Auf dem sich ständig weiterentwickelnden Gebiet der Cybersicherheit liegt der Schwerpunkt häufig auf externen Bedrohungen wie Ransomware und Malware, die außerhalb der Unternehmens-Firewall lauern. Eine potenziell noch verheerendere Bedrohung liegt jedoch innerhalb der Mauern eines Unternehmens: Insider-Angriffe. Diese Angriffe, die von Personen mit autorisiertem Zugang zu den Systemen und Daten eines Unternehmens verübt werden, können immensen Schaden anrichten; sowohl in finanzieller Hinsicht als auch in Bezug auf den Ruf des Unternehmens.
Angesichts der Tatsache, dass europäische Unternehmen jährlich 15,4 Millionen Dollar für die Abwehr von Insider-Bedrohungen ausgeben und es mehr als zwei Monate dauert, bis ein Angriff abgewehrt ist, müssen Unternehmen damit beginnen, korrekte Reaktionspläne für Insider-Angriffe zu implementieren, um die finanziellen und zeitlichen Kosten, die diese Bedrohungen für ein Unternehmen mit sich bringen, bestmöglich zu minimieren.
Was sind Insider-Bedrohungen?
Insider-Bedrohungen sind eine Art von Cybersicherheitsrisiken, die von innerhalb einer Organisation ausgehen. Das bedeutet, dass die Bedrohung von jemandem ausgeht, der autorisierten Zugang zu den Systemen und Daten des Unternehmens hat. Insider-Bedrohungen können sowohl von aktuellen oder ehemaligen Mitarbeitern als auch von Auftragnehmern, Partnern und Lieferanten ausgehen.
Einfacher ausgedrückt, handelt es sich bei Insider-Bedrohungen um Personen, die Zugang zu internen sensiblen Daten haben und diesen Zugang absichtlich oder unabsichtlich missbrauchen können. Dieser Missbrauch gefährdet die Integrität, Vertraulichkeit und Verfügbarkeit dieser Daten.
Die Bedrohungen treten aus verschiedenen Gründen auf und können schwerwiegende Folgen haben, da sie geistiges Eigentum, Kundendaten sowie kritische Abläufe und strategische Initiativen von Unternehmen gefährden können.
Auf welche Arten von Insider-Bedrohungen sollten Sie achten?
Lassen Sie uns Insider-Bedrohungen in Kategorien unterteilen, nämlich in böswillige Insider, Fahrlässigkeit und kompromittierte Insider.
Böswillige Insider:
Dabei handelt es sich um Personen oder Organisationen mit autorisiertem Zugang zu Unternehmensdaten, die diese Informationen auf schädliche oder unethische Weise nutzen, um sich finanziell zu bereichern oder aus Wut auf die Organisation.
Stellen Sie sich verärgerte oder ehemalige Mitarbeiter vor, die mit Konkurrenten oder Hackern zusammenarbeiten und versuchen, den Geschäftsbetrieb zu schädigen.
Beispiel: Während der COVID-19-Pandemie hat ein ehemaliger Mitarbeiter von Stradis Healthcare, ein Verpackungsunternehmen für Medizinprodukte, aus Ärger ein Administratorkonto verwendet, um ein gefälschtes Benutzerkonto zu erstellen. Anschließend veränderte er Tausende von Dateien, um die Lieferung von Schutzausrüstung an Krankenhäuser und Gesundheitsdienstleister zu verzögern oder zu stoppen.
Wie Sie das verhindern können:
- Definieren Sie eine klare Zugangskontrollpolitik: Stellen Sie sicher, dass Ihr Unternehmen über eine klar definierte Zugangskontrollpolitik verfügt. Führen Sie klare Verfahren ein, um ehemaligen Mitarbeitern den Zugang zu entziehen und zu verhindern, dass sie weiterhin Zugang zu alten Daten oder vertraulichen Informationen haben.
- Überwachen Sie ungewöhnliche Aktivitäten: Seien Sie wachsam. Überwachen Sie ungewöhnliche Aktivitäten, z. B. das Einloggen ins Netzwerk oder das Betreten des Gebäudes zu unüblichen Zeiten. Behalten Sie außerdem die Übertragung großer Datenmengen im Auge, um potenzielle Bedrohungen schnell zu erkennen und zu bekämpfen.
Fahrlässigkeit:
Im Gegensatz zu den böswilligen Bedrohungen sind fahrlässige Bedrohungen unbeabsichtigt. Sie entstehen, wenn jemand, der Zugang zu internen Informationen hat, Fehler macht, z. B. auf einen Phishing-Angriff hereinfällt, Sicherheitskontrollen umgeht oder versehentlich vertrauliche Informationen weitergibt. Laut einem aktuellen IBM-Bericht machen fahrlässige Bedrohungen 63 % der Insider-Bedrohungen aus (Link nur auf Englisch verfügbar).
Beispiel: Im Jahr 2021 führte ein Phishing-Angriff auf X (ehemals Twitter) dazu, dass Betrügern 100.000 Dollar an Bitcoins überwiesen wurden, der Aktienkurs um 4 % fiel und die Veröffentlichung einer neuen API verschoben wurde.
Wie Sie es verhindern können:
- Investieren Sie in laufende Schulungen zur Informationssicherheit: Statten Sie Ihr Team mit dem Wissen aus, das es benötigt, um potenzielle Bedrohungen zu erkennen und abzuwehren. Regelmäßige Schulungen stellen sicher, dass sie über die neuesten Sicherheitspraktiken auf dem Laufenden bleiben.
- Schaffen Sie eine Kultur der Compliance und des Sicherheitsbewusstseins: Schaffen Sie ein Umfeld, in dem Compliance und Sicherheitsbewusstsein zu einer Selbstverständlichkeit werden. Stellen Sie sicher, dass Ihre Mitarbeiter die besten Praktiken im Bereich der Cybersicherheit verstehen. Ein aufmerksames Team ist Ihre erste Verteidigungslinie.
- Führen Sie offensive Sicherheitstests durch: Bleiben Sie einen Schritt voraus, indem Sie regelmäßig Penetrationstests durchführen. Diese offensiven Sicherheitstests bewerten den Kenntnisstand Ihrer Mitarbeiter und helfen Ihnen, potenzielle Schwachstellen proaktiv zu erkennen und zu beheben.
Gefährdete Insider:
Diese Bedrohungen sind auf den Diebstahl von Zugangsdaten zurückzuführen, bei dem sich jemand als Mitglied der Organisation ausgibt. Dies kann physisch geschehen, z. B. durch den Diebstahl einer Zugangskarte, oder durch Social Engineering. Kompromittierte Insider: Diese Bedrohungen sind am teuersten zu beheben, mit durchschnittlichen Kosten von 804.000 Dollar pro Vorfall und 24 % Prozent der Kosten für die Unterbrechung des Geschäftsbetriebs.
Beispiel: Ein Mailchimp-Mitarbeiter wurde durch einen Social-Engineering-Angriff ausgetrickst, wobei er seine Anmeldedaten preisgab und den Angreifern Zugang zu 133 Benutzerkonten gewährte. Da es sich um den dritten Angriff in weniger als einem Jahr handelte, waren die Auswirkungen auf Mailchimp schwerwiegend.
Wie Sie es verhindern können:
- Verstärken Sie die Zugangssicherheit: Sorgen Sie für eine robuste Sicherheit, indem Sie strenge Zugangskontrollen, eine Zwei-Faktor-Authentifizierung und Passwortmanager einsetzen. Durch die Stärkung dieser Aspekte wird der Schutz vor unbefugtem Zugriff verbessert.
- Priorisieren Sie Schulungen und Pen-Tests: Schützen Sie sich vor Social Engineering und anderen Bedrohungen durch kontinuierliche Schulungen. Führen Sie regelmäßig Penetrationstests durch, um Ihre Verteidigungsstrategien zu bewerten und die Widerstandsfähigkeit zu verbessern. Diese Maßnahmen tragen zum Aufbau einer sicherheitsbewussten Kultur in Ihrem Unternehmen bei.
Kosten von Insider-Bedrohungen:
Die mit Insider-Bedrohungen verbundenen Kosten sind vielschichtig und bedürfen einer sorgfältigen Prüfung:
- Überwachung und Beobachtung: Investitionen in Kontroll- und Überwachungsinstrumente sind unerlässlich, um potenzielle Bedrohungen aufzuspüren und zu identifizieren und sie zu entschärfen, bevor es zu einer Eskalation kommt.
- Untersuchung und Eskalation: Es wird viel Zeit darauf verwendet, die Auswirkungen des Vorfalls zu bewerten und sie an das Management zu eskalieren.
- Reaktion auf Vorfälle: Es werden Ressourcen bereitgestellt, um auf Vorfälle zu reagieren und die notwendigen Aktivitäten durchzuführen, um die Entscheidungen des Managements über das weitere Vorgehen zu erleichtern.
- Eindämmung und Wiederherstellung: Es werden Schritte unternommen, um Bedrohungen einzudämmen und ihre Auswirkungen zu mindern. Das beinhaltet auch die Reparatur und Wiederherstellung von beschädigten Einrichtungen oder Infrastrukturen.
- Wiederherstellung: Es entstehen Kosten, um den Vorfall zu bewerten, die Ursachen zu verstehen und neue Maßnahmen und Prozesse zu implementieren, um zu verhindern, dass der Vorfall sich wiederholt.
- Finanzielle Verluste aufgrund von Betriebsunterbrechungen: Eine vorübergehende Unterbrechung des Geschäftsbetriebs führt zu finanziellen Verlusten. Dies umfasst die Auswirkungen auf die Finanzen und strategischen Initiativen des Unternehmens aufgrund der offengelegten Informationen.
- Verlust des Kundenvertrauens und Rufschädigung: Berücksichtigt die Kosten, die mit dem Verlust des Kundenvertrauens und der Schädigung des Rufes verbunden sind.
- Ordnungsrechtliche Geldbußen: Das Versäumnis, die richtigen Maßnahmen zum Schutz von Informationsbeständen zu ergreifen, kann zu einer behördlichen Geldbuße führen, die die Gesamtkosten zusätzlich belastet.
Unsere Empfehlung:
Hier ist unsere Top-Empfehlung zur effektiven Verhinderung und Minimierung der Kosten und Auswirkungen von Insider-Bedrohungen:
Schaffen Sie einen soliden Schutz durch umfassende Richtlinien und Verfahren, die in einen zuverlässigen Reaktionsplan auf Vorfälle eingebunden sind. Die Ausarbeitung unternehmensweiter Richtlinien, die Durchführung jährlicher Mitarbeiterschulungen, regelmäßige Penetrationstests und die Durchsetzung strenger Zugriffsberechtigungen sind wichtige Maßnahmen, um die Wahrscheinlichkeit des Eintretens dieser Risiken zu verringern.
Wenn Sie Ihre Bemühungen zur Risikominderung vertiefen möchten, klicken Sie hier, um zu erfahren, wie ISO 27001 Ihnen wertvolle Unterstützung bieten kann.
Haben Sie noch Fragen zum Thema? Wir beraten Sie gerne.