Blog
Informationsschutz
Wie effektiv ist Ihr Programm zur Abwehr von Insider-Bedrohungen?
data classification

Wie effektiv ist Ihr Programm zur Abwehr von Insider-Bedrohungen?

Share with your network!
Kasey Olbrych

Bedrohungen durch Insider nehmen zu und sorgen immer wieder für Schlagzeilen. Es überrascht daher nicht, dass viele CISOs großen Wert darauf legen, diese Art von Bedrohung proaktiv zu identifizieren und zu verhindern. Untersuchungen für den Proofpoint Voice of the CISO 2024-Bericht haben gezeigt, dass ein Drittel aller CISOs weltweit Bedrohungen durch Insider in den nächsten 12 Monaten als größte Herausforderung für die Cybersicherheit betrachten.

Mit einem formellen Programm zur Abwehr von Insider-Bedrohungen (Insider Threat Management, ITM) kann Ihr Unternehmen schneller auf diese Bedrohungen reagieren – und mögliche Auswirkungen minimieren. Doch es genügt nicht, einfach nur ein solches Programm zu implementieren. Um finanzielle und markenbezogene Verluste wirksam zu minimieren, müssen Sie Insider-Bedrohungen auch effektiv und schnell identifizieren, verhindern und beheben können.

Der Monat der Sensibilisierung für Insider-Bedrohungen ist eine hervorragende Gelegenheit, darüber nachzudenken, wie effektiv Ihr Programm zur Abwehr von Insider-Bedrohungen tatsächlich ist. In diesem Blog-Beitrag stellen wir ein Modell vor, das Ihnen bei der Einschätzung hilft.

Effektivitätsmodell für Programme zum Schutz vor Insider-Risiken

Mit dem Effektivitätsmodell für Programme zum Schutz vor Insider-Risiken (Insider Risk Program Effectiveness Model, IRPEM) können Sie Ihr ITM-Programm bewerten und feststellen, wie gut es Ihre Maßnahmen zur Verhinderung, Erkennung, Behebung und Reaktion auf Insider-Bedrohungen unterstützt. Außerdem lassen sich mit diesem Modell und seinen Attributen Bereiche identifizieren, in denen Sie Ihre Sicherheitsmaßnahmen verbessern und stärken können.

Das Ziel ist ein ausgereiftes und prädiktives Programm zum Schutz vor Insider-Risiken, mit dem Ihr Unternehmen potenzielle Risiken so früh wie möglich identifizieren kann.

Drei Stufen des Modells für Programme zum Schutz vor Insider-Risiken

Durch die frühe Erkennung von Stressfaktoren und riskantem Verhalten stehen Ihrem Unternehmen positive Reaktionsmaßnahmen wie Empfehlungen zu einem Mitarbeiterberatungsprogramm (Employee Assistance Program, EAP) zur Verfügung, mit dem Sie Vertrauen für Ihr Programm aufbauen können. (Mit einem effektiven und vertrauenswürdigen Programm können Sie finanzielle und reputationsbezogene Verluste aufgrund von Insider-Bedrohungen minimieren.)

Der Unterschied zwischen Insider-Risiken und Insider-Bedrohungen

Bevor wir im Detail auf das IRPEM eingehen, müssen wir die Unterschiede zwischen einem Insider-Risiko und einer Insider-Bedrohung klarstellen. Viele Menschen nutzen diese Begriffe synonym, obwohl sie verschiedene Dinge bezeichnen.

Insider-Bedrohungen sind ein Teilbereich der Insider-Risiken: Alle Insider stellen ein gewisses Risiko für das Unternehmen dar, weil sie Zugriff auf Unternehmensdaten und -systeme haben und persönliche Schwächen mit sich bringen können. Doch nicht jeder Insider wird zu einer Bedrohung. Ein Insider stellt eine Bedrohung dar, wenn er seinen Zugriff auf Systeme, Daten und Anwendungen bewusst oder unabsichtlich nutzt, um der Reputation sowie den Finanzen, Geschäftsbeziehungen, Mitarbeitern, Zielen oder Kunden des Unternehmens zu schaden.

Daher benötigen Sie einen strategischen und taktischen Ansatz, mit dem Sie Insider-Risiken und Insider-Bedrohungen effektiv abwehren können. Und deshalb ist es auch so wichtig, die Unterschiede zu kennen.

Ein detaillierter Blick auf das Effektivitätsmodell für Programme zum Schutz vor Insider-Risiken

Kommen wir nun zum IRPEM. Das Modell definiert, ob ein Programm zum Schutz vor Insider-Risiken einem dieser drei Ansätze folgt:

  • Reaktiv (schwächster Ansatz)
  • Proaktiv (mittlere Stärke)
  • Prädiktiv (stärkster Ansatz)

Die Attribute auf jeder Effektivitätsebene stellen keine umfassende Liste dar. Sie stehen jedoch für grundlegende Differenzierungsmerkmale in zwei wichtigen Bereichen: Personal und Schulungen sowie Datenerfassung und Analysen.

Der reaktive Ansatz: Wenn etwas geschieht, kümmern wir uns darum

Ein reaktives Programm zum Schutz vor Insider-Bedrohungen konzentriert sich darauf, auf bereits eingetretene Datenverlust-Ereignisse zu reagieren. Dazu gehören folgende Ereignisse:

Typischerweise bieten diese Programme nur Schulungen dazu, wie diese Aktionen aufgedeckt werden können. Frühwarnsignale, die zu einem Vorfall führen können, werden hingegen nicht thematisiert.

Personal und Schulungen

Merkmale eines reaktiven Programms:

  • Es bietet keine formellen Schulungen zu Insider-Bedrohungen für interne Abteilungen, Manager oder Angestellte, sodass diese sich der Insider-Bedrohungsrisiken nicht bewusst sind und daher Risikoindikatoren übersehen können.
  • Es ist keine sichere Vorgehensweise definiert bzw. eingerichtet, die Angestellten das Melden beobachteter Insider-Bedrohungsverhalten vereinfacht.
Datenerfassung und -analyse

Merkmale eines reaktiven Programms:

  • Es ist keine formelle Strategie zur Erkennung von Insider-Bedrohungen und kein Plan zur Reaktion auf Zwischenfälle definiert. Die Reaktion nach einer Sicherheitsverletzung besteht darin, den technischen Kontext der Datenschutzverletzung zu analysieren, um die Anwenderabsicht festzustellen.
  • Wenn es zu mutmaßlichen Insider-Bedrohungsaktivitäten kommt, wird die Zusammenarbeit zwischen relevanten Abteilungen nicht unterstützt.
  • Es gibt keine Möglichkeit zum Identifizieren von Angestellten, die wahrscheinlich das Unternehmen verlassen werden. Stattdessen findet eine rückwirkende Bewertung des Mitarbeiterverhaltens auf Insider-Bedrohungsaktivitäten statt, sobald das Unternehmen von der Kündigung erfährt.

Der proaktive Ansatz: Vorsicht ist besser als Nachsicht

Ein proaktives Programm zum Schutz vor Insider-Bedrohungen konzentriert sich auf die Verhinderung von Datenverlust-Ereignissen mithilfe formalisierter Richtlinien, Verfahren und Schulungen. Bei diesem Ansatz wird mithilfe von Technologie nach Insider-Bedrohungen gesucht, noch bevor ein Datenverlust-Ereignis eintritt.

Personal und Schulungen

Merkmale eines proaktiven Programms:

  • Es nutzt bestehende branchenübliche Sicherheitsrichtlinien, Verfahren und Compliance-Schulungen, um grundlegende Erwartungen und Konsequenzmaßstäbe festzulegen.
  • Es umfasst spezielle Schulungen zu Insider-Bedrohungen für relevante interne Abteilungen, um dort ein Bewusstsein für Bedrohungsindizien zu schaffen, die sie melden können. Dazu gehören:
    • Verstöße gegen Nutzungsrichtlinien
    • Verärgerung/Mobbing
    • Unethisches Verhalten
    • Missbräuchliche Nutzung von Firmengeldkarten
    • Ungenehmigte Auslandsreisen
  • Es gibt ein sicheres und etabliertes Verfahren, mit dem Angestellte beobachtetes Verhalten melden können, das auf Insider-Bedrohungen schließen lässt.
Datenerfassung und -analyse

Merkmale eines proaktiven Programms:

  • Es definiert eine Strategie zur Erkennung von Insider-Bedrohungen, für die Reaktion auf Zwischenfälle sowie einen Kommunikationsplan.
  • Wenn eine mutmaßliche Insider-Bedrohungsaktivität aufgedeckt wird, wird der kooperative Informationsaustausch zwischen relevanten Abteilungen unterstützt.
  • Es priorisiert die Überwachung identifizierter hochriskanter Mitarbeiter, zum Beispiel:
    • Neue Mitarbeiter oder Mitarbeiter, die sich noch innerhalb ihrer Probezeit befinden
    • Ausnahmen: Personen, die aus geschäftlichen Gründen quasi überhaupt nicht überwacht werden (können)
    • Privilegierte Anwender: Personen, die aufgrund ihrer Rolle Zugriff auf wertvolle und kritische Assets wie vertrauliche geschäftliche oder kundenspezifische Informationen haben oder über Zugang zu anderen Daten, Systemen, Materialien oder Einrichtungen haben
    • Gefahr der Abwanderung: Angestellte, die das Unternehmen unter Umständen demnächst verlassen werden, z. B. weil mit ihnen ein Leistungsverbesserungsplan vereinbart wurde, weil gegen sie Verdächtigungen bestehen, weil sie degradiert wurden, weil die geringe Leistungsbewertung ihre Bonuszahlungen gefährden könnte, weil gegen sie Disziplinarmaßnahmen verhängt wurden oder weil sie nach einem Gespräch mit Vorgesetzten freigestellt wurden
    • Abteilungen: Angestellte, die von organisatorischen Änderungen betroffen sind, die zu beruflichen Stressfaktoren werden könnten, z. B. Entlassungen, Fusionen und Übernahmen, Restrukturierungen, neue Geschäftsschwerpunkte mit Auswirkungen auf die Mitarbeiter oder knappe Budgets, die Boni und Beförderungen verhindern

Der prädiktive Ansatz: Gefahren einen Schritt voraus bleiben

Dieser Ansatz baut auf den vorherigen Stufen auf. Er konzentriert sich auf die Erkennung von frühen Warnsignalen für Stressfaktoren persönlicher, beruflicher, familiärer oder finanzieller Natur, die zu einer Insider-Ausnutzung führen könnten. Dabei berücksichtigt dieser Ansatz den Faktor Mensch sowie technische Daten, damit Analysten ein umfassendes Bild erstellen und potenzielle Insider-Bedrohungsaktivitäten vorhersagen – und verhindern – können.

Personal und Schulungen

Merkmale eines prädiktiven Programms:

  • Es unterstützt hochrangige Abteilungsleiter, Frontline-Manager sowie Angestellte bei der Erkennung subtiler Abweichungen im Mitarbeiterverhalten, bei denen selbst modernste Technologien und Erkennungsmaßnahmen nicht greifen.
  • Es zielt darauf ab, die Belegschaft zur ersten Verteidigungslinie gegenüber potenziellen Insider-Bedrohungen zu machen.
Datenerfassung und -analyse

Merkmale eines prädiktiven Programms:

  • Im gesamten Unternehmen werden Indikatoren für Insider-Bedrohungen erkannt, wozu Stressfaktoren, problematisches Verhalten und Techniken gehören.
  • Bei bekannten Hochrisiko-Gruppen mit höherer Priorität wird eine erweiterte Überwachung durchgeführt.
  • Dabei werden neue Hochrisiko-Gruppen berücksichtigt, die aufgrund von Erkenntnissen des Bedrohungsdaten-Teams über die dynamische Risikolage entsprechend eingestuft werden. Dazu gehören:
    • Externe Bedrohungsakteure, die verärgerte Angestellte ansprechen und an deren Anmeldeinformationen oder Daten interessiert sind
    • Angestellte in schwieriger finanzieller Lage, die mit größerer Wahrscheinlichkeit auf die Angebote von Bedrohungsakteuren eingehen werden

Ein prädiktives Programm liefert auch eine Übersicht der Trends und Muster in Ihrem Unternehmen, damit Sie Gefahren einen Schritt voraus bleiben und Risiken minimieren können. Wenn Ihre IT-Abteilung eine neue Präventionskontrolle implementiert, könnten Ihre Mitarbeiter auf die Idee kommen, Möglichkeiten zur Umgehung zu suchen. Dieses Muster kann Ihrem Team helfen, Gruppen von Mitarbeitern zu finden, die zusätzliche Aufmerksamkeit benötigen.

Außerdem ermöglicht ein prädiktives Programm die Einrichtung eines adaptiven Programms zum Schutz vor Insider-Bedrohungen, das umfangreiche Rückmeldungsmöglichkeiten bietet. Sicherheitspersonal kann proaktiv vor Insider-Bedrohungen schützen und entsprechende Maßnahmen ergreifen sowie andernfalls übersehene Frühwarnsignale mit anderen Abteilungen austauschen.

Weitere Informationen

Wenn Sie mehr erfahren möchten, können Sie während des Monats der Sensibilisierung für Insider-Bedrohungen an der Webinar-Reihe von Proofpoint teilnehmen. Hier erfahren Sie, warum ein effektives Programm zum Schutz vor Insider-Bedrohungen so wichtig ist – unabhängig davon, ob es auf Datensicherheit oder Insider-Risiken ausgerichtet ist.

Wenn die Abwehr von Insider-Bedrohungen für Sie ein neues Thema ist, holen Sie sich unser Insider Threat Management Starter Pack.

Previous Blog Post
Next Blog Post