:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
5 Schritte für eine effektive Insider-Strategie Insider-Bedrohungen effektiv begegnen
Insider-Bedrohungen haben ein enormes Schadenspotenzial: Im „besten“ Fall kostet ihre Beseitigung nur (viel) Geld, im schlimmsten Fall können sie dem betroffenen Unternehmen – etwa beim Diebstahl geistigen Eigentums – sogar ihre Existenzgrundlage entziehen. Gerade bewusst agierende Insider stellen eine große Gefahr dar, vor der man sich nur schwer schützen kann.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Bei einem Datenverlust spielt es aus Sicht des angegriffenen Unternehmens keine Rolle, ob der Datenverlust von einem externen Angreifer mit gestohlenen Zugangsdaten, einem Mitarbeiter, der unvorsichtig handelt, oder einem böswilligen Innentäter herrührt. Sensible Daten müssen geschützt werden, unabhängig davon, wer darauf zugreift. Was diese drei Typen gemeinsam haben, ist, dass sie sich bereits in Ihrem Netzwerk befinden. Wenn die Daten nun nicht durch Analyse des Nutzerverhaltens überwacht werden, können Unternehmen kaum auf die Bedrohungen reagieren – mit verheerenden Folgen.
Gerade bewusst agierende Insider stellen eine große Gefahr dar, vor der man sich nur schwer schützen kann. Sie wissen mehr über das Unternehmen als externe Angreifer und wenn sie wirklich Schaden anrichten wollen, können sie dies sehr schnell und sehr effizient tun. Das Ponemon Institut fand in seiner Studie Global Cost of Insider Threats 2018heraus, dass es durchschnittlich mehr als zwei Monate (73 Tage) dauert, bevor Insider-Vorfälle entdeckt werden. Und manchmal auch bedeutend länger: So stahl Greg Chung im Laufe von 30 Jahren bei seinem Arbeitgeber Boeing rund 300.000 Seiten vertrauliche Dokumente, die er nach China verkauft hat (wofür er zu 15 Jahren Gefängnis verurteilt wurde). In jüngster Zeit machten die Fälle zweier Apple-Mitarbeiter Schlagzeilen, die geheime Dokumente entwendet haben sollen, um diese neuen Arbeitgebern weiterzugeben. Aber auch Unzufriedenheit kann ein Motiv sein, wie bei einem ehemaligen Mitarbeiter von Tesla, der mehrere Gigabyte interner Daten an Dritte weitergegeben und damit einen enormen Schaden beim US-amerikanischen Automobilhersteller verursacht haben soll.
:quality(80)/images.vogel.de/vogelonline/bdb/1548600/1548619/original.jpg "Eine Insider-Bedrohung ist eine Bedrohung der Datensicherheit und IT-Systeme aus den Reihen der eigenen Mitarbeiter, bzw. durch durch Verwendung legitimer Zugangsberechtigungen. (gemeinfrei)")
Definition Insider Threat
Was ist eine Insider-Bedrohung?
Was kann man gegen Insider-Bedrohungen unternehmen?
Um herauszufinden, ob man genug für seinen Schutz in diesem Bereich unternimmt, sollte man sich (und seinem CISO oder IT-Sicherheitsverantwortlichen) folgende Fragen stellen:
- Wurden (wirklich alle) sensiblen bzw. kritischen Daten (auf sämtlichen Datenspeichern, also sowohl lokal als auch in der Cloud) identifiziert und entsprechend klassifiziert?
- Wurde normales Nutzerverhalten definiert und kann abnormales Verhalten erkannt werden?
- Gibt es Audit-Funktionen, die Zugriffe und Berechtigungen der Benutzer nachweisen?
- Wird ein effektives Identity & Access Management (IAM) eingesetzt?
- Werden auch die Sicherheitspraktiken von Partnern und Dienstleistern auditiert?
- Wie wird die Einhaltung der Benutzerrichtlinien überprüft?
- Gibt es einen Vorfall-Reaktionsplan? Greift dieser auch bei Insider-Bedrohungen?
Nach wie vor konzentrieren sich viele Unternehmen in erster Linie auf die neuesten externen Bedrohungen und lassen dabei ihr eigenes Ökosystem aus den Augen. Entsprechend sind sie nicht in der Lage, diese Fragen zufriedenstellend zu beantworten. Noch schlimmer: Sie sind nicht in der Lage, interne Bedrohungen rechtzeitig zu erkennen oder darauf zu reagieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1572600/1572689/original.jpg "BeyondTrusts jährlicher „Privileged Access Threat Report“ zeigt, dass eine höhere Sichtbarkeit über privilegierte Zugriffe und besser integrierte IT-Lösungen entscheidend sind. (gemeinfrei)")
Privileged Access Threat Report 2019
Hohes Risiko für Insider-Sicherheitsverstöße
5 Schritte für eine effektive Insider-Strategie
Wie in allen Fragen der IT-Sicherheit ist auch der Schutz vor Insiderbedrohungen ein kontinuierlicher Prozess, der sowohl technische als auch nicht-technische Aspekte umfasst. Mit diesen Schritten lassen sich Insider-Bedrohungen wirkungsvoll adressieren.
Schritt 1: Die Daten kennen
Man kann nur das schützen, was man kennt. Und nicht jede Bedrohung birgt ein gleich hohes Risiko. Deshalb sollten die Bedrohungen priorisiert und die Bereiche identifiziert werden, die am wahrscheinlichsten zu Problemen führen können und die die größten Risiken beinhalten. Dabei sollte man sich dabei an folgenden Fragen orientieren:
- Was sind die wertvollsten Informationsbestände?
- Wo sind diese gespeichert?
- Wer hat Zugriff auf sie und warum?
- Wer greift wann auf die Dateien zu?
Die Beantwortung dieser Fragen kann einen Einblick in die kritischen Bereiche der Infrastruktur geben, die Aufmerksamkeit erfordern, und in die Benutzer, die höchstwahrscheinlich von Angreifern anvisiert werden. Man erhält auf diese Weise auch einen Einblick in die normale Aktivität, so dass abnormale Verhaltensmuster besser erkannt werden können.
Schritt 2: Sicherheitslage kontinuierlich bewerten
Bedrohungen wie auch Risiken entwickeln sich. Deshalb ist eine kontinuierliche Überprüfung der eigenen Lage essenziell für die Sicherheit. Man sollte dabei vor allem auf die Einhaltung grundlegender Sicherheitspraktiken achten: Hierzu zählen neben Passwortmanagement auch regelmäßige Updates und Schulungen. Bei der Bewertung des Sicherheits-Status müssen sowohl Insider als auch externe Bedrohungen einbezogen werden. Hierbei können auch Risiko-Assessments helfen, den Gesamtzustand der Sicherheit des Unternehmens zu bewerten, indem sie einen objektiven Überblick über die Richtlinien, Kontrollen und Prozesse des Unternehmens geben.
Grundsätzlich sollten sämtliche eingesetzten Sicherheitslösungen und -strategien identifiziert und überprüft werden: Sind alle aufeinander abgestimmt? Sind alle noch nötig bzw. der aktuellen Bedrohungslage angemessen? Lohnen sich Upgrades oder sollte man in neue Technologien und Ansätze investieren?
Schritt 3: Auf ein Least-Privilege-Modell setzen
Einer der Schlüssel zur Reduzierung des Risikos von Insider-Diebstahl besteht darin, den Zugang zu sensiblen Daten zu beschränken. Die Mitarbeiter sollen nur den Zugriff erhalten, den sie tatsächlich für ihre Arbeit benötigen. Dies gilt auch für Partner: Sie sollten nicht auf demselben logischen Netzwerk-Layer arbeiten, auf dem sensible Daten gespeichert sind. Es ist eine Frage der Logik: Je weniger Daten für einen (potenziellen) Angreifer zugänglich sind, desto weniger Daten können kompromittiert werden.
Schritt 4: Nutzerverhalten überwachen
Der wahrscheinlich wichtigste Schritt bei der Bekämpfung von Insiderbedrohungen liegt darin zu erkennen, welches Nutzerverhalten normal ist und welches nicht. Dies ist nur mit intelligenter Nutzer- und Maschinenverhaltens-Analyse (UEBA) möglich. Diese erkennt abnormales Verhalten, etwa in Bezug auf Uhrzeiten, Ordner, auf die zugegriffen wird, oder auch Geolokation. Dabei gilt: Je mehr Kontext hier zur Verfügung steht, desto präziser werden die Warnungen. So kann der Zugriff auf Dateien außerhalb der normalen Zeiten ein Indikator sein, möglicherweise arbeitet ein Mitarbeiter einfach auch nur länger. Erst in Kombination mit weiteren Informationen, etwa ein Zugriff auf eine ungewöhnlich hohe Anzahl an Dateien, oder aber über einen ungewöhnlichen Zugriffsweg wird hieraus tatsächlich verdächtiges Verhalten. Ein UEBA-System muss dann in der Lage sein, Alerts auszugeben und entsprechende Verteidigungsmaßnahmen einzuleiten. So ist es möglich, das Abfließen von Daten zu identifizieren und zu stoppen. Dies gilt nicht nur für Innentäter, sondern letztlich für alle Angriffsarten. Schutz vor Insiderbedrohungen ist letztlich auch immer Schutz vor jeglichen Cyberattacken.
Schritt 5: Die Mitarbeiter ins Boot holen
Traditionelle präventive Kontrollen wirken sich oft negativ auf die Benutzerfreundlichkeit aus und schränken die Mitarbeiter teilweise in ihrer Produktivität ein. Es ist von größter Bedeutung, bei Schulungen und Awareness-Maßnahmen auch die Überwachung des Nutzerverhaltens einzubeziehen. Nur durch Transparenz in diesem Gebiet kann man Vertrauen in die Prozesse schaffen. Unternehmen müssen dabei zeigen, dass trotz des Monitorings zu Sicherheitszwecken die Privatsphäre der Mitarbeiter geachtet wird. Dies kann u.a. durch eine Anonymisierung gewährleistet werden: Dabei wird das Logging anonymisiert bzw. pseudonymisiert durchgeführt. Erst im Fall einer Anomalie wird dann – und auch nur für einen beschränkten, vorher definierten kleinen Kreis, zu dem etwa der Datenschutzbeauftragte gehört, sichtbar – re-personalisiert.
Insider (und externe Angreifer, die durch angeeignete Zugangsdaten als Mitarbeiter im Unternehmensnetzwerk agieren) haben die Mittel und Möglichkeiten, auf die wichtigsten Daten zuzugreifen. Ein umfassender Ansatz zur Eindämmung der von ihnen ausgehenden Bedrohungen muss dabei Menschen, Prozesse und Technologien umfassen. Dabei müssen die Daten – als wertvollste Assets des Unternehmens – im Zentrum der Sicherheitsstrategie stehen: Statt sich auf Perimeterschutz und immer neue Bedrohungen und Angriffsvektoren zu konzentrieren, sollte der Zugriff auf die Daten in den Fokus rücken sowie analysiert und überwacht werden. Auf diese Weise ist es nicht nur möglich, das Abfließen von Daten durch Insider zu identifizieren und zu stoppen, sondern auch durch externe Angreifer, sogar bei Zero-Day-Attacken.
Über den Autor: Thomas Ehrlich ist Country Manager DACH von Varonis Systems.
(ID:45971951)
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945861/original.jpg "Microsoft 365 ist für Unternehmen auf der ganzen Welt ein wichtiges Tool bei der Zusammenarbeit von entfernten, vermehrt die Cloud nutzenden Mitarbeitern. Aber wer sich auf die Zugänglichkeit von Microsoft 365 verlässt, muss auch darauf vorbereitet sein, dass Angreifer das Gleiche tun. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1939300/1939329/original.jpg "Die Vorteile der Automatisierung im IT-Security-Umfeld liegen auf der Hand: Ein Software-Roboter arbeitet Tag und Nacht an 365 Tagen im Jahr. Digital Worker machen keine Pausen und sind immun gegen Krankheiten. (NicoElNino - stock.adobe.com)")