Im Gegensatz zur „Insider-Bedrohung“ impliziert der Begriff „Insider-Risiko“ keine böswillige Absicht, sondern umfasst Szenarien, in denen ein eigentlich wohlmeinender Mitarbeitender einen Fehler macht. Laut Ponemon[1] sind mehr als 50 Prozent der Insider-Vorfälle auf Pannen und Unachtsamkeit zurückzuführen, z. B. auf Fehlkonfigurationen von Systemen und die unbefugte oder versehentliche Offenlegung von Daten.

Gängige Indikatoren auf die Unternehmen achten sollten

Wollen Unternehmen Insider-Bedrohungen zeitnah erkennen, müssen sie ungewöhnliche und potenziell verdächtige Verhaltensmuster oder unbefugte Aktivitäten im Blick haben, die einzelne Personen, Teams oder Maschinen als potenzielles Sicherheitsrisiko identifizieren. Klassische Indikatoren sind etwa ungewöhnliche Zugangszeiten außerhalb der normalen Geschäftszeiten, abnormale wie z. B. mehrere Sitzungen, unbekannte Standorte, die auf Ressourcen zugreifen, fehlgeschlagene Anmeldeversuche über Passwörter oder MFA oder unbekannte Geräte.

Böswillig oder unbeabsichtigt – auf die Unterschiede kommt es an

Das Verständnis der Unterschiede zwischen böswilligen Insidern und solchen, die unbeabsichtigte Fehler machen, ist entscheidend für die Entwicklung wirksamer Sicherheitsmaßnahmen zur Eindämmung entsprechender Vorfälle.

• Motivation: Während böswillige Insider in der Regel durch persönlichen oder finanziellen Gewinn motiviert sind, liegt der Ursprung unbeabsichtigter Insider-Bedrohungen meist im Stress und einem erhöhten Arbeitsdruck. Ihre Motivation liegt vor allem darin, mit weniger Aufwand und mitunter durch die Umgehung bestimmter Sicherheitsmaßnahmenihrer Arbeit nachzugehen. Tatsächlich wollen sie nicht schaden, sondern einfach nur ihre Arbeit erledigen.
• Handlungen: Während böswillige Insider versuchen, aktiv Systeme auszuschalten oder zu verlangsamen, indem sie beispielsweise Schadsoftware einschleusen, ist das Hauptproblem bei unwissenden Insidern der Zugriff auf und die Weitergabe von Informationen, die eigentlich durch Compliance- und Datenschutzbestimmungen sowie ein entsprechendes Zugriffsmanagement geschützt sein sollten.
• Auswirkungen: Die größten Schäden verursachen in der Regel böswillige Insider, insbesondere wenn sie die Absicht haben, den Geschäftsbetrieb lahmzulegen. Aber auch Diebstahl vertraulicher Daten durch ausscheidende Mitarbeiter – etwa durch Exportieren auf einen USB-Stick – kommt laut einer Studie von DTEX[2] in 56 Prozent der Unternehmen vor. Indikatoren hierfür können ungewöhnliche Zugriffszeiten und große Downloads sein. Unbeabsichtigte Handlungen von „freundlichen“ Insidern hingegen haben eher selten Ausfallzeiten zur Folge, führen aber in der Regel zur Offenlegung von Daten, was hohe Bußgelder, Reputationsschäden und Versicherungskosten nach sich ziehen kann. So kann zum Beispiel beim Einrichten eines Services eines Drittanbieters auf einem neuen Computer versehentlich ein Virus heruntergeladen werden. Indikatoren für eine solche Insider-Bedrohung könnten unbekannte Geräte sein, die auf privilegierte Ressourcen zugreifen.

Unterschätzte Risiken unbeabsichtigter Verhaltensweisen

Traditionelle Methoden der Bedrohungserkennung und -abwehr, die für externe Akteure entwickelt wurden, sind nicht geeignet, um Bedrohungen durch unwissende Insider zu verhindern, zu identifizieren und einzudämmen und das Insider-Risiko damit nachhaltig zu verringern. Viele übliche Verhaltensweisen und Prozesse am Arbeitsplatz setzen Unternehmen einem Insider-Risiko aus, wie z. B. das Weiterleiten von Informationen an persönliche E-Mail- oder Cloud-Speicherkonten, das Klicken auf verdächtige Links in Phishing-E-Mails, eine schlechte Passwortverwaltung, zu weit gefasste Zugriffsrechte auf sensible Daten oder Fehlkonfigurationen von IT-Systemen. Der Schlüssel zur Verringerung von Insider-Risiken liegt jedoch darin, die Mitarbeitenden in die Lage zu versetzen, solche Verhaltensweisen zu erkennen und entsprechend zu handeln, wobei die Unternehmen Schuldzuweisungen und Scham vermeiden sollten, wenn Fehler passieren. Gleichzeitig darf man sich jedoch nicht zu sehr darauf verlassen, dass Mitarbeitenden und Bereichsadministratoren immer das Richtige tun, denn das könnte zu einem verzögerten Eingreifen bei verdächtigen Handlungen führen.

Der sichere Weg zur Risikominimierung

Wollen Unternehmen Insider-Risiken nachhaltig senken, sollten sie einen dreistufigen Ansatz verfolgen, der auf technischen Hilfsmitteln, Verhaltensanalysen und der Sensibilisierung der Mitarbeitenden beruht:

1. Befähigen Sie Ihre Belegschaft, ihre Arbeit produktiv und sicher zu erledigen, ohne ihnen die Verantwortung für die Einhaltung komplexer Sicherheitsprozesse aufzubürden. Beseitigen Sie weitreichende, ständige Zugriffsrechte, einschließlich des lokalen administrativen Zugriffs auf Workstations. Automatisierte, richtlinienbasierte Kontrollen müssen verhindern, dass ein Benutzer vertrauliche Daten sieht oder preisgibt, Systemeinstellungen ändert oder Malware in die IT-Umgebung einschleust.
2. Nutzen Sie Lösungen für maschinelles Lernen zur Identifizierung potenzieller Insider-Bedrohungen, zur Warnung von Administratoren vor nicht autorisierten Datendownloads und -übertragungen sowie zur Kennzeichnung ungewöhnlichen Verhaltens menschlicher und nicht-menschlicher Identitäten. Die Überwachung von privilegiertem Verhalten kann zu intensiveren Überwachungsmechanismen für Umgebungen und Benutzer mit hohem Risiko führen. Kennen Sie die üblichen Zeiten, in denen das Insider-Risiko steigt, z. B. wenn das Unternehmen eine große Entlassung vornimmt, eine neue Partnerschaft eingegangen wird oder neue Arbeitsplatz-Tools integriert werden. Zu diesen Zeiten ist es ratsam, die Überwachung von Indikatoren für Insider-Bedrohungen zu verstärken und zusätzliche Anforderungen für die Authentifizierung und den Zugang zu stellen.
3. Verhindern Sie, dass Daten oder Dateien das Unternehmen verlassen und setzen Sie auf Software, die eine aktive Blockierungstechnologie implementiert. Nur wenige Unternehmen verlassen sich auf vollautomatische Prozesse wie die Sperrung des Mitarbeiterzugangs zu kritischen Systemen. Vielmehr ziehen sie es vor, den Grund für ungewöhnliches Insiderverhalten zu untersuchen, Warnungen auszusprechen und die Sicherheitskontrollen zu verstärken.

Fazit

Insider-Risiken werden auch in Zukunft unsere Bedrohungslandschaft prägen. Denn Remote-Arbeit, Systemintegration und die Abhängigkeit von Dienstleistungspartnern und anderen Dritten in erweiterten Lieferketten erhöhen zwangsläufig das Potenzial für Fehlverhalten und böswillige Insiderbedrohungen, die kostenintensive Schäden bedeuten können. Angesichts der knappen Budgets für die Cybersicherheit müssen die Verantwortlichen alles in ihrer Macht Stehende tun, um die vielfältigen Indikatoren zu verstehen und im Auge zu behalten.

[1] https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats
[2] https://www.dtexsystems.com/blog/the-great-data-infiltration-of-2022-the-data-you-dont-want-why/