Insider Threat: Der digitale Innentäter und wie man ihn stoppt
Wussten Sie, dass der Begriff Insider Threat nicht zwangsläufig den Datendiebstahl durch Mitarbeiter bezeichnet? Ein Insider Threat kann auch von einem Geschäftspartner, einem ehemaligen Angestellten oder von jemandem ausgehen, der es trotz Sicherheitsvorkehrungen geschafft hat, sich einen Insider-Zugang zu verschaffen.
Wir schauen uns an, was statistisch gesehen die häufigsten Bedrohungen aus dem Inneren eines Unternehmens sind, und was Sie tun können, um diese Risiken zu minimieren und Ihren Datenschutz zu verbessern.
Insider Threat – was ist das genau?
Ein “Insider Threat” ist ein Sicherheitsrisiko, das von innen kommt. Genauer: aus dem Inneren eines Unternehmens bzw. einer Behörde. Tatsächlich ist es aber nicht der potenzielle Zugang zu sensiblen Daten, der Angestellte, ehemalige Angestellte oder Geschäftspartner zu einem so großen Risiko macht. Insider Threats sind besonders gefährlich, weil ihnen kaum jemand Aufmerksamkeit schenkt.
In den meisten Unternehmen konzentrieren sich die Sicherheitsmaßnahmen und die IT-Security auf externe Angriffe (z.B. durch Hacker). Die Absicherung des Netzwerks nach außen hin, etwa durch Firewalls und Angriffserkennung, steht an oberster Stelle, interne Bedrohungen werden hingegen ignoriert – und das kann dramatische Folgen haben!
Laxe Sicherheitsvorkehrungen gegen interne Bedrohungen sind insbesondere deshalb ein großes Problem, da Innentäter in der Regel mit den Vorschriften der Organisation vertraut sind und genau wissen, wie sie Schutzmaßnahmen umgehen und ihre Handlungen vertuschen können.
Insider Threat – eine echte Gefahr?
Nach aktuellen Zahlen aus dem 2022 Data Breach Investigations Report von Verizon sind Insider für rund 20% aller Sicherheitsvorfälle verantwortlich. Damit ist die Gefahr durch Innentäter zwar statistisch betrachtet weniger groß als die Bedrohung durch Ransomware und Hackerbanden, die auch in Politik und Medien am meisten Aufmerksamkeit erhält.
Dennoch sollten Unternehmen die Gefahr durch Insider Threats keinesfalls vernachlässigen. Nicht nur zielen entsprechende Vorfälle meist auf die sensibelsten Bereiche von Firmen ab, Experten gehen hier auch von einer hohen Dunkelziffer aus, da viele Fälle entweder nicht veröffentlicht oder gar nicht erst entdeckt werden.
Wer kann zur internen Bedrohung werden?
Personen, die zu potenziellen Insider Threats werden können, haben in der Regel Zugang zu vertraulichen Informationen ihres Unternehmens und sorgen durch missbräuchliches oder fahrlässiges Verhalten dafür, dass sensible Daten gestohlen werden. Wir unterscheiden drei verschiedene Kategorien von Innentätern:
Böswilliger Insider
Ein böswilliger Innentäter ist jemand, der absichtlich Zugriffsberechtigungen missbraucht, um Informationen für finanzielle oder persönliche Zwecke zu stehlen. Hierbei kann es sich auch um einen ehemaligen Mitarbeiter handeln, der aus Motiven wie Wut, Frust oder Rache agiert und sich entweder selbst bereichern oder einfach nur dem Unternehmen schaden möchte.
Aber auch ein aktueller Angestellter kann zum böswilligen Insider werden, wenn er z.B. geheime Informationen an einen Wettbewerber verkauft. Insider sind anderen Personen mit böswilligen Absichten (z.B. Hackern) gegenüber im Vorteil, da sie die Sicherheitsmaßnahmen und potenziellen Schwachstellen der Organisation meist genau kennen.
Der Maulwurf
Der “Maulwurf” ist ein Betrüger, der es geschafft hat, einen Insider-Zugang zu einem privilegierten Netzwerk zu erhalten. Dies ist jemand von außerhalb der Organisation, der sich als Mitarbeiter oder Partner ausgibt, und dem im Zuge dessen entsprechende Zugangsberechtigungen zu sensiblen Daten eingeräumt werden.
Der “Maulwurf” hat von Anfang an das Ziel, diese Rechte zu missbrauchen, Daten zu stehlen bzw. zu verkaufen oder sie für andere eigene Zwecke zu nutzen.
Unvorsichtiger Insider
Was viele nicht wissen: Die größte Gefahr im Bereich Innentäterschaft geht von Angestellten aus, die zum Sicherheitsrisiko werden, weil sie unwissend bzw. unvorsichtig sind. So kann ein loyaler Angestellter beispielsweise in wenigen Sekunden zur Gefahr für das Unternehmen werden, weil er einen Link in einer Email öffnet, der sich als Phishing-Link herausstellt. Ebenso können Mitarbeiter zum Sicherheitsrisiko werden, wenn sie unerlaubt neue Software installieren, also Schatten IT nutzen.
Unvorsichtige Insider handeln also ohne Absicht oder kriminellen Vorsatz. Stattdessen macht sie ihr fehlendes Wissen über digitale Bedrohungen und den richtigen Umgang mit Daten zur Gefahr. Entsprechend bilden Schulungen eine der effektivsten Maßnahmen, um das Risiko für derartige Vorfälle zu reduzieren.
Dennoch gilt: Irren ist menschlich und Fehler im Arbeitsalltag unvermeidbar. Es wäre unrealistisch zu erwarten, dass ausreichendes Training das gesamte Personal in Cybersecurity-Experten verwandelt. Stattdessen braucht es passende technische Schutzmaßnahmen.
Effektiver Schutz vor Insider Threats: Das Zero Trust Modell
Sicherheitsvorfälle durch Innentäter sind schwer zu erkennen und zu stoppen. Insider haben nicht nur per Definition Zugang zu sensiblen Informationen, sondern wissen auch um die IT-Security der Organisation und wie sie unbemerkt bleiben können. Auf personeller Ebene lässt sich dieses Problem kaum umgehen, denn die Aktivitäten von Angestellten zu überwachen oder ihnen unlautere Motive zu unterstellen hätte katastrophale Folgen für Arbeitsmoral und Firmenkultur.
Aus diesem Grund sehen Security-Experten den effektivsten Weg Insider Threats zu stoppen darin, die IT-Infrastruktur grundsätzlich nach Gesichtspunkten der Vorsicht und des geschützten Zugriffs aufzubauen. Dieser Ansatz ist auch unter dem Schlagwort Zero Trust bekannt: Unter diesem Modell wird jedes Gerät und jeder User im eigenen Netzwerk als potenzielle Bedrohung betrachtet.
Zero Trust Sicherheit geht also vom schlimmsten Fall aus, schränkt den Zugang zu Informationen von vornherein so weit wie möglich ein und erlaubt selbst notwendige Zugriffe nur dann, wenn User ihre Identität aktiv bestätigen. Innentäter haben somit keine Chance, unbemerkt große Mengen an Daten zu stehlen oder sich z.B. durch die Verwendung eines anderen Computers zu tarnen.
Insider Threats: 4 häufige Szenarien
Datendiebstahl über eine Remote Access Software
Szenario: In Zeiten von Corona und Home Office arbeiten viele Firmen mittlerweile mit einer Remote Access Software, damit die Mitarbeiter ihre Arbeit auch dann verrichten können, wenn sie sich physisch außerhalb des Firmennetzwerks befinden. Das Problem: Das Risiko, beim Datendiebstahl erwischt zu werden, ist wesentlich geringer, wenn man remote auf die Daten zugreift, als wenn man physisch im Büro sitzt.
Tipp: Aktivieren Sie strengere Sicherheitskontrollen für bestimmte Funktionen und den Systemzugriff. Überprüfen Sie die Konfiguration Ihres Systems und ermitteln Sie, welche Einstellungen für eine bessere Verwaltung, Berichterstellung und Sicherheit sorgen. Solide Freigabe- und Dateiberechtigungen sind ebenso wichtig wie die Protokollierung von Betriebssystemen und Anwendungen.
In vielen Fällen passiert der Datendiebstahl oder -missbrauch außerhalb der Geschäftszeiten. Sie sollten daher in Betracht ziehen, die Zeiten zu begrenzen, in denen Benutzer remote auf Systeme zugreifen können.
Bedrohungen durch Partner und Lieferanten
Szenario: In vielen Unternehmen werden Zugangsberechtigungen zu essentiellen Systemen und Daten “auf Vorrat” eingerichtet und sogar auf Auftragnehmer, Freelancer, Kunden, Lieferanten und/oder Dienstleister ausgeweitet. Das ist zwar bequem, stellt aber eine massive Bedrohung für Ihre sensiblen Daten dar.
Tipp: Beschränken Sie die Zugriffsrechte Ihrer Partner nach dem Least-Privilege-Prinzip. Für Unternehmen im Enterprise-Umfeld kann es sogar sinnvoll sein, eine Software für Identity and Access Management einzusetzen. Auf diese Weise verhindern Sie zuverlässig, dass Dritte auf Daten zugreifen können, die für die Ausführung ihrer Aufgabe nicht erforderlich sind.
Darüber hinaus sollten Sie die Konten von Drittanbietern regelmäßig überprüfen, um sicherzustellen, dass die Systemberechtigungen nach Abschluss ihrer Arbeit wieder entzogen werden. Wenn Sie eine Berechtigungsmanagement-Software wie tenfold einsetzen, passiert diese Überprüfung automatisch in Form der Rezertifizierung von Berechtigungen.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
Datenverlust durch E-Mail und Instant Messaging Apps
Szenario: Ihre Mitarbeiter versenden vertrauliche Informationen via E-Mail oder IM App und diese geraten in falsche Hände.
Tipp: Eine der effektivsten Strategien, um das Abfangen vertraulicher Informationen zu verhindern, ist die Einrichtung eines Netzwerkanalysators zum Filtern von Schlüsselwörtern, Anhängen usw. Durch die Verwendung der client- oder serverbasierten Inhaltsfilterung können auch vertrauliche Informationen abgefangen und blockiert werden.
Eine weitere Bedrohung für E-Mail und Messaging sind Phishing und andere Social-Engineering-Betrügereien. Stellen Sie sicher, dass Sie Ihr Team ausreichend über IT-Sicherheit informieren und investieren Sie in entsprechende Schulungen. Auf diese Weise senken Sie auch das Risiko, dass Ihre Mitarbeiter durch Unwissenheit oder Unvorsichtigkeit zu Innentätern werden.
Unsichere Dateifreigabe
Szenario: Das Filesharing über Dropbox, Google Drive oder die Microsoft Cloud ist zwar praktisch, öffnet aber auch Tür und Tor für Datenmissbrauch. Die Tools selbst sind nicht das Problem, sondern die Art und Weise ihrer Verwendung. Eine falsche Konfiguration reicht, um Ihre vertraulichen Daten der Welt zur Verfügung zu stellen.
Mangels einer geeigneten Übersicht ist es für Verantwortliche dabei kaum möglich, Datei-Freigaben in Diensten wie Teams, SharePoint und OneDrive nachzuvollziehen. Einmal geteilte Daten bleiben deshalb meist unbegrenzt zugänglich, selbst wenn die Freigabe eigentlich für einen bestimmten, zeitlich gebundenen Zweck (z.B. gemeinsamen Projekt) vorgesehen war.
Tipp: Externe Lösungen wie tenfold schaffen Transparenz für geteilte Dokumente, die in Microsoft 365 dringend fehlt. Nur so ist es möglich, Freigaben im Blick zu behalten und rechtzeitig zu schließen, bevor sie zur Gefahr für die Datensicherheit werden.
Darüber hinaus sollten Sie bei geteilten Ressourcen im Unternehmen nicht nur sehr genau steuern, wer auf welche Dateien und Ordner zugreifen darf (z.B. durch das Setzen von entsprechenden Freigabe- und/oder NTFS-Berechtigungen), sondern Sie sollten auch mit Access Based Enumeration arbeiten.
Microsoft 365: Die Top 3 Gefahren für Ihre Datensicherheit
Berechtigungen zentral verwalten, Insider Threats stoppen
Vergessen Sie nicht: Innentäter können nur jene Daten gefährden, auf die sie selbst zugreifen können. Der beste Weg, um das Risiko durch Innentäter schnell und effizient zu reduzieren, ist also ein Konzept zur zentralen Verwaltung der Zugriffsberechtigungen.
Kontrollieren Sie genau, wer in Ihrer Organisation auf welche Informationen zugreifen kann! Reduzieren Sie Berechtigungen nach dem Principle of Least Privilege (Need to know) auf das Mindestmaß und kontrollieren Sie diese laufend auf Ihre Aktualität!
Für Unternehmen ab einer gewissen Größe ist es sinnvoll, die Verwaltung dieser Berechtigungen zu automatisieren. tenfold setzt hierfür auf die Standardisierung von Rechten über das Konzept der Role-Based Access Control. Dazu definieren Organisationen zunächst Standardrechte für User in bestimmten Abteilungen, Positionen, Standorten, etc. Anschließend weist die Software Benutzern anhand dieser Faktoren genau die Berechtigungen zu, die sie für ihre Arbeit brauchen, und das vollautomatisch und quer durch alle Systeme.
Gleichzeitig gleicht das System die vorhandenen Rechte mit den erstellten Profilen ab und entzieht alle Berechtigungen, die nicht unbedingt notwendig sind. Wenn Sie mehr über die Lösung tenfold erfahren oder die Software in Aktion erleben möchten, laden Sie sich gerne unsere Produkt-Information herunter oder fordern Sie direkt einen kostenlosen Test an.
Was macht tenfold zur besten IAM Software für mittelständische Organisationen?