Die Auswirkungen von Insider-Bedrohungen auf die Cyber-Sicherheit
Eine Insider-Bedrohung beschreibt mögliche Sicherheitsvorfälle, die von Personen innerhalb einer Organisation ausgehen können. Diese Personen können Mitarbeiter*innen, Beschäftigte in Projekten, Praktikant*innen oder sogar Führungskräfte des eigenen Unternehmens sein. Insider- Bedrohungen können in vielen Formen auftreten, einschließlich Sabotage, Diebstahl von geistigem Eigentum, Verletzung von Datenschutzvorschriften und anderen illegalen Aktivitäten. Der Grund für solche Gefahren kann dabei aus verschiedensten Bereichen kommen. Neben einer rein finanziellen Motivation können auch zutiefst persönliche Motive dazu führen, dem eigenen Unternehmen schaden zu wollen. Denkbar ist auch, dass Mitarbeiter*innen aus Unwissenheit heraus Sicherheitsvorfälle auslösen. Es sind auch Überschneidungen mit externen Bedrohungen möglich, bei denen sich die Angreifer als Insider tarnen. Durch das Übernehmen und Ausnutzen von internen Zugangsberechtigungen wird dann stellvertretend auf sensible Bereiche zugegriffen. Obwohl die Auswirkungen ähnlich sind, werden solche extern ausgelösten Vorfälle nicht der Insider-Bedrohung zugerechnet. In einer Studie der letzten beiden Jahre wurde eine Verdoppelung der Vorfälle durch Insider festgestellt [1].
Welche Vorkehrungen können getroffen werden?
Insider-Bedrohungen sind deswegen sehr gefährlich, weil sie von an sich vertrauenswürdigen Personen innerhalb einer Organisation ausgehen. Sie sind daher schwieriger zu erkennen und zu verhindern, als typische Bedrohungen von außerhalb. Um sich vor Insider-Bedrohungen zu schützen, gibt es einige Empfehlungen, die geprüft und vorbereitet werden können [2]:
- Alle Mitarbeiter*innen sollten regelmäßig über die Bedeutung von Sicherheit und Datenschutz aufgeklärt werden. Ein Ablauf, wie auf verdächtige Aktivitäten oder Bedrohungen reagiert wird und wer im Verdachtsfall zu verständigen ist, soll einfach einsehbar sein.
- Setzen Sie Richtlinien für den Umgang mit geistigem Eigentum und vertrauliche Informationen um. Sorgen Sie dafür, dass alle Mitarbeiter*innen über diese Richtlinien Bescheid wissen und auch über strafrechtliche Konsequenzen aufgeklärt werden.
- Setzen Sie robuste Zugriffs- und Authentifizierungsverfahren ein, um sicherzustellen, dass nur wirklich autorisierte Personen auf sensible Informationen zugreifen können. Minimieren Sie den möglichen Zugriff nur für Rollen und Personen, die solche Daten wirklich für die Durchführung ihrer Aufgaben unbedingt benötigen.
- Überwachen und protokollieren Sie den Zugriff auf sensible Daten und Systeme, um mögliche Bedrohungen frühzeitig zu erkennen. Auch nach einem Vorfall können solche Daten helfen, den Verursacher und das Ausmaß zu identifizieren.
- Bei Verdacht des Missbrauchs oder auch z.B. Unternehmensaustritten sollen die Rechte der Person sofort stark eingeschränkt oder entzogen werden.
- Führen Sie regelmäßig Sicherheitsüberprüfungen und Audits durch, um Schwachstellen in den Sicherheitsmaßnahmen und Rechtevergaben aufzudecken.
Achtung bei besonders “mächtigen” Benutzern
Einen besonderen Stellenwert nehmen in Bezug auf Insider-Bedrohungen Personen mit besonders weitreichenden Rechten wie Administratoren und Superuser ein. Gerade bei diesen Rollen sollte eine grundsätzliche Zusatzvalidierung der wichtigsten, höchsten Befugnisse erfolgen (z.B. 4-Augen-Prinzip) und auch sichergestellt werden, dass z.B. die Protokollierungen von Tätigkeiten manipulationssicher ausgeführt ist und gegen Veränderung gesichert ist.
Fazit: Insider-Bedrohungen stellen eine weit unterschätzte Sicherheitsgefahr dar. Es ist wichtig, dass alle Mitarbeiter*innen an der Sicherheit und dem Schutz von Unternehmensdaten beteiligt sind und wissen, wie sie sich verantwortungsbewusst verhalten. Durch die Umsetzung und Einhaltung von Trennung der wichtigsten Rollen und -Richtlinien sowie einer minimierten Rechtevergabe können Insider-Bedrohungen zumindest minimiert werden.
Quellen: