Maksim Kabakou - Fotolia

Unternehmen sind auf Insider-Angriffe schlecht vorbereitet

Meist richten Unternehmen ihr Augenmerk in Sachen Security bei Abwehr und Reaktion auf externe Angriffe. Viele Sicherheitsvorfälle werden jedoch mit regulären Zugangsdaten verübt.

Angreifer zielen häufig darauf ab, an Zugangsdaten von Mitarbeitern zu gelangen. Kein Wunder, können sie doch so ihren Aktivitäten nachgehen, ohne dass dies umgehend ruchbar wird. Bei den so genannten Insider-Bedrohungen sind ja dann auch oft nicht die Mitarbeiter selbst aktiv, sondern deren abhanden gekommene Zugangsdaten werden missbraucht. Zugangsdaten mit weitreichenden Rechten sind daher ein sehr attraktives Ziel für Cyberkriminelle. Diesen Aspekt beleuchtet das SANS Institute unter anderem in der Studie „Defending Against the Wrong Enemy: 2017 SANS Insider Threat Survey“ (PDF). Hierfür wurden weltweit IT- und Sicherheitsexperten unterschiedlicher Branchen befragt.

Demnach gaben 76 Prozent der befragten IT- und Sicherheitsexperten an, dass der größte Schaden durch einen Sicherheitsvorfall entstehen könnte, der mit regulären Zugangsdaten herbeigeführt würde. Diese Credentials könnten einem eigenen oder externen Mitarbeiter zugeordnet sein. Und 40 Prozent der Befragten gaben an, dass sie eine entsprechende Insider-Attacke als sehr gefährlich einstufen. Zudem seien unbeabsichtigte Insider-Angriffe kritisch für die eigenen Sicherheitsmaßnahmen des Unternehmens.

Kein Vorfallreaktionsplan für Insider-Bedrohungen

Nichtsdestotrotz haben laut der Studie nur 18 Prozent der Befragten einen Incident Response Plan (IRP) für entsprechende Bedrohungen. Immerhin 49 Prozent der Umfrageteilnehmer haben angegeben, dass sich an einem entsprechenden Reaktionsplan arbeiten. Viele der Befragten gehen davon aus, dass sie bisher keinen so genannten Insider-Angriff zu verzeichnen gehabt haben. Allerdings schienen vielerorts auch noch deutliche Verbesserungsmöglichkeiten im Hinblick auf die Erkennung derselben zu existieren. So bezeichneten 38 Prozent der Befragten die von ihnen verwendeten Systeme und Methoden als ineffektiv.

Unternehmen sind auf Insider-Angriffe schlecht vorbereitet
Abbildung 1: Viele Unternehmen setzen auf SIEM-Lösungen und Log-Management, um etwaige Sicherheitsvorfälle zu entdecken.

Administrative Richtlinien, interne Kontrollen sowie DLP gehören zu den Werkzeugen, mit denen Unternehmen den Insider-Bedrohungen begegnen. Um etwaigen Missbrauch von Zugangsdaten auf die Schliche zu kommen, setzen die Befragten auf folgende Hilfsmittel: SIEM-Lösungen, Log-Management, interne Audits sowie Netzwerk-Monitoring. Weniger Nennungen entfallen auf die Überwachung von Mitarbeitern sowie verhaltensbasierte Analysen.

„Während vorsätzliche und mit krimineller Absicht agierende Insider immer ein gewisses Risiko darstellen, vergessen viele Unternehmen, dass ein externer Angriff oft auf einen legitimen Insider abzielt und dazu verleitet Schaden anzurichten“, erklärt SANS-Instructor und Studienautor Dr. Eric Cole. „Dieser zufällige Insider könnte als ein Weg vom Angreifer genutzt werden, um aus einem Unternehmen die sensibelsten Daten mitzunehmen, ohne, dass es jemandem auffällt. Und nur wenige Unternehmen wissen überhaupt, dass ein solcher Vorfall überhaupt passiert ist.“

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

 

Nächste Schritte

So können Unternehmen Insider-Bedrohungen begegnen

Verhaltenbasierte Erkennung von Angriffen

Die richtigen Tools, um Insider-Bedrohungen zu begegnen

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close