Laut dem Voice of the CISO Report sind Insider-Bedrohungen für CISOs auf der ganzen Welt ein großes Problem. Die Gründe dafür liegen auf der Hand, haben doch der Wechsel ins Homeoffice, die beschleunigte digitale Transformation und die große Kündigungswelle das Datenverlustrisiko für Unternehmen erhöht, die ihre strategischen Daten schützen wollen. Auch die Schlagzeilen in den Medien verdeutlichen die Auswirkungen und die zunehmende Verbreitung von Insider-Bedrohungen. Die LastPass-Kompromittierung mit 25 Millionen betroffenen Anwendern ist nur ein Beispiel dafür.
Kein Unternehmen ist gegen Insider-Bedrohung immun, denn sie alle arbeiten mit Menschen. Und Daten gehen schließlich nicht von selbst verloren – Menschen stehlen sie oder gehen falsch mit ihnen um. Deshalb benötigen Sie einen personenzentrierten Ansatz, um Insider-Bedrohungen zu beheben und Ihre Mitarbeiter für Cybersicherheit zu sensibilisieren. Dabei sollte der Ansatz über reine Inhaltsinformationen hinausgehen, um den Kontext zu verdeutlichen. Doch was bedeutet das konkret und wie können Unternehmen den Umgang mit Insider-Bedrohungen effizient gestalten und gleichzeitig die Unterbrechung von Geschäftsabläufen minimieren? Sehen wir uns das genauer an. Zunächst sollten wir definieren, was Insider-Bedrohungen sind.
Insider-Bedrohung und Insider-Risiken im Vergleich
Laut Definition sind Insider aktuelle oder ehemalige Mitarbeiter, Auftragnehmer oder Geschäftspartner, die autorisierten Zugriff auf das Netzwerk, die Systeme oder die Daten des Unternehmens haben oder hatten. Mit anderen Worten: Insider haben eine Vertrauensposition inne. Wenn sie diese Position absichtlich oder versehentlich zu ihrem persönlichen Vorteil nutzen, werden sie zu einer Bedrohung für das Unternehmen.
Die Begriffe „Insider-Risiken“ und „Insider-Bedrohungen“ werden zwar manchmal synonym verwendet, sie bedeuten jedoch nicht dasselbe. Insider-Bedrohungen sind ein Teilbereich der Insider-Risiken: Alle Insider stellen ein Risiko für ein Unternehmen dar, da sie Zugriff auf die Daten und Systeme dieses Unternehmens haben. Doch nicht jeder Insider wird zu einer Bedrohung. Diese Unterscheidung ist wichtig und erfordert einen strategischen und taktischen Ansatz, damit Sie Bedrohungen effektiv abwehren können.
Arten von Insider-Bedrohungen
Es gibt drei wichtige Arten von Insider-Bedrohungen:
- Fahrlässige Anwender haben gute Absichten, treffen aber schlechte Entscheidungen. Sie geben zum Beispiel versehentlich Kundendaten nach außen oder übertragen vertrauliche Strategiedokumente auf einen USB-Speicher. Laut dem Bericht zu weltweiten Kosten von Insider-Bedrohungen 2022 des Ponemon Institutes verursachen fahrlässige Anwender 56 % aller Insider-Vorfälle.
- Böswillige Anwender sind vom persönlichen Vorteil motiviert und möchten dem Unternehmen schaden. Sie exfiltrieren zum Beispiel Geschäftsgeheimnisse oder lassen geistiges Eigentum mitgehen, wenn sie das Unternehmen verlassen. Obwohl böswillige Anwender nur etwa 25 % aller Insider-Vorfälle verursachen, können diese Vorfälle große Aufmerksamkeit in den Medien erregen und sich erheblich auf die Finanzen und die Marke des Unternehmens auswirken.
- Kompromittierte Anwender sind Opfer eines Anmeldedatendiebstahls durch Bedrohungsakteure geworden, die Zugriff auf die Daten und Systeme eines Unternehmens erlangen möchten. Diese Anwender haben in der Regel privilegierten Zugriff auf Informationen, wodurch sie zum Ziel externer Bedrohungsakteure werden. Kompromittierte Anwender verursachen 18 % aller Insider-Vorfälle.
Nur wenn Sie die Arten von Insider-Bedrohungen und den Kontext kennen, können Sie die beste Reaktion bestimmen.
Was uns das Überfahren einer roten Ampel über Kontext lehrt
Am besten versteht man die Rolle von Kontext, wenn man sie mit einem Autofahrer vergleicht, der eine rote Ampel überfährt.
Stellen Sie sich vor, Sie sind Polizist und fahren gerade auf eine große Kreuzung zu. Während Sie näher kommen, sehen Sie, dass ein Auto eine rote Ampel überfährt. Auf den ersten Blick sieht es eindeutig danach aus, dass der Fahrer die Straßenverkehrsregeln missachtet hat und einen Strafzettel erhalten sollte. Doch sind alle Verstöße dieser Art gleich zu behandeln?
Stellen Sie sich jetzt vor, dass Sie mehr Kontextinformationen haben. Was, wenn dieser Fahrer bereits zehn Minuten an der Kreuzung gewartet hat, dann von einer defekten Ampelbeleuchtung ausgegangen und losgefahren ist? In diesem Fall würden Sie aufgrund des Kontexts möglicherweise keinen Strafzettel ausstellen. Dieser Autofahrer ist vergleichbar mit einem fahrlässigen Anwender. Beide haben gute Absichten, doch sie verhalten sich fahrlässig.
Was, wenn der Fahrer die rote Ampel überfahren hat, um ein anderes Fahrzeug zu verfolgen und dessen Fahrer zur Rede zu stellen? Vielleicht gab es direkt vor der roten Ampel ein hitziges Wortgefecht und der Verfolger versucht, dem anderen Fahrer Schaden zuzufügen. In diesem Fall müssen Sie so schnell wie möglich reagieren, damit dieser böswillige Fahrer möglichst wenig Schaden anrichten kann.
Oder was, wenn der Fahrer nach einem Banküberfall mit einem gestohlenen Fahrzeug unterwegs ist? Möglicherweise stellen Sie durch weitere Nachforschungen fest, dass der Fahrer nicht der ist, für den Sie ihn halten, und dass Sie andere Strafverfolgungsbehörden einschalten müssen. Dann müssten Sie vollkommen anders reagieren, als bei einem fahrlässigen oder böswilligen Fahrer.
Die wichtigsten Punkte
Dieses Beispiel macht deutlich, wie wichtig Kontextinformationen sind, um die gesamte Situation zu verstehen und die beste Reaktion zu bestimmen. Ohne diese weiteren Informationen müssten Sie bei jedem Fahrer gleich reagieren. Doch Transparenz ändert alles. Sie gewährt einen Blick auf die Gesamtsituation und ermöglicht die Beurteilung von Risiken, die Einschätzung der Auswirkungen und die Bestimmung der besten Reaktion.
Nach Ansicht von Proofpoint können Insider-Bedrohungen nur mithilfe zusätzlicher Kontextinformationen effizient und effektiv behandelt werden. Wenn die Reaktion bei einem böswilligen und einem fahrlässigen Anwender identisch ist, könnte das schwerwiegende und unbeabsichtigte Folgen haben. Deshalb bietet unser Ansatz Transparenz und Kontextdaten. Mit diesen Informationen können Sie das Wer, Was, Wann und Wo verstehen und entsprechend reagieren.
Weitere Informationen
Im Insider-Threat-Awareness-Monat können Sie in einem unserer Webinare mehr über die empfohlenen Vorgehensweisen beim Umgang mit Insider-Bedrohungen erfahren. Hören Sie sich die Erfahrungen und Ratschläge von Forrester an und nehmen Sie an einem Kamingespräch mit Pfizer zu Ansätzen für die Reduzierung von Risiken durch Insider-Bedrohungen teil. Informieren Sie sich genauer über Insider-Bedrohungen und darüber, wie Sie die Sensibilisierung mit dem Starter Pack zu Insider-Bedrohungen steigern können.
Erfahren Sie in unserer neuesten Folge des Protecting People-Podcasts mehr darüber, wie Sie Ihr Unternehmen vor riskanten Anwendern schützen können.