Insider-Risiken stellen für Unternehmen derzeit die größte Cybersicherheitsbedrohung dar. Zu den Insidern gehören dabei Mitarbeiter, Auftragnehmer oder Geschäftspartner, die autorisierten Zugriff auf das Netzwerk, die Systeme oder die Daten des Unternehmens haben. Und die Bedrohung entsteht dadurch, dass der Zugriff unabsichtlich missbraucht wird, Insider sich falsch verhalten oder Opfer von Cyberkriminellen werden.
Die durch diese Bedrohungen entstehenden Kosten steigen jedes Jahr. Laut dem Ponemon Institute sind die durchschnittlichen Kosten durch Insider-Bedrohungen auf 17,4 Millionen US-Dollar gestiegen – verglichen mit 16,2 Millionen US-Dollar im Jahr 2023. Gleichzeitig zeigt der Cost of a Data Breach Report (Kosten eines Datenschutzstoßes) von IBM, dass von Insidern verursachte Datenschutzverletzungen pro Zwischenfall die höchsten Kosten zur Folge haben: Diese liegen bei durchschnittlich 4,99 Millionen US-Dollar.
Unternehmen können es sich nicht leisten, dieses Risiko zu ignorieren. Was können Sie also tun, um sich zu schützen? Zunächst einmal müssen Sie die Risiken verstehen und ein starkes Programm zum Schutz vor Insider-Bedrohungen aufbauen. In diesem Blog-Beitrag erfahren Sie, was Insider-Bedrohungen eigentlich sind, warum sie so gefährlich sind und wie Sie sie stoppen können.
Was sind Insider-Bedrohungen?
Insider-Bedrohungen können durch absichtliches oder versehentliches Fehlverhalten ausgelöst werden. In beiden Fällen können die Sicherheitszwischenfälle ernsthafte Auswirkungen haben.
Arten von Insider-Bedrohungen
Um Sicherheitsmaßnahmen implementieren zu können, die die vertraulichen Daten Ihres Unternehmens effektiv schützen, sollten Sie sich zunächst mit den verschiedenen Arten von Insider-Bedrohungen vertraut machen. Diese Arten sollten Sie kennen:
- Böswillige Insider: Personen, die absichtlich Schaden verursachen, z. B. Daten stehlen, leaken oder zerstören
- Fahrlässig handelnde Insider: Anwender, die Daten unwissentlich gefährden
- Kompromittierte Insider: Anwender, deren Konten von externen Angreifern gestohlen wurden
Wie Insider zu Bedrohungen werden
Bedrohungen lassen sich meist in zwei Kategorien einteilen: unbeabsichtigte und absichtliche.
Bedrohungen durch unabsichtliches Fehlverhalten von Insidern
Diese Art von Insider-Bedrohung wird meist durch fahrlässig handelnde Anwender verursacht. Diese Anwender machen unabsichtliche Fehler und laden zum Beispiel Malware herunter oder führen riskante Aktionen durch, indem sie E-Mails an die falsche Adresse verschicken, die falschen Dateien anhängen oder aus beruflichen Gründen vertrauliche Daten an private E-Mail-Konten senden.
Auch wenn diese Zwischenfälle vielleicht harmlos erscheinen, können sie schwerwiegende Folgen nach sich ziehen. Das gilt insbesondere für Fälle, bei denen vertrauliche Informationen an die falschen Personen, Kunden oder Anbieter weitergegeben werden. Leider lassen sie sich nur schwer vorhersagen sowie erkennen und werden oft erst dann erkannt, wenn schwerwiegender Schaden entstanden ist.
Bedrohungen durch Insider, die sich absichtlich falsch verhalten
Diese Art von Insider-Bedrohung wird durch böswillige Anwender (z. B. Mitarbeiter, Geschäftspartner, Auftragnehmer oder andere externe Parteien) verursacht, die Zugriff auf vertrauliche Daten und kritische Systeme haben und absichtlich Betrug, Sabotage oder Spionage begehen, um persönlichen Vorteil daraus zu ziehen, dem Unternehmen zu schaden oder beides.
Der Verlust vertraulicher Daten kann für das Unternehmen katastrophale Folgen haben. Laut dem Proofpoint Data Loss Landscape-Bericht 2024 berichteten bei einer Umfrage 85 % der Unternehmen von mindestens einem Datenverlustereignis, wobei die Zwischenfälle bei 50 % dieser Unternehmen zu unterbrochenen Geschäftsabläufen führten.
Bemerkenswerte Beispiele für Insider-Bedrohungen
Kompromittierung ohne Einbruch: Insider-Bedrohung durch einen Google-Techniker
Der durch Linwei Ding, einen ehemaligen Google-Techniker, verursachte Zwischenfall ist ein typisches Beispiel für eine Insider-Bedrohung. Die US-Staatsanwaltschaft wirft ihm Diebstahl von Geschäftsgeheimnissen über KI-Technologie und geheime Zusammenarbeit mit zwei chinesischen Unternehmen vor.
Was ist passiert?
Ding wird vorgeworfen, mehr als 1.000 vertrauliche Google-Dateien hochgeladen zu haben, die unter anderem Details zu den Supercomputer-Systemen enthalten, mit denen Google seine KI trainiert. Mit einigen der hier gestohlenen Chipplänen hatte sich Google gegenüber den Konkurrenten Amazon und Microsoft einen Wettbewerbsvorteil verschafft. Ding hatte heimliche Beziehungen mit chinesischen Unternehmen und wollte CTO eines dieser Unternehmen werden. Er wurde verhaftet, bevor er die USA verlassen konnte.
Warum ist das wichtig?
Bei Insider-Bedrohungen geht es nicht nur um Datenlecks, sondern häufig auch um Diebstahl von geistigem Eigentum, Sabotage und sogar um die Gefährdung der nationalen Sicherheit. Dieses Beispiel zeigt, dass selbst große Technologieunternehmen gefährdet sind. Starke interne Sicherheit ist ebenso wichtig wie externe Schutzmaßnahmen.
Wirtschaftsspionage im Technologiesektor: Rippling vs. Deel
Rippling, ein Startup-Unternehmen im Bereich Personalmanagement, verklagt seinen Konkurrenten Deel und wirft ihm Wirtschaftsspionage vor.
Was ist passiert?
Einem Rippling-Mitarbeiter wird vorgeworfen, mit tausenden nicht autorisierten Suchvorgängen nach internen Daten über Deel gesucht zu haben. Als die Sicherheitsmitarbeiter bei Rippling die ungewöhnlichen Aktivitäten des Mitarbeiters bemerkten, richteten sie einen gefälschten Slack-Kanal mit dem Namen „d-defectors“ als Honeypot ein. Mit diesem sollte nachgewiesen werden, dass die Unternehmensführung von Deel in die Aktivitäten involviert war. Anschließend schickten sie einen Brief an die leitenden Führungskräfte bei Deel, der auf diesen Slack-Kanal hinwies. Kurz darauf versuchte der Insider, auf diesen Kanal zuzugreifen, was den Verdacht bestätigte.
Als der Mitarbeiter per Gerichtsbeschluss aufgefordert wurde, sein Smartphone auszuhändigen, sperrte er sich in der Toilette ein – vermutlich, um Beweise zu löschen. Auf die Warnung hin, dass das Löschen von Beweisen wahrscheinlich zu einer Haftstrafe führt, zeigte er sich bereit, dieses Risiko einzugehen.
Warum ist das wichtig?
Bei diesem Beispiel handelt es sich nicht nur um gestohlene Daten, sondern um Wirtschaftsspionage. Insider-Bedrohungen entstehen nicht unbedingt durch einen Hacker, der versucht, in Ihre Systeme zu gelangen. In einigen Fällen handelt es sich um vertrauenswürdige Mitarbeiter, die innerhalb Ihres Unternehmens agieren. Dieses Beispiel zeigt, warum Unternehmen zusätzlich zu starken Cybersicherheitsmaßnahmen auch Möglichkeiten benötigen, mit denen sie verdächtiges Verhalten aufdecken können, bevor echter Schaden entsteht.
Ziele eines Programms zum Schutz vor Insider-Bedrohungen
Erkennen potenzieller Insider-Bedrohungen
Die frühzeitige Erkennung ist entscheidend. Dazu benötigen Sie Tools zur Verhaltensanalyse und zur Überwachung der Anwenderaktivitäten, die ungewöhnliche Aktivitäten erkennen. Wenn ein Mitarbeiter zum Beispiel plötzlich beginnt, große Mengen vertraulicher Daten herunterzuladen oder auf Dateien jenseits des eigentlichen Aufgabengebiets zugreift, kann dies auf eine potenzielle Bedrohung hinweisen.
Verhindern von Zwischenfällen durch Schulungen und Sensibilisierung für Sicherheit
Viele Insider-Bedrohungen werden durch fahrlässiges Verhalten verursacht. Deshalb ist es so wichtig, Ihre Anwender zu Cybersicherheit zu schulen. Vermitteln Sie dabei die Kompetenzen, die sie benötigen, um die Sicherheitsprotokolle einzuhalten und verdächtiges Verhalten zu identifizieren.
Erstellen von Prozessen zur Untersuchung und Behebung von Bedrohungen
Selbst mit den besten Präventivmaßnahmen lassen sich Zwischenfälle durch Insider nicht vollständig verhindern. Und wenn ein solcher Fall eintritt, müssen Sicherheitsteams genau wissen, wie sie bei der Untersuchung vorgehen und mit welchen Maßnahmen sie reagieren müssen. Dazu benötigen Sie unter anderem ein dediziertes Team, das den Vorfall analysiert und geeignete Maßnahmen ergreift, sei es die Überwachung des Anwenders, die Ergreifung von Disziplinarmaßnahmen oder die Einleitung rechtlicher Schritte.
Schaffen eines Gleichgewichts zwischen Schutz der Privatsphäre und Gewährleistung der Sicherheit
Ein wichtiges Ziel eines Programms zum Schutz vor Insider-Bedrohungen ist ein Gleichgewicht zwischen dem Schutz der Privatsphäre der Anwender und wirksamen Sicherheitskontrollen. Durch die zunehmende digitale Transformation ist die Menge an Daten enorm gestiegen. Gleichzeitig sind vertrauliche geschäftliche Informationen durch Remote-Arbeitsplätze und die Vielzahl der genutzten Geräte stärker gefährdet. Der Schutz dieser Daten ist äußerst wichtig, doch die ergriffenen Maßnahmen müssen die Privatsphäre der Anwender respektieren.
Regierungen auf der ganzen Welt haben Vorschriften zu diesem Thema erlassen, darunter:
- DSGVO (EU-Datenschutz-Grundverordnung)
- CCPA (California Consumer Privacy Act, Kalifornisches Gesetz zum Schutz von Verbraucherdaten)
- HIPAA (Health Insurance Portability and Accountability Act, US-Gesetz zum Schutz von Gesundheitsdaten)
- LGPD (Lei Geral de Proteção de Dados, Allgemeines Datenschutzgesetz in Brasilien)
Diese Gesetze werden immer komplexer und ihre Einhaltung hat bei Personal- und Rechtsabteilungen höchste Priorität. Um dies umsetzen zu können, muss Ihr Programm unter anderem diese Fragen beantworten können:
- Wie werden Daten gesammelt, genutzt und gelöscht?
- Wie wird die Privatsphäre der Anwender geschützt?
- Welche gegenseitigen Kontrollen werden festgelegt?
- Wie wird geistiges Eigentum geschützt?
Wenn Ihr Programm diese Aspekte berücksichtigt, werden vertrauliche Daten geschützt und das Recht auf Privatsphäre und die Unternehmenskultur respektiert.
Schutz für kritische Ressourcen und geistiges Eigentum
Der Kernpunkt jedes Programms zum Schutz vor Insider-Bedrohungen ist der Schutz wertvoller Unternehmensressourcen wie Geschäftsgeheimnisse, Finanzunterlagen und Kundendaten. Sie können Ihr Risiko minimieren, indem Sie Zugriffskontrollen implementieren, vertrauliche Daten verschlüsseln und mit DLP-Tools (Datenverlustprävention) vertrauliche Daten schützen sowie den Zugriff auf diese Daten beschränken. Ein weiterer wichtiger Schritt besteht darin, den Zugriff von Mitarbeitern auf vertrauliche Daten entsprechend ihren Aufgabenbereichen einzuschränken und die Zugriffsrechte zu entziehen, sobald sie das Unternehmen verlassen.
Wichtige Komponenten eines effektiven Programms zum Schutz vor Insider-Bedrohungen
Ein effektives Programm zum Schutz vor Insider-Bedrohungen erfordert einen umfassenden Ansatz, der Mitarbeiter, Technologie, Richtlinien, Schulungen sowie kontinuierliche Bewertungen kombiniert.
Festlegen der Zusammensetzung Ihres ITM-Teams
Sie benötigen ein spezialisiertes Team, das für die Verwaltung und Behebung von Insider-Bedrohungen zuständig ist (Insider Threat Management, ITM). Zu diesem Team sollten Mitglieder aus mehreren Abteilungen gehören:
- Sicherheitsabteilung: Zuständig für die Verwaltung der Sicherheitsrisiken, einschließlich Identifizierung der Risiken und Implementierung von geeigneten Schutzstrategien
- Personalabteilung: Zuständig für die Durchsetzung von Richtlinien und den Umgang mit Fehlverhalten bei Mitarbeitern
- Rechts- und Compliance-Abteilung: Gewährleistet, dass das Unternehmen geltende Gesetze einhält, und handhabt die rechtlichen Auswirkungen von Gesetzesverstößen
Zuständige Führungskräfte übernehmen die Aufsicht und geben die strategische Ausrichtung vor.
Implementieren von Technologien und Tools
Mit den richtigen Tools stehen Ihnen unter anderem diese Funktionen zur Verfügung:
- Überwachung der Anwenderaktivitäten zur Nachverfolgung des Anwenderverhaltens und von Datenbewegungen
- KI-gestützte Verhaltensanalysen zur Identifizierung von riskanten Verhaltensmustern bei Anwendern
- Zugriffs- und Datenschutzkontrollen zur Beschränkung der Datenzugriffe je nach Anwenderrolle
- Audit-Protokolle und Analysen zur Identifizierung potenzieller Risiken
- KI-gestützte Erkennung von Anomalien zur Mustererkennung
Erstellen von Richtlinien und Prozessen
Es ist wichtig, dass Sie Regeln für die Behebung von Risiken festlegen, darunter:
- Richtlinien zur akzeptablen Nutzung, die festlegen, wie Unternehmensressourcen verwendet werden dürfen
- Richtlinien zur Zugriffskontrolle, die den Zugriff auf Daten beschränken und überwachen
- Reporting-Verfahren, die Mitarbeiter zum Melden verdächtiger Aktivitäten motivieren
- Richtlinien zu Disziplinarmaßnahmen, die Folgen von Richtlinienverstößen vorschreiben
Durchführen regelmäßiger Mitarbeiterschulungen
Wenn Sie Ihre Mitarbeiter zu Insider-Bedrohungen schulen, können sie Risiken besser erkennen und angemessen reagieren. Diese Schulungen sollten folgende Themen umfassen:
- Erkennung von Insider-Bedrohungen: Mitarbeiter sollten wissen, wie sie Warnsignale wie ungewöhnliche Zugriffsanfragen, große Datenübertragungen oder plötzliche Verhaltensänderungen erkennen. Durch eine Kultur der Wachsamkeit wird die frühzeitige Erkennung unterstützt.
- Cyberhygiene: Starke Sicherheitsverhaltensweisen wie sichere Kennwörter, Phishing-Awareness und sicherer Umgang mit Daten sind unverzichtbar. Die Schulungen sollten auch Multifaktor-Authentifizierung (MFA), Social Engineering und die richtige Vernichtung von Daten thematisieren.
- Vertraulichkeit und Compliance: Schulungen sollten die Themen Datenklassifizierung, wichtige Vorschriften und die Folgen der Nichteinhaltung abdecken.
Erstellen eines Plans zur Reaktion auf Zwischenfälle
Mit einem strukturierten Plan zur Reaktion auf Zwischenfälle können Sie Schäden minimieren und die Wiederherstellung beschleunigen. Er sollte Details zu Folgendem umfassen:
- Identifizierung und Eindämmung zur schnellen Isolierung betroffener Systeme oder Mitarbeiter
- Untersuchung und Bewertung zur Bestimmung des Ausmaßes und der Auswirkungen der Bedrohung
- Beseitigung und Behebung durch Implementierung von Gegenmaßnahmen
- Rückblick nach dem Zwischenfall zum Lernen aus den Ereignissen und Verbessern zukünftiger Reaktionsmaßnahmen
Messen des Programmerfolgs
Um die Effektivität Ihres Programms sicherzustellen, müssen Sie eindeutige Erfolgsmetriken erfassen und im Blick behalten, z. B. wie viele Zwischenfälle erkannt werden, wie schnell die Reaktion erfolgt und wie gut Ihr Unternehmen die Sicherheitsrichtlinien einhält. Auf diese Weise können Sie Schwachstellen identifizieren, die Schulungen verbessern, Ihre Strategien optimieren und die allgemeine Sicherheit stärken.
Außerdem ist es wichtig, über Umfragen Rückmeldungen von Ihren Mitarbeitern einzuholen, deren Sicherheitsbewusstsein zu testen und zu prüfen, wie gut sie die festgelegten Sicherheitsrichtlinien einhalten.
Fazit
Unternehmen können es sich nicht leisten, Insider-Bedrohungen zu ignorieren. Unabhängig davon, ob böswilliges Verhalten oder Fahrlässigkeit dahinter stehen, können sie schwerwiegende Zwischenfälle auslösen und zu finanziellen Verlusten und Rufschädigung führen. Deshalb ist ein proaktives Programm zum Schutz vor Insider-Bedrohungen so wichtig. Durch den Fokus auf Früherkennung, klare Richtlinien, Mitarbeiterschulungen und die richtigen Sicherheitstools können Sie die Risiken minimieren und Ihre wertvollsten Ressourcen schützen.
Jetzt ist die ideale Gelegenheit, um sich Ihre Sicherheitsmaßnahmen genauer anzusehen. Tun Sie genug, um Insider-Bedrohungen zu erkennen und zu minimieren? Wenn Sie ein Programm zum Schutz vor Insider-Bedrohungen aufbauen oder Ihr Programm verbessern möchten, finden Sie in diesem E-Book wertvolle Informationen für die ersten Schritte.
