Was ist eine Insider-Bedrohung?
Unternehmen sind immer auf der Suche nach Möglichkeiten, ihre Vermögenswerte vor externen Quellen zu schützen. Es ist nicht ungewöhnlich, dass Sicherheitsteams und -mechanismen in ein Gebäude eingraviert sind. Aber unternimmt Ihr Unternehmen genug, um sich vor Insider-Bedrohungen zu schützen?
Insider-Bedrohungen beziehen sich auf ein Risiko, das innerhalb des Unternehmens besteht, beispielsweise bei Mitarbeitern, Partnern, Kunden und mehr. Für Unternehmen ist es wichtig, ihre Prozesse genau zu überwachen, um das Risiko von Insider-Bedrohungen zu mindern.
Lesen Sie weiter, während wir ausführlicher über Insider-Bedrohungen sprechen und wie Sie diese entschärfen können.
Was ist eine Insider-Bedrohung?
Wie bei vielen anderen Dingen kommen Bedrohungen in Unternehmen oft von ahnungslosen Quellen. Unternehmen sind häufig Sicherheitsbedrohungen aus internen Quellen innerhalb des Unternehmens ausgesetzt, die auch als Insider-Bedrohungen bezeichnet werden.
Ein Vorfall dieser Art tritt normalerweise auf, wenn eine Person (bei der es sich um einen aktuellen oder ehemaligen Mitarbeiter handeln kann) mit der Berechtigung zum Zugriff auf vertrauliche Informationen oder streng geheime Konten innerhalb des Netzwerks einer Organisation ihren Zugriff missbraucht.
Herkömmliche Sicherheitsmaßnahmen eignen sich zwar gut, um Gefahren von außen abzuwehren, sie übersehen jedoch häufig eine Bedrohung von innen, selbst wenn sie sich im Verborgenen versteckt.
Wie Insider-Bedrohungen dem Unternehmen schaden können
Insider-Bedrohungen können einem Unternehmen durch verschiedene negative Folgen Schaden zufügen, darunter den Diebstahl vertraulicher Informationen, unbefugten Zugriff sowie System- und Geräteschäden.
Im Wesentlichen können Insider-Angriffe die Sicherheit, Integrität und Zugänglichkeit kritischer Daten und Infrastruktur gefährden.
Diese Konsequenzen werden im Allgemeinen mit böswilligen Insidern in Verbindung gebracht. Die genauen Folgen fahrlässiger Insider können schwer zu bestimmen oder vorherzusagen sein, wenn man bedenkt, dass sie nicht die böswillige Absicht haben, Schaden anzurichten.
Das Hauptziel bei der Bekämpfung fahrlässiger Insider besteht darin, deren Fahrlässigkeit aufzudecken, bevor sie dem Unternehmen ernsthaften Schaden zufügen kann.
In Unternehmen ohne angemessene Informationssicherheitsverfahren kann anhaltende Nachlässigkeit jedoch zu Verstößen führen, die über Jahre andauern und eine Vielzahl von Daten betreffen.
Im Folgenden finden Sie einige Beispiele aus der Praxis, bei denen Insider, ob vorsätzlich oder fahrlässig, dem Unternehmen erheblichen Schaden zugefügt haben.
Tesla
In einem Dokument von Elon Musk wird behauptet, dass ein böswilliger Mitarbeiter dem Tesla-System erheblichen und schweren Schaden zugefügt habe, indem er den Code für das Tesla Manufacturing Operating System geändert und vertrauliche Tesla-Daten an eine externe Partei gesendet habe.
Im Jahr 2018 entdeckte Facebook, dass ein Sicherheitsexperte Frauen unter Nutzung von Unternehmensressourcen und -daten belästigt hatte.
Coca Cola
Nach Angaben der Ermittler hat ein Coca-Cola-Mitarbeiter die persönlichen Daten von rund 8.000 Arbeitern gestohlen und auf einer externen Festplatte gespeichert. Coca-Cola informierte seine Mitarbeiter und stellte ihnen ein Jahr lang eine kostenlose Kreditüberwachung zur Verfügung, als sie auf das Datenleck aufmerksam wurden.
SunTrust Bank
Ein ehemaliger Mitarbeiter von SunTrust hat 1,5 Millionen Kundendatensätze kompromittiert, darunter Namen, Adressen, Telefonnummern und Fondsbestände. Der Verstoß stellte eine Gefahr für die Bank und ihre Kunden dar, obwohl keine anderen sensiblen Informationen kompromittiert wurden.
So verhindern Sie Insider-Bedrohungen
Im Vergleich zu externen Angriffen sind Insider-Bedrohungen weitaus schwieriger zu erkennen oder zu verhindern. Sie bleiben in den Augen standardmäßiger Sicherheitstools wie Intrusion-Detection-Systeme (IDS), Firewalls und Anti-Malware-Programmen oft unbemerkt.
Dies liegt daran, dass sie legitime Informationen verwenden, um auf Unternehmensdaten zuzugreifen oder sich bei Systemen anzumelden.
Ein Tool zur Erkennung von Insider-Bedrohungen wie Wolfeye kann Ihnen bei der Überwachung Ihrer Mitarbeiter helfen, indem es Warnungen verschickt und Ihnen die Möglichkeit gibt, digitale Beweise auf Anzeichen verdächtigen Verhaltens zu untersuchen.
Verdächtige Anmeldeaktivität
Anmeldungen von Standardbenutzern folgen normalerweise Mustern, die sich täglich (oder häufiger) wiederholen. Jede Anmeldung, die nicht dem üblichen Muster folgt, könnte ein Zeichen dafür sein, dass eine Insider-Bedrohung versucht, in Ihre Systeme einzudringen. Dies kann Folgendes umfassen:
- Versuche, sich von unbekannten oder fremden Geräten oder von entfernten Standorten aus anzumelden
- Anmeldeversuche zu ungewöhnlichen Zeiten (z. B. außerhalb der Geschäftszeiten, im Urlaub oder am Wochenende)
- Anmeldeversuche, die scheinbar unpraktische Reisen mit sich bringen (z. B. meldet sich eine Person aus Texas an und verwendet dann eine Stunde später dasselbe Konto, um sich aus Singapur anzumelden).
- Eine überwältigende Anzahl fehlgeschlagener Anmeldeversuche mit den Benutzernamen „admin“ oder „test“ ohne ersichtlichen Grund
Im Allgemeinen sollten Sie sich Benutzeraktionen ansehen, die nicht der Norm zu entsprechen scheinen, und sicherstellen, dass jede unerwartete Aktivität gerechtfertigt ist. Eine gute Überwachungssoftware kann solche verdächtigen Anmeldeaktivitäten erkennen und Sie darauf aufmerksam machen.
Ungewöhnliche Downloads
Die meisten Überwachungssoftwares wie Wolfeye ermöglichen es Managern, die heruntergeladenen oder aufgerufenen Dateien ihrer Mitarbeiter anzuzeigen. Dadurch können Muster aufgedeckt werden, die Sie als Grundlage für jedes Büro in Ihrem Unternehmen festlegen können. Anhand dieser Basismessung können Unternehmen ungewöhnliche oder übermäßige Downloads erkennen.
Beachten Sie, dass Ihr Vertriebsteam häufig umfangreiche Marketingdateien herunterlädt und wie Ihre Personalabteilung routinemäßig eine Menge Gehalts- und Mitarbeiterdokumente einspart.
Das sind normale Muster. Wenn jedoch die Datendownloads unerwartet ansteigen und keinem der Basiswerte entsprechen, könnte dies ein Zeichen für eine Insider-Bedrohung in Ihrem Netzwerk sein.
Merkwürdiges Mitarbeiterverhalten
Eines der wichtigsten Anzeichen einer Insider-Bedrohung ist, wenn sich Mitarbeiter auf ungewöhnliche oder seltsame Weise verhalten. Effektive Überwachungslösungen wie Wolfeye können Ihnen tiefe Einblicke in die Aktivitäten und Verhaltensweisen eines Mitarbeiters geben. Im Folgenden finden Sie einige Beispiele für verdächtige Aktivitäten, die Wolfeye erkennen kann:
Ungewöhnliche Aktivität außerhalb der Geschäftszeiten
Während jedes Unternehmen einen Mitarbeiter schätzt, der über sich hinausgeht, könnte es sich lohnen, jemanden in Betracht zu ziehen, der plötzlich anfängt, unternehmenseigene Geräte oder Netzwerke nach Feierabend zu nutzen.
Dateien auf externe Geräte kopieren
Der oben erwähnte Fall von Coca-Cola reicht aus, um jeden Geschäftsinhaber zu alarmieren. Die meisten Unternehmen verbieten ihren Mitarbeitern, Unternehmensdaten auf ihre persönlichen Geräte zu kopieren. Daher ist es äußerst verdächtig, wenn ein Mitarbeiter dies tut.
Unerklärliche Datenlöschung
Wir verstehen die Frustration, die mit einer überfüllten Aufbewahrung einhergeht. Wenn jedoch ein Mitarbeiter unberechtigterweise große Datenmengen löscht, kann dies verdächtig sein.
Abschluss
Alle Unternehmen sind anfällig für Insider-Bedrohungen, doch ahnungslose Unternehmen trifft es in der Regel am härtesten. Stellen Sie sicher, dass Sie stets über die Aktivitäten Ihrer Mitarbeiter informiert sind, um Insiderrisiken vorzubeugen.