Suchen

Definition Insider Threat Was ist eine Insider-Bedrohung?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Die Insider-Bedrohung ist eine besondere Form der Bedrohung der Datensicherheit und der IT-Systeme. Nicht externe Hacker versuchen von außen in die Systeme einzudringen, sondern Personen mit legitimen Zugangsberechtigungen verursachen die Bedrohung bewusst oder unbewusst.

Eine Insider-Bedrohung ist eine Bedrohung der Datensicherheit und IT-Systeme aus den Reihen der eigenen Mitarbeiter, bzw. durch durch Verwendung legitimer Zugangsberechtigungen.
Eine Insider-Bedrohung ist eine Bedrohung der Datensicherheit und IT-Systeme aus den Reihen der eigenen Mitarbeiter, bzw. durch durch Verwendung legitimer Zugangsberechtigungen.
(Bild: gemeinfrei)

Grundsätzlich lässt sich das Bedrohungspotenzial der Datensicherheit und Sicherheit von IT-Systemen in interne und externe Gefahren unterscheiden. Die Insider-Bedrohung stellt eine interne Gefahr dar, da Mitarbeiter oder andere interne Personen ihre legitimen Zugriffsrechte verwenden, um bewusst oder unbewusst Schaden zu verursachen, Daten zu stehlen oder Systeme zu kompromittieren.

Prinzipiell kann jeder Mitarbeiter oder jede Person wie Kunden oder Geschäftspartner, die Zugriff auf Daten, Server oder Systeme hat, ein Insider-Bedrohung darstellen. Auch ehemalige Mitarbeiter oder Externe, die sich illegal interne Zugangsberechtigungen beschafft haben, werden in einigen Definitionen als Insider-Bedrohung eingestuft. Da legitime Anmeldeinformationen und zuvor erteilte Zugriffsrechte benutzt werden, sind Insider-Bedrohungen oft nur schwer zu erkennen. Die Insider-Bedrohung ist eine der häufigsten Ursachen für Cyber-Attacken.

Wie kommt es zur Bedrohung durch Insider?

Die Bedrohung durch Insider können auf vielerlei Art entstehen. Mitarbeiter fühlen sich eventuell ungerecht behandelt und versuchen bewusst dem Unternehmen zu schaden. Es besteht zudem die Möglichkeit, dass die Mitarbeiter von fremden Unternehmen angeworben werden, Daten zu beschaffen oder den Betrieb auszuspionieren. Oft ist Unwissenheit, Fahrlässigkeit oder Langeweile die Ursache für die Bedrohung. Mitarbeiter klicken ohne Nachzudenken auf einen Link, laden unwissentlich eine Schadsoftware herunter, verwenden einen fremden oder privaten USB-Stick am Arbeitsplatz oder probieren aus Langeweile die Möglichkeiten und Funktionen eines Systems aus.

Welche Risiken und Schäden entstehen durch die Insider-Bedrohung?

Durch die Insider-Bedrohung können zahlreiche Risiken und Schäden für ein Unternehmen entstehen. Dies sind beispielsweise:

  • das Einschleusen von Schadsoftware wie Viren, Ransomware oder Trojaner
  • der Diebstahl von Daten oder sensiblen Informationen
  • der Diebstahl von Identitäten und Zugangskennungen
  • das Verändern oder Löschen von Daten
  • das Stören von Services und Anwendungen
  • der Online-Diebstahl von Geld

Wie lassen sich die Risiken der Insider-Bedrohung reduzieren?

Wichtigste Maßnahme, um die Risiken zu reduzieren, ist ein intelligentes Management von Zugangskennungen. Mitarbeitern oder externen Personen sind nur die Zugriffsrechte auf Daten oder Systeme zu gewähren, die sie für ihre tägliche Arbeit oder die Nutzung des Systems tatsächlich benötigen. Haben Personen auf sensible Systeme oder Daten Zugriff, ist eine Überwachung des Userverhaltens notwendig. Verhaltensbasierte Analysen erkennen ungewöhnliches Nutzerverhalten beispielsweise das Kopieren großer Datenmengen, ungewöhnlich viele Zugriffe oder das Verschlüsseln vieler Daten und schlagen Alarm. Die auffälligen Aktivitäten werden den Verantwortlichen gemeldet und manuell oder automatisch beendet. Um sicherheitsrelevante Vorfälle zu erkennen, können Methoden des maschinellen Lernens und der Künstlichen Intelligenz (KI) zum Einsatz kommen. Das Personal ist zudem durch Schulungen zum Thema Bedrohungen durch Insider zu sensibilisieren. Fremde Personen (Outsider), die die Zugangskennungen und Berechtigungen interner Mitarbeiter verwenden, lassen sich in der Regel nur durch die Herkunft ihrer Anfragen und ihr abweichendes Verhalten im Vergleich zu autorisierten Usern identifizieren. Auch hierfür sind ständige Verhaltens- oder Ausreißeranalysen und Abgleiche mit zuvor festgelegten Verhaltens- und Kommunikationsmodellen durchzuführen.

(ID:45862423)

Über den Autor