Die erfolgreichsten Verbrechen in der Geschichte basieren oft auf einem Insider – einer vertrauenswürdigen Person innerhalb der Organisation, die den Kriminellen hilft. Nehmen wir zum Beispiel das Trojanische Pferd: Die Täuschung der Griechen war nur dank eines Insiders möglich, der das hölzerne Pferd voller Soldaten in die Stadt ließ. Auch bei Finanzbetrug und Diebstahl braucht es oft einen Insider, der wertvolle Informationen preisgibt oder Zugang zu Ressourcen verschafft. Dasselbe gilt für Cyber-Angriffe.
Häufige Vorfälle wie Datenschutzverletzungen, Malware, Ransomware, Diebstahl und Betrug sind oft das Ergebnis böswilliger oder unwissender Insider. Sie werden von Mitarbeitern oder Administratoren absichtlich oder versehentlich ausgeführt. Das Problem bei Insider-Bedrohungen ist, dass sie viel schwieriger zu erkennen sind und potenziell mehr Schaden anrichten können. Aus diesem Grund ist Wachsamkeit geboten. Das Verständnis potenzieller Indikatoren für Insider-Bedrohungen verbessert das Cyber-Bewusstsein eines jeden Unternehmens. In diesem Sinne wird in diesem Artikel erläutert, warum Schutz so wichtig ist und wie IGA (Identity Governance and Administration) zur Eindämmung von Insider-Bedrohungen beitragen kann.

Stellenwert des Schutzes vor Insider-Bedrohungen

Unternehmen verwenden viel Zeit und Mühe darauf, ihre Cyber-Abwehr gegen externe Bedrohungen zu stärken – mit Maßnahmen wie Firewalls, Antiviren-Software und DDoS-Schutz (Distributed Denial of Service).
Viele versäumen es jedoch, sich gegen Bedrohungen von innen zu schützen. Laut Security Magazine waren 2022 mehr als die Hälfte aller Unternehmen von Insider-Bedrohungen betroffen und jeder Vorfall kostete die Unternehmen durchschnittlich 15,38 Millionen US-Dollar.
Zudem werden die Hacker immer raffinierter. Die meisten versuchen gar nicht erst, sich einen Weg durch die Cybersicherheitsabwehr zu bahnen. Stattdessen versuchen sie, diese zu umgehen und von innen heraus anzugreifen, indem sie Taktiken wie Phishing und Social Engineering anwenden, um Benutzer dazu zu bringen, ihnen Zugang zu gewähren, beispielsweise durch gestohlene Anmeldedaten.
Ein modernes Unternehmen ist ständig Risiken ausgesetzt, da verschiedene Identitäten Zugang zu einer Vielzahl von Ressourcen benötigen, die sowohl vor Ort als auch in der Cloud bereitgestellt werden. Daher ist es wichtig, ein Gleichgewicht zwischen dem Schutz vor externen und internen Bedrohungen zu finden. Am besten ist es, mit Hilfe von Bedrohungsindikatoren frühzeitig nach Anzeichen für einen internen Angriff zu suchen.

Unterschied zwischen interner und externer Bedrohung

In vielerlei Hinsicht können Insider-Bedrohungen weitaus mehr Schaden anrichten als externe Bedrohungen. Dies liegt daran, dass eine Insider-Bedrohung potenziell direkten Zugang zu sensiblen Daten und kritischen Anwendungen hat, den sie ausnutzen kann, indem sie sich seitlich und vertikal bewegt, bis sie ihr gewünschtes Ziel erreicht hat. So ist es für Cyberkriminelle beispielsweise ein Leichtes, das Konto eines Administrators zu hacken, um Zugang zum Root-Server und zum Datenbanksystem zu erhalten.
Die meisten Unternehmen sind auch nicht ausreichend gegen Angriffe von innen geschützt, sodass diese viel leichter durchzuführen sind als Angriffe von außen. Und in vielen Fällen kann der Angreifer seine bösartigen Aktivitäten unbemerkt durchführen. Beispielsweise kann ein Hacker einen Benutzer dazu bringen, ihm seine Anmeldedaten zu geben, wodurch er sich dann als legitimer Benutzer anmelden und unbemerkt Daten stehlen kann. Außerdem könnte er sich auch Zugang zu einem vertrauenswürdigen Insider verschaffen, um sich dann auf die Lauer zu legen, bis er sein Ziel erreicht hat. Ohne IGA-Tools würden Administratoren dies nie bemerken, da es keine Leitplanken gibt, die ein Minimum an Privilegien garantieren.
Schließlich sind die Maßnahmen, die vor externen Bedrohungen schützen, gegen interne Angriffe weitgehend nutzlos, da sie einfach umgangen werden. Daher sind spezialisierte Lösungen erforderlich, um sie wirksam zu bekämpfen.

Schlüsselindikatoren für Insiderbedrohungen

Ungewöhnliche Logins

Dies ist eines der häufigsten Anzeichen für Insider-Bedrohungen. Wenn sich ein Konto unter ungewöhnlichen Umständen anmeldet, ist es möglich, dass ein Hacker versucht, sich Zugang zu verschaffen, und man sollte misstrauisch werden.
Einer der wichtigsten Indikatoren ist die Anmeldung von einem anderen, nicht erkannten Gerät aus. Es hat sich bewährt, nur Geräte zu verwenden, die vom Unternehmen ausgegeben oder registriert wurden. Alles andere könnte darauf hindeuten, dass das Konto des rechtmäßigen Benutzers von einem Hacker gestohlen wurde. Auch das Einloggen außerhalb der Arbeitszeit, beispielsweise in den frühen Morgenstunden, ist verdächtig.
Ein weiterer Hinweis auf eine Bedrohung ist das Einloggen von einem ungewöhnlichen Ort aus. Wenn ein Mitarbeiter zum Beispiel gerade noch im Büro war und er sich eine Stunde später plötzlich von einem anderen Land aus in das System einloggt, ist das ein großes Warnsignal. Auch mehrere fehlgeschlagene Anmeldeversuche sind ein Indikator, denn sie könnten ein Hinweis darauf sein, dass ein Hacker versucht, sich mit roher Gewalt Zugang zum System zu verschaffen.
Natürlich sind nicht alle ungewöhnlichen Anmeldeversuche böswillig. Vielleicht hat der Mitarbeiter nur sein Telefon verloren und musste sich mit einem anderen Gerät anmelden. Daher ist es wichtig, ungewöhnliche Anmeldeversuche zu untersuchen und sicherzustellen, dass es eine vernünftige Erklärung dafür gibt. Um ungewöhnliche Anmeldungen zu vermeiden, ist es wichtig, Anmeldungen in einem Zugriffsmanagement-Tool als Teil eines umfassenderen Identitätszugriffsmanagementprogramms zu verfolgen und zu verwalten.

Zugriffsversuche auf unberechtigte Anwendungen oder Daten

Einer der aufschlussreichsten Indikatoren für Insider-Bedrohungen sind wiederholte Versuche eines Benutzers, auf eine Netzwerkressource zuzugreifen, die nicht für ihn bestimmt ist. Man kann beispielsweise feststellen, dass jemand versucht, auf eine Untermenge von Daten oder auf eine Rolle zuzugreifen, für die er im Rahmen seiner Arbeit keinen Nutzen hat. Oder er versucht, privilegierte Aktionen in einem ERP-System (Enterprise Resource Planning) durchzuführen.
Eine böswillige Insiderbedrohung führt fast immer zu solchen unberechtigten Zugriffsversuchen. Einige wenige Versuche können als reine Neugier eines unschuldigen Mitarbeiters abgetan werden. Treten sie jedoch regelmäßig auf, ist Vorsicht geboten. Um solche Versuche zu verhindern, ist es am besten, das Prinzip des Least Privilege anzuwenden. Das bedeutet, dass ein Benutzer lediglich auf die Daten zugreifen darf, die er für seine aktuelle Rolle oder Aufgabe benötigt – nicht mehr. Mit einer IGA-Plattform lässt sich dieses Prinzip durchsetzen, indem Zugriffsrechte automatisch erteilt oder entzogen werden und der Zugriff regelmäßig zertifiziert wird.
Zudem sollte man auf das Konzept des Zero Trust setzen. Dieser Ansatz geht davon aus, dass jeder Benutzer nicht vertrauenswürdig ist und seine Identität daher durch regelmäßige Authentifizierung „beweisen“ muss. Zero Trust-Sicherheit kann verhindern, dass ein gehacktes Benutzerkonto weiterhin auf autorisierte Ressourcen zugreifen kann.

Installation nicht autorisierter Software

Bösartige Software ist einer der häufigsten Indikatoren für Insider-Bedrohungen, da sie so einfach zu verwenden ist. Ein klassisches Beispiel ist Ransomware, eine Software, die ein System oder eine Gruppe von Systemen lahmlegt, wenn der Angreifer nicht bezahlt wird. In einigen Fällen kann sich ein Außenstehender unbefugten Zugang zum Netzwerk verschaffen. Wenn ein Benutzer versucht, Software ohne Genehmigung des IT- oder Cybersicherheitsteams zu installieren, stellt dies ein Sicherheitsrisiko dar, das untersucht werden sollte. Glücklicherweise gibt es Möglichkeiten, dies zu verhindern.
Eine Taktik ist das Whitelisting von Anwendungen. Dabei wird eine Liste vorab genehmigter Anwendungen erstellt, die auf dem Arbeitsplatz eines Mitarbeiters ausgeführt werden dürfen. Alle anderen Anwendungen werden automatisch gesperrt. Die Endgerätesicherheit kann dazu verwendet werden, nicht genehmigte Anwendungen auf dem Endgerät des Benutzers zu blockieren. Auch durch die Festlegung und Durchsetzung von Sicherheitsrichtlinien kann verhindert werden, dass Mitarbeiter selbst Software installieren. Dazu benötigt man dann die Unterstützung und Genehmigung des IT-Teams.

Ungewöhnliche Eskalation von Zugriffsrechten

Manchmal kann eine Insiderbedrohung von einem Konto mit privilegiertem Zugriff ausgehen. Das Problem mit diesen Konten ist, dass sie, wenn sie kompromittiert werden, anderen Benutzern dieselben Berechtigungen gewähren können – eine potenzielle Schwachstelle.
Wenn eine große Anzahl von Benutzern festzustellen ist, die erweiterte Zugriffsrechte erhält, kann dies ein Hinweis auf eine Datenschutzverletzung im Hintergrund sein. Um sich vor solchen Vorfällen zu schützen, kann man ein Privileged Access Management System (PAM) einsetzen. Dieses Identitätssicherheitskonzept ist speziell auf Konten mit erhöhten Privilegien ausgerichtet, wie beispielsweise CEOs, Entwickler und Administratoren. In Kombination mit den Fähigkeiten von IGA, also der Einrichtung von Leitplanken, die sicherstellen, dass nur privilegierte Benutzer diese Art von administrativen Rechten erhalten, und der Implementierung von Rollen und Richtlinien, kann sichergestellt werden, dass dies auch so bleibt.

Verdächtiges Verhalten

Indikatoren für Insider-Bedrohungen sind nicht nur numerischer Natur. Auch soziale und verhaltensbezogene Anzeichen bei Mitarbeitern sind zu beachten, insbesondere, wenn diese drastisch von der Norm abweichen.
Ein Mitarbeiter, dessen Arbeitsleistung plötzlich und ohne vernünftige Erklärung nachlässt, sollte als verdächtig angesehen werden. Dasselbe gilt für Personen, die leicht in Konflikte mit Vorgesetzten oder Kollegen geraten. Diese Mitarbeiter könnten einen Groll hegen, der sie dazu verleiten könnte, das Unternehmen zu bestehlen.
Die gründliche Durchführung von Kündigungsprozessen ist wichtig. Dabei sollte sichergestellt werden, dass alle Anmeldeinformationen gelöscht und die Zugriffsrechte automatisch entzogen werden. Jeder Moment, in dem der Zugang bestehen bleibt, wenn jemand eine neue Rolle übernimmt oder das Unternehmen verlässt, ist ein Moment, in dem Angreifer zuschlagen könnten.

Wie IGA zur Eindämmung von Insider-Bedrohungen beitragen kann

Ein IGA-Tool ist ein grundlegender Schutz gegen Insider-Bedrohungen. Denn sie bekämpft den Kern dessen, was Insider-Bedrohungen gefährlich und effektiv macht – Identitätsdiebstahl.
IGA bietet eine optimierte Möglichkeit zur Verwaltung der Identitäten eines Unternehmens, einschließlich Benutzerkonten und Zugriffsrechten. Es muss sichergestellt werden, dass Mitarbeiter, Auftragnehmer und ausgelagerte IT-Abteilungen nur auf die für sie bestimmten Netzwerkressourcen zugreifen können. Außerdem können Zugriffsrechte je nach Situation automatisch gewährt oder entzogen werden. Wenn das System beispielsweise vermutet, dass ein Konto kompromittiert wurde, kann es alle Berechtigungen entziehen, um zu verhindern, dass das Konto weiter in das Netzwerk eindringt. Dies ist auch nützlich, um verwaiste Konten aufzuspüren und zu löschen, die ein leichtes Ziel für Insider-Angriffe sind.
IGA-Tools verfügen auch über Überwachungs- und Analysefunktionen, die die Benutzeraktivitäten ständig überprüfen. Wird eine Unregelmäßigkeit festgestellt, kann der betreffende Account sofort präventiv gesperrt werden. Mit anderen Worten: IGA ist wie ein wachsames Auge, das rund um die Uhr über das Netzwerk wacht.

Überwachung von Insider-Bedrohungsindikatoren

Robuste Überwachungs- und Sicherheitsanalysefunktionen erkennen alle verdächtigen Aktivitäten, die auf eine Insiderbedrohung hindeuten könnten. So können böswillige Zugriffe schnell erkannt und Muster genutzt werden, um potenzielle Bedrohungen zu identifizieren, bevor sie wirklichen Schaden anrichten.
Eine umfassende IGA-Lösung hilft auch beim Schutz vor Datenverlusten, indem sie warnt, wenn unberechtigt auf Dateien zugegriffen wird. Eine solche Lösung kann sogar erkennen, wenn privilegierte Benutzer unerlaubt auf sensible Daten zugreifen und diese aus dem Unternehmen mitnehmen. Mit dieser Funktion können potenzielle interne Bedrohungen schnell erkannt und Maßnahmen ergriffen werden, bevor Schaden entsteht.