Nicht jede Sicherheitsbedrohung geht von außerhalb des Unternehmens aus. Externen Bedrohungen wird in der Regel mehr Aufmerksamkeit geschenkt, aber ein IBM-Bericht zeigt, dass ein durch eine Insider-Bedrohung verursachter Verstoß sogar noch höhere Kosten verursachen kann. Tatsächlich kosten böswillige Insider-Angriffe durchschnittlich 4,99 Millionen US-Dollar, obwohl sie nur 7 % der Verstöße ausmachen. Damit sind sie der teuerste Verstoßvektor im Bericht. Versehentliche Datenlecks – wenn Mitarbeiter einfach Fehler machen und Daten preisgeben – machen weitere 6 % der Verstöße aus, mit einem durchschnittlichen Preis von 4,28 Millionen US-Dollar.
Um sich erfolgreich vor einer Insider-Bedrohung zu schützen, ist eine Kombination aus Strategie und Technologie erforderlich. Hier sind fünf Tipps, mit denen Sie Ihre Organisation schützen können.
Was ist eine Insider-Bedrohung?
Eine Insider-Bedrohung ist jede Cybersicherheitsbedrohung, die von einem autorisierten Benutzer ausgeht, sei es ein neu eingestellter Mitarbeiter, ein C-Level-Manager oder sogar ein externer Geschäftspartner. Sowohl vorsätzlicher als auch versehentlicher Missbrauch fallen unter den Begriff der Insider-Bedrohung. Unternehmensspionage ist vielleicht die bekannteste Form der Insider-Bedrohung, aber auch ein Auftragnehmer, der versehentlich vertrauliche Daten weitergibt, zählt dazu. Ebenso ein Bedrohungsakteur, der sich hinter gestohlenen Anmeldedaten versteckt.
Hier sind drei häufige Beispiele für Insider-Bedrohungen:
- Ein böswilliger Insider ist jemand, der seinen Zugang zu Informationen aus Rache oder aus Profitgier missbraucht. Dabei handelt es sich oft um verärgerte aktuelle oder ehemalige Mitarbeiter.
- Ein fahrlässiger Insider ist ein legitimer Benutzer, der das Unternehmen versehentlich für Cyberangriffe anfällig macht. Wenn ein Mitarbeiter beispielsweise einen Laptop mit Finanzdaten verliert, wird er zu einem fahrlässigen Insider und hat eine Schwachstelle geschaffen.
- Ein kompromittierter Insider ist ein Bedrohungsakteur, der die Anmeldedaten eines legitimen Benutzers stiehlt und sie verwendet, um ein Unternehmen zu schädigen.
5 Taktiken zur Verhinderung von Insider-Bedrohungen
Richtlinien zur Datensicherheit entwickeln
Der erste Schritt zum Schutz vor einer Insider-Bedrohung besteht darin, Richtlinien zur Datensicherheit zu entwickeln, die sowohl vor Nachlässigkeit als auch vor Missbrauch schützen. In Ihren Richtlinien sollte klar definiert werden, was als akzeptables Netzwerkverhalten gilt. Sie sollten auch Sicherheits-Best-Practices enthalten, die für Mitarbeiter verständlich sind und deren Befolgung sie als angenehm empfinden. Schließlich sollten Ihre Richtlinien auch Protokolle zur Reaktion auf Vorfälle enthalten, damit die IT-Abteilung im Falle einer Sicherheitsverletzung schnell und effektiv arbeiten kann.
Kennen Sie Ihre Mitarbeiter
Die Cybersecurity & Infrastructure Security Agency (CISA) stuft es als eine von drei Schlüsselkomponenten eines Plans zur Bewältigung von Insider-Bedrohungen ein, seine Mitarbeiter zu kennen. Den Grundstein dafür können Sie mit einem gründlichen Prüfungsverfahren legen, der Bestandteil des Einstellungsverfahrens ist.
Sobald ein Mitarbeiter Teil des Unternehmens ist, sollten Sie ihn über Ihre Sicherheitsrichtlinien informieren. Eine umfassende und ansprechende Schulung kann dazu beitragen, dass Ihre gesamte Belegschaft weiß, wie sie sich selbst und das Unternehmen schützen kann. Das bedeutet weniger kompromittierte und fahrlässige Insider.
Selbst die Mitarbeiter mit den besten Absichten können mit der Zeit nachlässig werden. Sie können dieser Tendenz durch regelmäßige Auffrischungsschulungen entgegenwirken, die Ihnen auch die Möglichkeit bieten, Ihre Mitarbeiter über neue Richtlinien, Technologien und Angriffsvektoren zu informieren, auf die sie achten sollten.
Identifizieren und katalogisieren Sie sensible Daten
Der zweite entscheidende Bestandteil des CISA-Ansatzes besteht darin, Ihre sensibelsten Daten zu identifizieren und Prioritäten für diese festzulegen. Beginnen Sie mit einer Bestandsaufnahme Ihrer Daten. Erfassen Sie alle Speicherorte, die sensible Daten enthalten, und bewerten Sie jeden einzelnen entsprechend der Sensibilität der Daten. Als Nächstes untersuchen Sie Ihre Infrastruktur und bewerten jedes Element anhand des Schadens, den ein Ausfall verursachen würde.
Bewerten Sie anhand der von Ihnen erstellten Daten- und Systemübersicht, wie anfällig Ihre wichtigsten Datenspeicher und Systeme sind. Wer kann auf die einzelnen Speicherorte zugreifen? Wer kann Ihre Netzwerkeinstellungen manipulieren? Wie einfach und mit welcher Berechtigung? Die Antworten auf diese Fragen helfen Ihnen bei der Entwicklung zusätzlicher Schutzmaßnahmen. Sie können auch in Ihre Reaktionspläne einfließen.
Potenzielle Bedrohungen erkennen und zuordnen
Um den CISA-Ansatz für das Management von Insider-Bedrohungen zu vervollständigen, müssen Sie einen Rahmen für die Erkennung, Zuordnung, Bewertung und das Management von Bedrohungen schaffen. Dieser Rahmen kann weiter in zwei Schritte vereinfacht werden: Überwachung des Verhaltens auf verdächtige Aktivitäten und Reaktion auf potenzielle Bedrohungen.
Durch die Implementierung einer Data Loss Prevention (DLP)-Lösung können Sie die Handlungen Ihrer Mitarbeiter rund um die Uhr im Auge behalten. Automatische Warnmeldungen können verdächtige Aktivitäten wie nächtliche Anmeldungen oder umfangreiche Downloads melden. Diese Form der Erkennung von Insider-Bedrohungen versetzt Sie in die Lage, schnell und effektiv zu reagieren.
Obwohl das CISA empfiehlt, ein spezielles Team von Mitarbeitern zur Bewertung von Insider-Bedrohungen beizubehalten, betont es auch, dass es keinen einheitlichen Ansatz gibt. Sie können User & Entity Behavior Analytics (UEBA) einsetzen, um Ihre Warnmeldungen zu verfeinern und den Bewertungsprozess stärker zu automatisieren. Diese Technologie erstellt ein Verhaltensprofil für jeden Benutzer in Ihren Systemen, wodurch Fehlalarme reduziert und die Genauigkeit Ihrer Warnmeldungen erhöht werden.
Die meisten DLP- und UEBA-Lösungen erstrecken sich nicht auf die Cloud. Wenn Ihre Teams SaaS- oder PaaS-Lösungen verwenden, können Sie dieselben Schutzmaßnahmen mithilfe eines Cloud Access Security Broker (CASB) anwenden.
Umgang mit Bedrohungen
In den meisten Fällen beginnt das Management von Insider-Bedrohungen, bevor Ihr DLP einen Vorfall meldet. Sie können Ihre DLP-Lösung verwenden, um Berechtigungen und Zugriffskontrollen festzulegen, um einzuschränken, was jeder Mitarbeiter sehen und bearbeiten kann. Mitarbeiter benötigen Zugriff auf einige sensible Informationen, um ihre Arbeit zu erledigen, aber je weniger Zugriff sie darüber hinaus haben, desto geringer ist das Risiko, das sie darstellen.
Selbst bei eingeschränktem Zugriff können gutwillige Mitarbeiter Fehler machen, die zu Datenlecks führen. Ihr DLP sollte mehrere Möglichkeiten bieten, um dieses Risiko zu minimieren, beginnend mit der Datenklassifizierung. Je nach Sensibilität der Daten kann Ihr DLP unterschiedliche Schutzmaßnahmen anwenden. So können beispielsweise Dokumente mit geringer Sensibilität mit einem Wasserzeichen versehen oder ihre Schlüsselwörter geschwärzt werden. Vertrauliche Daten können automatisch verschlüsselt werden, wodurch das von ihnen ausgehende Risiko minimiert wird, bevor sie Ihr System verlassen.
Was passiert, wenn ein Benutzer versucht, unverschlüsselte Daten herunterzuladen? Enterprise Digital Rights Management (EDRM) kann eingreifen und die Daten verschlüsseln, sobald der Download beginnt.
Mit SSE auf der sicheren Seite
Die moderne Cybersicherheitslandschaft ist komplexer denn je. Netzwerke, Clouds und Anwendungen enthalten wertvolle Daten und Infrastrukturen und schaffen so eine riesige Angriffsfläche mit vielen einzigartigen Sicherheitsherausforderungen. Um diese Komplexität zu durchbrechen, hat Lookout eine datenzentrierte Security Service Edge (SSE)-Lösung entwickelt, die alle Ihre Systeme unter einer Oberfläche vereint. Mit mehr Transparenz und den gleichen fein abgestimmten Kontrollen kann Ihre IT Ihre Daten schützen – sogar vor Bedrohungen durch Insider.
Möchten Sie wissen, wie Lookout SSE funktioniert? Nehmen Sie an einem kostenlosen, praktischen Workshop teil, in dem alle Funktionen der Lösung vorgestellt werden. Klicken Sie hier, um mehr zu erfahren.