Kostenloses E-Handbook: Mit Insider-Bedrohungen umgehen

Bei großen Sicherheitsvorfällen von Unternehmen lag diesen meist keine filmreife Einbruchsszene zugrunde, in der ein Angreifer im Kapuzenpulli versucht, per Tastatur die Firewall zu überwinden. Die Wahrheit ist oft viel banaler: Auch große Datendiebstähle werden häufig mit ganz regulären Zugangsdaten begangen. Die sind dem originären Besitzer unter Umständen abgeluchst worden, manchmal ist aber auch ein tatsächlicher Innentäter am Werk. In beiden Fällen handelt es sich um eine Insider-Bedrohung. Und diese Art des Angriffs stellt für Unternehmen eine große Herausforderung dar. Insider-Bedrohungen sollten daher weit oben auf der Agenda von Sicherheitsverantwortlichen stehen.

Bei Insider-Angriffen muss man unterschiedliche Arten unterscheiden. So werden Zugangsdaten durch unterschiedlichste Maßnahmen entwendet, ohne dass dies der Anwender trotz Sicherheitsbewusstsein bemerkt. Darüber hinaus existieren natürlich auch nachlässige Mitarbeiter, denen die Daten zu leichtfertig abhandenkommen. Und schlussendlich kann es natürlich auch böswillige oder verärgerte Personen geben, die gezielt zum Innentäter werden und Sabotage oder Diebstahl begehen.

Die Herausforderungen durch Insider-Bedrohungen haben sich in den vergangenen Jahren verschärft. Und das liegt unter anderem an der Art und Weise, wie heute in vielen Unternehmen gearbeitet wird. Solange Mitarbeiter ausschließlich von ihrem Arbeitsplatz im Büro mit dem Firmenrechner aufs Netzwerk zugriffen, ließ sich das Ganze relativ einfach im Griff behalten und im Falle eines Falles Missbrauch schnell erkennen. Heutzutage klinken sich Anwender von überall aus ins Netzwerk ein, nutzen hierfür unterschiedlichste Geräte und nehmen auch noch Cloud-Dienste außerhalb des Unternehmens in Anspruch. Dies erhöht zum einen die Angriffsfläche der Unternehmen und macht zum anderen die Sicherheitsanalyse weitaus schwieriger. Umso wichtiger ist es, die Anzeichen für einen Insider-Vorfall zu kennen und richtig zu interpretieren.

Die gute Nachricht: Es existieren eine Reihe von Werkzeugen, die Administratoren und Sicherheitsteams bei der Bewältigung dieser Herausforderung unterstützen können. Diese Tools arbeiten in aller Regel verhaltensbasiert und können Anomalien aufspüren – und zwar auffälliges Verhalten sowohl von Anwendern als auch von Diensten und Systemen. So wird etwa auch sonderbares Verhalten von Anwendungen registriert.

Administratoren und IT-Leiter sollten dabei nicht den Faktor Zeit unterschätzen. Die Lösungen wollen mit Bedacht ausgewählt werden und sind keine Produkte, die man eben mal schnell installiert, und schon hat sich die Sicherheit verbessert. Die Lösungen müssen das Unternehmen, die Mitarbeiter sowie die Prozesse kennenlernen und optimal darauf abgestimmt werden. Umso wichtiger ist es, sich dem Thema Insider-Bedrohungen rechtzeitig zu widmen.