Insider-Bedrohungen: : Ignorieren auf eigene Gefahr
Obwohl Insider-Bedrohungen genauso gefährlich sind wie Cyberangriffe von außen, stehen letztere noch viel zu oft im Vordergrund. Dabei ist das Risiko nicht weniger hoch.
Allein ein Blick auf die Statistik macht deutlich, dass Cyberbetrug, Ransomware und Identitätsdiebstahl eine allgegenwärtige Gefahr darstellen. Laut einer Analyse des WatchGuard Threat Lab wurden im Oktober 2024 mehr als 110.000 Malware-Angriffe pro Tag abgewehrt – das entspricht etwa einem Vorfall pro Sekunde. Das Fatale: In diesem Angriffsstrudel gehen Insider-Bedrohungen oftmals unter – mit schwerwiegenden Folgen.
Dabei spielt es meist keine Rolle, ob die Insider-Bedrohung vorsätzlich in Form von Datendiebstahl oder Sabotage durch unzufriedene Mitarbeiter daherkommt oder unbeabsichtigt Wirkung entfaltet – als versehentlich entstandenes Datenleck oder unbemerkter Richtlinienverstoß. Laut Daten von Statista gehören Insider-Bedrohungen zu den größten Risiken für Chief Information Security Officer (CISO), 30 Prozent der IT-Verantwortlichen räumen diesen einen Platz unter den Top 5 im Gefahren-Ranking ein. Dies ist darauf zurückzuführen, dass Mitarbeiter, Auftragnehmer und Lieferanten mit internem Zugang jederzeit leicht Sicherheitskontrollen verletzen können und böswillige Akteure dadurch umso einfacher einen Fuß in die „Tür“ eines Unternehmens bekommen. Auf diese Weise lassen sich in betrügerischer Absicht etwa Privilegien in Finanz- und Beschaffungssystemen ausnutzen oder Daten exfiltrieren – um nur zwei Szenarien für böswillige Handlungen zu nennen, die die Sicherheit eines Unternehmens gefährden. Die Umsetzung proaktiver Maßnahmen ist wichtig, um die Vielzahl der mit Insider-Bedrohungen verbundenen Risiken einzudämmen.
Herausforderung 1: Vielschichtige IT-Landschaften
Die zunehmende Komplexität der Informationstechnologie ist in dem Zusammenhang ein offensichtlicher Stolperstein. IT-Lösungen und -Landschaften werden anspruchsvoller und da immer mehr Mitarbeiter auf Unternehmensnetzwerke zugreifen, vergrößert sich die Angriffsfläche zusehends. Deren Absicherung und Überwachung stellt IT-Security-Verantwortliche vor kaum zu unterschätzende Herausforderungen und die aus der Vielschichtigkeit resultierende Intransparenz schafft Schwachstellen, die von Hackern leicht erkannt und ausgenutzt werden können.
Herausforderung 2: Ausmaß an Fernarbeit
Gleichzeitig sorgt das gegenwärtige Ausmaß an dezentralen Arbeitsmodellen dafür, dass es immer schwerer wird, das Tagesgeschäft ganzheitlich im Blick zu behalten. Die Aufdeckung von unredlichem Verhalten gestaltet sich weitaus schwieriger. So berichtet zum Beispiel der in UK-ansässige Betrugspräventionsdienst Cifas, dass die Einträge in der Insider Threat Database (ITD) in Großbritannien 2023 um 14 Prozent zugenommen haben. Auslöser in 49 Prozent der Fälle waren schädliche Handlungen von Mitarbeitern, die laut Meinung vieler Unternehmen wiederum auf den steigenden finanziellen Druck zurückführbar sind. Vor diesem Hintergrund ist es umso entscheidender, dass Organisationen ein internes Risikomanagementprogramm einführen, welches die folgenden Schlüsselaspekte abdeckt:
- Richtlinien: Vorgaben sollten klar definieren, was unter einer akzeptablen Nutzung von Unternehmensressourcen zu verstehen ist, was den korrekten Umgang mit Daten auszeichnet und welche Konsequenzen mit Verstößen einhergehen.
- Zugriffskontrollen: Es zählt die Anwendung von rollenbasierten Kontrollen und des „Least Privilege“-Prinzips, um sicherzustellen, dass Mitarbeiter nur auf die Informationen zugreifen, die sie zur Erfüllung ihrer Aufgaben benötigen.
- Überwachung und Erkennung: Die Implementierung moderner Lösungen zur Überwachung der Benutzeraktivitäten trägt maßgeblich dazu bei, anormales Verhalten zu identifizieren. Die Wirkung verstärkt sich, wenn auf maschinellem Lernen basierende Verhaltensanalysen zum Tragen kommen, die Abweichungen von den definierten Regeln verlässlich erkennen.
- Incident-Response-Plan: Sobald eine Insider-Bedrohung entdeckt wird, muss ein verbindlich festgelegter Ablaufplan zur Eindämmung greifen. Dieser umfasst im Idealfall die Möglichkeit, forensische Untersuchungen durchzuführen, um das Ausmaß und die Auswirkungen des Vorfalls zu bewerten.
- Dedizierte Unternehmenskultur und Schulung: Last but not least gilt es, eine Kultur der Transparenz und des Vertrauens zu fördern, in der sich Mitarbeiterinnen und Mitarbeiter wohlfühlen, wenn sie verdächtige Aktivitäten melden. Im Zuge dessen sind Schulungen wichtig, die über die Risiken und Folgen von Insider-Delikten und anderen, unbewusst schädlichen Aktivitäten aufklären.
Fazit
Der Umgang mit Insider-Bedrohungen erfordert ein Verständnis dafür, wie externe Faktoren wie KI-gesteuerter Betrug und Täuschung über soziale Medien das Verhalten von Mitarbeitern beeinflussen und sie zu unwissentlichen Risikoträgern machen können. Raffinierte Phishing-Kampagnen bringen Mitarbeiter schnell dazu, versehentlich Informationen preiszugeben – schließlich kommt die Bedrohung nicht selten gut getarnt daher. Ein weiterer essenzieller Schritt für Unternehmen ist die Etablierung weitreichender Multifaktor-Authentifizierung (MFA), um den Schutz von Anmeldeinformationen wirkungsvoll zu verstärken. Nur eine Kombination aus robuster Technologie, kontinuierlicher Schulung und proaktiver Wachsamkeit kann das Risiko von internen und externen Bedrohungen nachhaltig verringern und die Widerstandsfähigkeit des Unternehmens in einer zunehmend komplexen Umgebung sicherstellen.
Carla Roncato ist Vice President of Identity bei WatchGuard Technologies.