Beurteilen Sie ein Buch nicht nach seinem Umschlag! Was sind Insider-Bedrohungen? Warum sollten Sie diese ernst nehmen?
von Roland Messmer, Fidelis Cybersecurity
Im vergangenen Jahr kam es zu einer Flut von Sicherheitsverletzungen, die alle große Beachtung fanden und eines gemeinsam hatten – ein Mitarbeiter oder Insider verursachte diese mutwillig. Für Sicherheitsexperten ist es einfach, sich auf die externen Bedrohungen zu konzentrieren. Dabei vergessen wir oft, dass die Bedrohung – wortwörtlich – nebenan ist. Ist es nicht beängstigend, dass Joe Blogs, der nicht befördert wurde und aufgebracht ist, sich so sehr darüber ärgern könnte, dass er böswillig dem Unternehmen schadet? Sicher. Wir verdrängen diesen Gedanken einer Insider-Bedrohung jedoch gerne und sagen uns, dass wir unmöglich mit einem Bösewicht zusammenarbeiten könnten, der das Image, die Geschäftstätigkeit oder sogar die Existenz des Unternehmens gefährden möchte. Aber lassen Sie uns realistisch sein – Tesla, Facebook, Coca Cola.... und auch der US-Regierung ist es passiert. Niemand ist davor gefeit. Und da dies der Fall ist, sollten wir alle das Risiko abschätzen und uns entsprechend verteidigen. Doch was ist eine Insider-Bedrohung? Was sind die Beweggründe für diese bösartigen Aktivitäten? Und warum sollten Unternehmen eine Strategie entwickeln, um die Risiken interner Bedrohungen zu minimieren? Wir werden all diese Fragen in diesem Blogbeitrag beantworten – und noch mehr.
Was ist eine Insider-Bedrohung?
Daniel Costa aus dem CERT Insider Threat Center der Carnegie Mellon University definiert eine Insider-Bedrohung als „das Potenzial einer Person, die Zugriff auf die Vermögenswerte einer Organisation hat oder hatte und diesen Zugang entweder böswillig oder unbeabsichtigt nutzt, um die Organisation negativ zu beeinträchtigen.“1
Welches sind die Beweggründe?
Zunächst ist es wichtig zu wissen, dass nicht alle Insider-Bedrohungen beabsichtigt sind, da viele Mitarbeiter versehentlich oder irrtümlich Social-Engineering-Techniken zum Opfer fallen, auf Phishing-E-Mails klicken und Widersachern damit die Schlüssel zum Schloss geben.
Doch auch böswillige Mitarbeiter können eine Reihe von Beweggründen haben – der häufigste ist die Aussicht auf finanziellen Gewinn. Eine Gartner-Studie zu kriminellen, internen Bedrohungen ergab, dass 62 Prozent der Insider mit böswilligen Absichten sogenannte „Second Streamers“ sind, das heißt, Personen, die ihr Einkommen aufbessern möchten.2 Diese Art der internen Bedrohung kann besonders gefährlich sein, da die Mitarbeiter oder Insider bei der Ausschleusung von Daten oft vorsichtiger sind. Um nicht erwischt zu werden, lassen sie es langsam angehen und versuchen auf lange Sicht, Geld damit zu verdienen.
Die seltenste Form der Insider-Bedrohung ist hingegen die betrügerische Absprache. Dies tritt üblicherweise dann auf, wenn Mitarbeiter oder Insider mit einer Hacker-Organisation in Beziehung treten. Obwohl dieser Fall selten eintritt, ist diese Form der Bedrohung üblicherweise am schwierigsten zu identifizieren und am teuersten.
Letztlich kann eine Insider-Bedrohung auch von Rache motiviert sein – wie wir im vergangenen Jahr bei Tesla gesehen haben. Verärgerte Mitarbeiter meinen, ihrer Organisation Schaden zufügen zu müssen.
Warum wir Insider-Bedrohungen ernst nehmen müssen
Im vergangenen Jahr kam es zu einer Reihe von Sicherheitsverletzungen als Folge von böswilligen internen Angriffen. Es ist offensichtlich, dass diese Form der Bedrohung – ganz gleich, wie groß oder wichtig sie für eine einzelne Organisation ist – stets präsent ist. Das gilt selbst für Regierungsbehörden. Das National Counterintelligence and Security Center wies darauf hin, dass die größten Fehlschläge in der Spionageabwehr auf angeblich vertrauenswürdige Insider zurückzuführen waren, die jedoch andere Hintergedanken hatten.
Insider-Bedrohungen sind schwer zu identifizieren
Interne Bedrohungen sind offenkundig schwer zu erkennen. Mitarbeiter oder Insider haben bereits Zugriff auf das Netzwerk und verfügen über autorisierte Anmeldeinformationen. Deshalb wird ihr Zugriff von einem herkömmlichen Monitoring-System nicht angezeigt. Oft haben sie auch Zugang zu sensiblen Geschäftsdaten – auch wenn sie diese nicht immer benötigen. Mitarbeiter oder Insider kennen häufig auch die bestehenden Sicherheitsmaßnahmen und wissen, wie sie diese umgehen können. In Kombination mit dem weit verbreiteten Mangel an Transparenz hinsichtlich der Nutzerzugriffe und -aktivitäten sowie der schwierigen Identifizierung der Akteure stellen Insider-Bedrohungen eine unglaubliche Herausforderung für Unternehmen dar.
Insider-Bedrohungen sind kostenintensiv
Insider-Bedrohungen lassen sich mit herkömmlichen Bedrohungen vergleichen – je länger sie unentdeckt bleiben und sich im Netzwerk bewegen, desto mehr Schaden können sie anrichten. In Kombination mit der Tatsache, dass keine Alarme ausgelöst werden, können wir von einem hohen potenziellen Schadensrisiko sprechen. Laut dem Ponemon Institute betragen die durchschnittlichen Kosten für Insider-Bedrohungen 8,76 Millionen US-Dollar pro Jahr und pro Unternehmen – das finanzielle Risiko ist also enorm. Die Punjab National Bank war im Jahr 2018 ein bedauerliches Beispiel dafür: Ein böswilliger Insider soll den Weg für betrügerische Transaktionen in Höhe von 1,8 Milliarden US-Dollar geebnet haben.3
Unternehmen können ihre Compliance riskieren
Sie sollten ebenfalls den Datenschutz und die Compliance im Auge behalten, da eine Bedrohung durch Insider häufig die Exfiltration von Daten zum Ziel hat. Bei Coca Cola kam es im vergangenen Jahr zu einem Insider-Angriff, bei dem personenbezogene Daten von rund 8.000 Mitarbeitern entwendet wurden. Hinzu kam, dass das Unternehmen sich der Situation gar nicht bewusst war, bis es von den Strafverfolgungsbehörden über den Datenschutzverstoß informiert wurde.4
Insider-Bedrohungen können zur unternehmerischen Katastrophe führen
Wie im Fall Tesla zu sehen war, kann eine Insider-Bedrohung auch den Geschäftsbetrieb sabotieren oder die Wettbewerbsfähigkeit eines Unternehmens gefährden. In diesem Fall hat ein verärgerter Angestellter, der bei einer Beförderung das Nachsehen hatte, „unter falschen Benutzernamen Veränderungen am Code des Tesla-Produktionssystems vorgenommen und große Mengen hochsensibler Daten an unbekannte dritte Parteien weitergegeben“ hieß es in einem Schreiben an die Mitarbeiter.5
Fazit
Insider-Bedrohungen können in vielen verschiedenen Varianten auftreten. Aber es liegt in der Natur der Sache, dass sie als „Doppelagenten“ über einen langen Zeitraum hinweg verheerenden Schaden für die Unternehmen, gegen die sie sich richten, verursachen können. Organisationen müssen das Risiko bewerten – welche und in welchem Ausmaß sind sensible Daten für Mitarbeiter zugänglich? Sollte jeder Mitarbeiter Zugang zu allen Daten haben? Welche Maßnahmen ergreifen sie, um schadhaftes Verhalten zu erkennen und einzudämmen?
Kontakt:
Roland Messmer
– Fidelis Cybersecurity –
E-Mail:
Quellenangaben
- Costa, D. (2017, March 7). CERT Definition of 'Insider Threat' - Updated [Web log post]. Retrieved January 9, 2019, from https://insights.sei.cmu.edu/insider-threat/2017/03/cert-definition-of-insider-threat---updated.html
- Chuvakin, A. (2016, May 9). Our “Understanding Insider Threats” Paper Publishes [Web log post]. Retrieved January 10, 2019, from https://blogs.gartner.com/anton-chuvakin/2016/05/09/our-understanding-insider-threats-paper-publishes/
- Goswami, S. (2018, February 21). Mitigating the Insider Threat: Lessons From PNB Fraud Case. Retrieved January 9, 2019, from https://www.bankinfosecurity.com/mitigating-insider-threat-lessons-from-indian-fraud-case-a-10674
- Olenick, D. (2018, July 23). Coca-Cola hit with insider breach, 8,000 affected. Retrieved January 9, 2019, from https://www.scmagazine.com/home/security-news/data-breach/coca-cola-hit-with-insider-breach-8000-affected/
- Burgess, C. (2018, June 26). Insider threat becomes reality for Elon Musk. Retrieved January 9, 2019, from https://www.csoonline.com/article/3284444/security/insider-threat-becomes-reality-for-elon-musk.html