale Märkte sind Insider verantwortlich für 54 % der...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 3. November 2021

Contents

    Gemäß des kürzlich erschienenen Verizon DBIR (Data Breach Investigations Report) sind Insider mitschuldig an 28 % der Datenverstöße im Jahr 2017. Aufgegliedert auf vertikale Märkte sind Insider verantwortlich für 54 % der Datenverstöße im Gesundheitswesen und 34 % in der öffentlichen Verwaltung. Hacken (48%) und Malware (30%) waren beim Datendiebstahl die beiden vorrangigsten Taktiken, während menschliches Versagen (17%) und Missbrauch von Privilegien (12%) auch den Cut überstehen.

    insider threat statistic for CISO

    Was bedeutet das alles? Insider haben Fähigkeiten und Privilegien, die entweder von ihnen selbst oder durch andere missbraucht werden können, um wichtige Daten zu stehlen.

    Was ist ein Insider-Risiko?

    Ein Insider-Risiko beschreibt einen Sicherheitsvorfall, der innerhalb des betroffenen Unternehmens verursacht wird. Das bedeutet nicht, dass der Täter ein aktiver Mitarbeiter oder eine Führungskraft im Unternehmen ist. Es könnte ein Berater, ein ehemaliger Mitarbeiter, ein Geschäftspartner oder ein Vorstandsmitglied sein.

    Jeder, der Insider-Wissen besitzt und/oder Zugriff auf vertrauliche Daten, die IT oder Netzwerkressourcen des Unternehmens hat, sollte als potenzielles Insider-Risiko betrachtet werden.

    Insider-Risikotypen

    Wer also sind mögliche Täter bei einer Insider-Bedrohung?

    Als erstes haben wir den Verräter: Das ist ein Insider, der böswillig Daten stiehlt. In den meisten Fällen handelt es sich dabei um einen Mitarbeiter oder Vertragspartner – jemand, der im Netzwerk sein soll und über legitime Anmeldeinformationen verfügt, diesen Zugriff jedoch aus Spaß oder aus eigenem Nutzen missbraucht. Wir haben alle möglichen Arten von Motiven gesehen, die ein solches Verhalten steuern.

    Als nächstes haben wir den Unbedarften: Das ist nur ein normaler Mitarbeiter, der einen Fehler macht, der von einem Übeltäter ausgenutzt wird: ganz gleich, ob es sich dabei um einen verloren gegangenen Laptop oder das versehentliche Senden eines sensiblen Dokuments per E-Mail an die falsche Person handelt.

    Und schließlich haben wir den Betrüger: Während sich der Verräter vom legitimen Insider zum Schurken entpuppt, handelt es sich bei dem Betrüger in Wirklichkeit um einen Outsider, der die Anmeldeinformationen eines Insiders übernommen hat. Er ist in Ihrem Netzwerk und verhält sich wie ein legitimer Mitarbeiter. Sein Ziel ist es, die größtmögliche Menge an Informationen zu finden, auf die sein „Host“ Zugriff hat und unbemerkt Daten exfiltriert.

    Übliche Verhaltensindikatoren einer Insider-Bedrohung

    Wie identifizieren Sie eine Insider-Bedrohung? Es gibt häufige Verhaltensweisen, die eine Insider-Bedrohung nahelegen – ganz gleich, ob digital oder leibhaftig. Diese Indikatoren sind wichtig für CISOs, Sicherheitsbeauftragte und ihre Teams bei der Überwachung, Nachverfolgung und Analyse, damit sie potenzielle Insider-Risiken identifizieren können.

    behavioral indicators of an insider threat for CISO

    Digitale Warnsignale

    • Herunterladen oder Zugreifen auf beträchtliche Datenmengen
    • Zugreifen auf sensible Daten, die nicht zur eigentlichen Tätigkeit gehören
    • Zugreifen auf Daten, die sich außerhalb des Verhaltensprofils befinden
    • Mehrere Anfragen für den Zugriff auf Ressourcen, die nicht zur eigentlichen Tätigkeit gehören
    • Nutzung nicht autorisierter Speichergeräte (z. B. USB-Sticks oder Disketten)
    • Netzwerk-Crawling und Suchen nach sensiblen Daten
    • Datenhorten, Kopieren von Dateien aus sensiblen Ordnern
    • Senden von sensiblen Daten per E-Mail außerhalb des Unternehmens

    Menschliche Warnsignale

    • Versuche, die Sicherheitsmaßnahmen zu umgehen
    • Häufige Anwesenheit im Büro außerhalb der Geschäftszeiten
    • Zurschaustellen von unzufriedenem Verhalten gegenüber Kollegen
    • Verletzung von Unternehmensrichtlinien
    • Gespräche über Kündigung oder neue berufliche Möglichkeiten

    Solange die menschlichen Warnsignale ein Anzeigen für potenzielle Probleme sein können, sind digitale Untersuchungen und Analysen der effektivste Weg zum Schutz vor Insider-Risiken. Die Analysen des Nutzerverhaltens  (UBA=User Behavior Analytics) und Sicherheitsanalysen helfen, potenzielle Insider-Bedrohungen zu erkennen, zu analysieren und Warnmeldungen auszugeben, sobald sich ein Benutzer verdächtig verhält oder entgegen seiner typischen Verhaltensweisen agiert.

    Bekämpfung von Insider-Bedrohungen

    Ein Datenverstoß mit 10 Millionen Datensätzen kostet ein Unternehmen etwa 3 Millionen US-Dollar – und Vorsicht die Mutter der Porzellankiste.

    Da sich Insider immer innerhalb befinden, können Sie sich beim Schutz Ihres Unternehmen nicht auf herkömmliche Sicherheitsmaßnahmen auf Perimeterebene verlassen. Und da es sich um einen Insider handelt: Wer ist in erster Linie für den Umgang mit der Situation verantwortlich? Ist es die IT, die Personalabteilung oder ist es gar ein rechtliches Problem? Oder betrifft es alle drei und das Team des CISO? Die Erstellung und Umsetzung einer Richtlinie als Maßnahme bei potenziellen Insider-Risiken muss von der Unternehmensspitze kommen.

    Ein richtiger Ansatz ist das A und O, um Insider-Bedrohungen auszumachen und zu beheben – zudem sind die richtigen Lösungen zum Erkennen und zum Schutz von Insider-Bedrohungen erforderlich.

    Schritte für einen Vorsorgeplan gegen Insider-Bedrohungen:

    1. Dateien, E-Mails und Aktivitäten in Ihren wichtigsten Datenquellen überwachen
    2. Identifizieren und Erkennen, wo sich Ihre sensiblen Daten befinden
    3. Bestimmen, wer Zugriff auf diese Daten hat und wer darauf Zugriff haben sollte
    4. Implementieren und Umsetzen eines Privilegienmodells auf Basis der minimalen Rechtevergabe innerhalb Ihre Infrastruktur
      1. Löschen globaler Zugriffsgruppen
      2. Einsatz von Daten-Verantwortlichen (data owners), die die Berechtigungen für ihre Daten verwalten und temporären Zugriff rasch löschen
    5. Anwenden von Sicherheitsanalysen zur Warnung bei abnormalem Verhalten, einschließlich:
      1. Versuche, auf sensible Daten zuzugreifen, die nicht zur normalen Tätigkeit gehören
      2. Versuche, Zugang zu Berechtigungen auf sensible Daten außerhalb normaler Prozesse zu erhalten
      3. Erhöhte Dateiaktivität in sensiblen Ordnern
      4. Versuche, Systemprotokolle zu ändern oder große Datenmengen zu löschen
      5. Große Datenmengen außerhalb der normalen Tätigkeit per E-Mail aus dem Unternehmen versenden
    6. Sensibilisieren und schulen Sie Ihre Mitarbeiter, damit sie in Richtung Datensicherheit denken

    Es ist gleichermaßen wichtig, einen Reaktionsplan bereitzustellen, um auf einen potenziellen Datenverstoß reagieren zu können:

    1. Risiken erkennen und Maßnahmen ergreifen
      1. Benutzer bei verdächtigen Aktivitäten oder Verhalten deaktivieren und/oder abmelden
      2. Bestimmen, welche Benutzer und Dateien betroffen sind
    2. Präzision (und Schwere) der Bedrohung prüfen und entsprechende Teams (Rechtsabteilung, Personalabteilung, IT, CISO) warnen
    3. Gegenmaßnahmen
      1. Gelöschte Daten bei Bedarf wiederherstellen
      2. Alle weiteren Zugriffsrechte, die vom Insider verwendet wurden, entfernen
      3. Sämtliche Malware, die während des Angriffs genutzt wurde, scannen und entfernen
      4. Sämtliche umgangene Sicherheitsmaßnahmen erneut aktivieren
    4. Genaue Untersuchungen über den Sicherheitsvorfall durchführen
    5. Im Bedarfsfall Compliance- und Regulierungsbehörden informieren

    Das Geheimnis zum Schutz vor Insider-Bedrohungen ist die Überwachung Ihrer Daten, das Sammeln von Informationen und das Auslösen von Warnsignalen bei abnormalem Verhalten.

    Die Varonis Datensicherheitsplattform identifiziert, wer Zugriff auf Ihre Daten hat, klassifiziert Ihre sensiblen Daten, warnt Ihre Teams vor potenziellen Bedrohungen und hilft bei der Verwaltung eines Privilegienmodells auf Basis der minimalen Rechtevergabe. Mit den richtigen Ressourcen können CISOs/CIOs Transparenz in hochriskante Benutzer sowie die Informationen erhalten, die sie zur Vorbeugung von Insider-Risiken benötigen.

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    sind-ihre-daten-sicher-vor-insidern?-fünf-schritte,-um-ihre-geheimnisse-zu-schützen
    Sind Ihre Daten sicher vor Insidern? Fünf Schritte, um Ihre Geheimnisse zu schützen
    sind-ihre-daten-sicher-vor-insidern?-fünf-schritte,-um-ihre-geheimnisse-zu-schützen
    Yaki Faitelson
    8. September 2023
    In diesem Artikel erklären wir, mit welchen fünf Schritten Sie ermitteln können, wie gut Sie auf einen böswilligen Insider oder einen externen Angreifer vorbereitet sind, der das Konto oder den Computer eines Insiders kompromittiert.
    diebstahl-geistigen-eigentums,-teil-4:-ambitionierte-insider
    Diebstahl geistigen Eigentums, Teil 4: Ambitionierte Insider
    diebstahl-geistigen-eigentums,-teil-4:-ambitionierte-insider
    Michael Buckbee
    9. Oktober 2015
    Im letzten Blog-Eintrag dieser Serie möchte ich noch auf eine andere Art von Insidern eingehen. Über Mitarbeiter mit Anspruchsdenken habe ich schon geschrieben. Das sind Insider, wie wir sie uns...
    was-ist-eine-insider-bedrohung?-definition-und-beispiele
    Was ist eine Insider-Bedrohung? Definition und Beispiele
    was-ist-eine-insider-bedrohung?-definition-und-beispiele
    Michael Buckbee
    29. Mai 2021
    Ein Insider-Risiko beschreibt ein Sicherheitsrisiko, das innerhalb des betroffenen Unternehmens verursacht wird. Das bedeutet nicht, dass der Täter ein aktiver Mitarbeiter oder eine Führungskraft im Unternehmen ist. Es könnte sich...
    insider-bedrohungen,-teil-4:-die-schlussfolgerungen
    Insider-Bedrohungen, Teil 4: Die Schlussfolgerungen
    insider-bedrohungen,-teil-4:-die-schlussfolgerungen
    Michael Buckbee
    9. März 2015
    In dieser Serie von Blogeinträgen zu Insider-Bedrohungen haben wir viele Aspekte beleuchtet. Kurz zusammengefasst: Insider, die IT-Sabotage begehen oder sensible Informationen stehlen, sind in der Regel technisch versierte Mitarbeiter mit...