Zero-Trust und Endpunktsicherung:Risikobewusste Navigation durch lauernde Insider-Bedrohungen
15. Oktober 2021Als im März 2020 der erste Lockdown infolge der Corona-Pandemie begann, ist die Zahl der Remote-Mitarbeiter innerhalb weniger Wochen von neun auf 77 Prozent gestiegen – eine enorme Herausforderung, auf die viele Unternehmen nicht ausreichend vorbereitet waren. Cyber-Kriminelle witterten unverzüglich ihre Chance, die Krise auszunutzen, und starteten eine massive Phishing-Kampagne, die insbesondere auf Remote-Mitarbeiter abzielte. Doch was sind die Gründe für diesen massiven Anstieg der Insider-Bedrohungen und warum ist trotz des enormen Schadenspotenzials nur selten böswillige Absicht im Spiel?
Laut einer Studie des Ponemon Institute lassen sich Insider-Bedrohungen im Allgemeinen in drei Kategorien einteilen. Die erste bilden kompromittierte Insider, denen oft nicht bewusst ist, dass ihre Systeme, Anmeldedaten oder Zugriffsrechte von einem externen Bedrohungsakteur gekapert und missbraucht wurden.
Eine zweite Gruppe besteht aus unvorsichtigen oder fahrlässigen Insidern, die versehentlich Schaden anrichten, indem beispielsweise ein Mitarbeiter eine E-Mail mit personenbezogenen Daten an die falsche Adresse sendet. Solche Vorfälle kosten Unternehmen im Durchschnitt 258.607 Euro. Mit einem Anteil von 62 Prozent an allen gemeldeten Vorfällen beläuft sich die Gesamtsumme allerdings auf bis zu 3,86 Millionen Euro jährlich. Auch wenn es sich um unbeabsichtigte Fehler handelt, können sie den Ruf eines Unternehmens ernsthaft schädigen und schwerwiegende behördliche Sanktionen nach sich ziehen.
In der dritten Kategorie werden kriminelle oder böswillige Insider zusammengefasst, die Diebstahl, Sabotage oder Spionage begehen. Obwohl sie die meiste Aufmerksamkeit auf sich ziehen, waren kriminelle und böswillige Insider der Studie zufolge nur für 23 Prozent der genannten Insider-Angriffe verantwortlich. Angesichts der durchschnittlichen Kosten eines solchen Angriffs in Höhe von 636.400 Euro beträgt die Summe jedoch bis zu 3,44 Millionen Euro jährlich. Solche Insider können durch finanzielle Not sowie politische oder religiöse Ideologien motiviert sein, nach Rache für empfundenes Unrecht oder Arbeitskonflikte streben oder durch Anreize von cyber-kriminellen und staatlich gesponserten Bedrohungsakteuren beeinflusst sein.
Als Kostentreiber benennt die Studie die „Überwachung und Beobachtung, Untersuchung, Eskalation, Reaktion auf Vorfälle, deren Eindämmung, nachträgliche Analyse und Behebung“. Besonders ins Gewicht fallen die Kosten für die Untersuchung, die in nur zwei Jahren um 86 Prozent auf durchschnittlich 87.405 Euro angewachsen sind.
Erkennung von Insider-Bedrohungen
Insider mit Gefährdungspotenzial sind auf den ersten Blick kaum von ihren Kollegen ohne böse Absichten zu unterscheiden: Sie nutzen Netzwerke und Daten, um ihre Arbeit zu erledigen. Ihnen werden Nutzerrechte zugewiesen und es wird von ihnen erwartet, dass sie diese produktiv nutzen. Manchmal können Unternehmen jedoch verhaltensbedingte Frühwarnzeichen erkennen, die darauf hinweisen, dass ein Insider-Vorfall unmittelbar bevorsteht oder bereits im Gange ist.
Dazu gehören wiederholte Versuche, Sicherheitskontrollen zu umgehen, feindselige Ausbrüche gegen Kollegen und Vorgesetzte, offenkundige Verstöße gegen gängige Nutzungsrichtlinien, häufiges Einloggen in Unternehmensdatenbanken außerhalb der normalen Arbeitszeiten, das Versenden großer Datenmengen per E-Mail an externe Stellen und wiederholter Zugriff auf sensible Daten, die nicht mit der Rolle und den Verantwortlichkeiten des Mitarbeiters in Zusammenhang stehen.
Management von Insider-Bedrohungen
BlackBerry empfiehlt Unternehmen, ihre bestehenden Sicherheitskontrollen und -prozesse zu überprüfen, um festzustellen, ob sie für ein wirksames Management von Insider-Risiken geeignet sind. Es sollten Plattformen zur Endpunktsicherung der nächsten Generation sowie Lösungen zur Detektion und Intervention bei sicherheitskritischen Vorfällen an Endpunkten eingesetzt werden, die auf künstlicher Intelligenz und maschinellem Lernen basieren. Das Ziel der Maßnahmen: Insider-Bedrohungen entschärfen, bevor sie zu größeren Sicherheitsvorfällen eskalieren.
Unternehmen sind außerdem gut beraten, zu einem präventiven Zero-Trust-Sicherheitskonzept überzugehen, das Continuous Authentication nutzt, um Vorgaben dynamisch auf Basis des aktuellen Bedrohungsprofils eines Mitarbeiters anzupassen. Zudem sollten einheitliche Endpunktverwaltungssysteme eingesetzt werden. Sie bieten den Analysten des Security Operations Center Transparenz und Kontrolle über alle Arten von Endpunkten, die Insider für den Zugriff auf Unternehmensressourcen nutzen können.
Mit einem umfassenden Portfolio von Service- und Softwarelösungen unterstützt BlackBerry Unternehmen dabei, Insider-Risiken zu reduzieren, die Produktivität von Remote-Mitarbeitern zu steigern und den maximalen Nutzen aus ihren Investitionen in wegweisende mobile und Cloud-Technologien zu ziehen.
Ulf Baltin ist Managing Director für den Bereich DACH bei BlackBerry.