Wer ist Ihre größte Insider-Bedrohung?

Penetration Testing hat David Murphy gelehrt, wie problematisch der "Faktor Mensch" werden kann. Murphy, Manager für Cybersicherheit beim US-Beratungsunternehmen Schneider Downs und Ex-NSA-Consultant, hat in seiner beruflichen Laufbahn erlebt, wie Mitarbeiter herumliegende USB-Sticks mitgenommen und benutzt, am Telefon Passwörter verraten und auf simulierte Phishing-Links geklickt haben.

Insider-Bedrohungen nehmen zu – und sind teuer

Außerdem hat er auch Bekanntschaft mit den realen Konsequenzen solcher Handlungen gemacht: Als der Security-Experte einmal einem Ransomware-Angriff auf den Grund ging, führte ihn die Suche nach der Ursache zu einem Mitarbeiter, der in seinem E-Mail-Postfach auf eine (vermeintliche) Rechnung für Essiggurken geklickt hatte. "Eine solche Rechnung einzusehen hatte nichts mit seinen beruflichen Pflichten zu tun und die Rechnung hatte auch nichts mit den Aktivitäten des Unternehmens zu tun. Der einzige Grund, warum er sie angeklickt hat, war, dass er gerade dabei war, alle E-Mails zu öffnen", erinnert sich Murphy.

In den vergangenen zwei Jahren ist die Gesamtzahl der Insider-Sicherheitsvorfälle wie Murphy sie erlebt hat, um 44 Prozent gestiegen. Das fand das Ponemon Institute in seiner Studie "2022 Cost of Insider Threats Global" heraus. Demnach sind fahrlässige Insider die Ursache für 56 Prozent der Sicherheitsvorfälle - von denen ein einziger im Schnitt knapp 485.000 Dollar kostet. Werden solche Vorfälle - wie in 26 Prozent der untersuchten Incidents - durch kriminelle, beziehungsweise böswillige Insider verursacht, steigen die durchschnittlichen Kosten auf 648.000 Dollar.

Insider Threats verlangen vielschichtigen Ansatz

Um solch hohe Kosten und andere Schäden zu vermeiden, sollten Unternehmen versuchen, potenzielle Risiken zu identifizieren. Besonders simulierte Phishing-Angriffe können dabei helfen, Mitarbeiter zu identifizieren, die ohne nachzudenken auf E-Mail-Links klicken. Viel schwieriger ist es jedoch, herauszufinden, welche Mitarbeiter anfällig für einen ausgeklügelten Social-Engineering-Angriff sind, der beispielsweise auf Informationen von LinkedIn aufgebaut ist. Oder welcher Mitarbeiter vielleicht so verärgert ist, dass er seine Anmeldedaten an kriminelle Gruppen verkauft.

"Um diese Insider-Risiken zu finden, darf man sich nicht nur auf einen bestimmten Aspekt verlassen, wie zum Beispiel, welche Aufgaben ein Mitarbeiter hat", sagt Murphy. "Wenn ein Praktikant zum Beispiel bis spät in die Nacht hinein alleine arbeitet und dabei versucht auf eingeschränkte Konten zuzugreifen, würde ich Verdacht schöpfen."

Dem Manager zufolge erfordert IT-Sicherheit einen vielschichtigen Ansatz, der zunehmend Informationen über die Benutzer einbezieht sowie dessen jeweilige Rolle im Unternehmen und seine typischen Aktivitäten. Dazu gehören User Behavior Analytics, eine Zero-Trust-Policy und das Least-Privilege-Prinzip.

Diese Mitarbeiter sind die größten Insider-Risiken

"Insider-Bedrohungen und -Risiken zu erkennen, ist heute viel schwieriger, als noch vor zehn Jahren", meint Sarb Sembhi, CISO und CTO bei Virtually Informed. Data-Loss-Prevention-Lösungen, Netzwerk-Scanning-Tools, IAM-Plattformen und der Zero-Trust-Ansatz könnten die Risiken durch Insider Threats erheblich reduzieren. "Hundertprozentigen Schutz gibt es allerdings auch hier nicht."

Adam Goldstein, Assistenzprofessor für Cybersecurity, empfiehlt CISOs, risikobehaftete Mitarbeiter in mehrere Gruppen einzuteilen:

• Remote-Mitarbeiter sind Goldstein zufolge im Allgemeinen anfälliger für Sicherheitsvorfälle. Sie arbeiteten an ihren persönlichen Computern und es gebe ein anderes Maß an Kontrolle über das, was sie auf ihrem Computer tun, aber auch über ihre Verbindung zum Unternehmen und ihren Kollegen.

• Mitarbeiter, die sehr viel zu tun haben oder mehrere Funktionen ausfüllen, stellen dem Cybersecurity-Professor zufolge ebenfalls ein Risiko dar: "Überlastung kann Menschen dazu bringen, Abkürzungen zu nehmen, die sie normalerweise nicht nehmen würden oder sich in Aufgaben oder Systeme zu stürzen, für die die Einarbeitungszeit gefehlt hat oder für die sie nicht den nötigen Support erhalten."

• Hinzu komme eine Gruppe von Arbeitnehmern, die Schwierigkeiten hat, die von ihnen genutzten Geräte und Technologien zu verstehen sowie

• eine weitere, bei der Bequemlichkeit Vorrang vor Sorgfalt und Security habe.

Goldstein fügt hinzu, dass jedoch auch sehr vorsichtige Mitarbeiter einem Betrug zum Opfer fallen können, da kriminelle Hacker ihre Strategien ständig weiterentwickeln: "Ein raffinierter Angreifer kann mit Social-Engineering-Angriffen jedes Ziel kompromittieren, wenn die Attacke entsprechend gut geplant und ausgeführt wird - oder das Ziel gerade abgelenkt ist."

Mittlerweile gehen die Kriminellen sogar so weit, eigene Plattformen und Kanäle für unzufriedene oder böswillige Mitarbeiter aufzusetzen, über die diese ihre Anmeldedaten oder andere Unternehmens-Assets zu Geld machen können, wie Goldstein berichtet. "Das Risiko für den Insider ist viel geringer als früher, weil man das Ganze wie einen Phishing-Angriff aussehen lassen kann, was die Rückverfolgung zum Täter wesentlich erschwert."

Michael Ebert, Partner beim Beratungsunternehmen Guidehouse, berichtet von einem Fall, bei dem die Strafverfolgungsbehörden einer Mitarbeiterin auf die Schliche kamen, die Zugangsdaten ihres Unternehmens verkaufte. Im Zuge der Ermittlungen habe sich dann herausgestellt, dass die Täterin von einem Bekannten - beziehungsweise Komplizen - zum Verkauf genötigt worden war, weil der sich davon schnelles Geld versprach. Laut Ebert hatte die Mitarbeiterin alle Hintergrund-Checks, die das Unternehmen in Abständen von zwei Jahren durchführt, bestanden.

Maßnahmen gegen Insider Threats

Solche Vorfälle machen deutlich, warum CISOs Personas als Teil ihrer Sicherheitsstrategie in Betracht ziehen sollten. Jedoch haben CISOs hier nur begrenzte Möglichkeiten. Vor allem, wenn sie allein arbeiten. "Viele Unternehmen führen während des Einstellungsprozesses Hintergrundüberprüfungen und andere Maßnahmen durch, um sicherzustellen, dass die Mitarbeiter bestimmte Anforderungen erfüllen. Aber es kann sich schwierig gestalten, das bei bestehenden Mitarbeitern zu tun, die möglicherweise Veränderungen in ihrem persönlichen Leben durchmachen oder unterschiedliche Gefühle gegenüber dem Unternehmen und ihrer Rolle entwickeln", erklärt Goldstein.

Organisationen in stark regulierten Branchen oder Betreiber kritischer Infrastrukturen unterliegen, seien dabei im Vorteil, weil deren Sicherheits- und Personalabteilungen aufgrund von Compliance-Anforderungen bereits enger zusammenarbeiteten, um Mitarbeiter zu identifizieren, die eine potenzielle Bedrohung darstellen könnten. Entsprechende Richtlinien und Prozesse für den Umgang mit solchen Situationen seien dort ebenfalls gegeben.

Hierbei wird den Verantwortlichen jedoch abverlangt, den Spagat zwischen dem Schutz der Unternehmensressourcen und der Überwachung des Mitarbeiterverhaltens zu schaffen - ohne dabei in eine "Big-Brother-Rolle" zu verfallen. Goldstein rät Sicherheitsentscheidern deshalb, Übungen durchzuführen, die dazu beitragen können, Insider-Bedrohungen zu identifizieren: "Präsentieren Sie der Führungsebene Szenarien - was würde passieren, wenn ein Angreifer die Anmeldedaten von Person X erhalten würde? Die jeweilige Antwort schafft ein Verständnis über das Risikopotenzial von Insidern."

Jason Dury, Cybersecurity Director bei Guidehouse, geht noch einen Schritt weiter: "CISOs sollten mit anderen Führungsverantwortlichen - insbesondere aus der Personalabteilung - zusammenarbeiten, um zu erkennen und zu verstehen, welche Verhaltensweisen oder Aktivitäten darauf hinweisen können, dass ein Mitarbeiter eine Gefahr für das Unternehmen darstellt. Dabei sollten mehrere Perspektiven mit einbezogen werden - das ist keine Aufgabe, die im Silo stattfinden sollte."

Goldstein fasst zusammen: "Man muss die einzelnen Personen betrachten. Das kann dabei helfen, das Risiko zu verstehen und einzuschätzen, ob die vorhandenen Kontrollmaßnahmen angemessen sind oder ob es Bereiche gibt, die noch optimiert werden könnten."

Eine interessante Methode, um Unternehmen für Cybergefahren, die von Mitarbeitern ausgehen können, zu sensibilisieren, hat der Sicherheitsanbieter KnowBe4 entwickelt. "The Inside Man" ist eine Serie, die mittlerweile vier Staffeln umfasst und in jeder Folge Best Practices für Cybersicherheit vermittelt. (ms)

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO Online.