theNet von CLOUDFLARE

Insidern mit bösen Absichten das Handwerk legen

Die Gefahr kommt von innen

Die meisten internen Sicherheitsvorfälle sind das Ergebnis eines unbeabsichtigten Fehlers. Aber manchmal, aus dem einen oder anderen Grund, stehlen Mitarbeitende absichtlich oder manipuliert Unternehmensressourcen, um sich einen Vorteil zu verschaffen. Ganz gleich, ob sie eine Schwachstelle ausnutzen oder Daten stehlen, die ihnen in Zukunft zugutekommen könnten, die durchschnittlichen Kosten dieser böswilligen Insider-Angriffe belaufen sich laut einer Studie des Ponemon Institute über Insider-Bedrohungen auf 648.062 US-Dollar. Diese Kosten ergeben sich aus einer Vielzahl von Faktoren, darunter der Verlust von Daten und Systemen, der Aufwand für die Wiederherstellung dieser Daten und Systeme sowie Lösegeldzahlungen an Angreifer. Abgesehen von den finanziellen Auswirkungen können diese Angriffe einem Unternehmen in mehrfacher Hinsicht schaden: Ruf, Wettbewerbsvorteil, Kundenvertrauen usw.

Einige aktuelle Schlagzeilen zeigen, dass kein Unternehmen vor dem Risiko böswilliger Insider sicher ist. Sie machen deutlich, wie wichtig es ist, geeignete Sicherheitsmaßnahmen zu ergreifen, um das Risiko zu verringern:

  • Pfizer behauptete, ein Angestellter habe 12.000 Dateien auf ein Google Drive-Konto hochgeladen, darunter auch Daten, die Geschäftsgeheimnisse des Impfstoffs COVID-19 betreffen. Der Mitarbeitende hatte angeblich ein Stellenangebot von einem anderen Unternehmen.

  • Ein Unternehmen in Connecticut behauptete, dass ein ausscheidender Mitarbeitender einen Ransomware-Angriff auf die Systeme des Unternehmens durchführte, indem er Dateien verschlüsselte und eine anonyme Zahlungsaufforderung ausstellte.

  • Ein leitender Entwickler in New York wurde verhaftet, weil er angeblich Daten über VPN gestohlen und versucht hat, seinen Arbeitgeber zu erpressen, während er sich als externer Hacker ausgab.

Böswillige Insider gibt es schon seit Jahrzehnten, aber das Risiko, das von diesen Angreifern ausgeht, hat sich mit der Umstellung auf Remote-Arbeit erhöht. Da viele Mitarbeitende, Auftragnehmer und Partner heute außerhalb des Büros und des traditionellen Unternehmensnetzwerks arbeiten, ist es viel schwieriger, zwischen einem bösartigen Insider und normalem Verhalten zu unterscheiden.


Trends, die das Risiko von böswilligen Insidern erhöhen

Forrester Research beschreibt den pandemiebedingten Anstieg der Remote-Arbeit als Teil eines „perfekten Sturms für böswillige Insider.“ Wie bei vielen anderen Angriffsarten hat die Pandemie ein Umfeld geschaffen, das es böswilligen Insidern erleichtert, ihre Handlungen zu verbergen, aber das Risiko ist nicht allein auf die Pandemie zurückzuführen. Mehrere Faktoren tragen dazu bei:

  • Mangelnde physische Sichtbarkeit: Remote-Nutzer sind schwerer zu überwachen – sie könnten zum Beispiel Fotos von vertraulichen Informationen auf einem Computerbildschirm machen, ohne Spuren zu hinterlassen oder die Beobachtung durch einen Kollegen zu riskieren. Darüber hinaus sind frühere Warnzeichen für potenziellen Datendiebstahl, wie z. B. der Zugriff auf Unternehmensressourcen oder das Verlassen des Arbeitsplatzes zu ungewöhnlichen Zeiten, bei Remote-Teams schwieriger zu erkennen und können aufgrund „flexibler“ Arbeitszeiten sogar überhaupt nicht verdächtig sein.

  • Persönliche Gerätenutzung: Mehr Unternehmen unterstützen „Bring-your-own-Device“ (BYOD). Es ist jedoch schwieriger, den Zugriff auf Daten und Anwendungen auf persönlichen Geräten zu kontrollieren, wodurch ein weiterer Ansatzpunkt für Datendiebstahl entsteht. Wenn das Sicherheitsteam nicht über eine Endpunkt-Software verfügt, die eine gewisse Sichtbarkeit und Kontrolle des Zugriffs auf persönliche Geräte ermöglicht, bemerkt es möglicherweise nicht, dass ein unbeabsichtigter Datenzugriff stattfindet.

  • Verstärkte Adoption von SaaS-Anwendungen: SaaS-Anwendungen werden in der Cloud-Infrastruktur eines Drittanbieters gehostet, außerhalb des traditionellen Unternehmensnetzwerks. Mitarbeitende greifen häufig über das öffentliche Internet auf diese Anwendungen zu. Wenn das Unternehmen die Nutzung des öffentlichen Internets nicht über ein sicheres Web-Gateway überwacht, kann es nicht nachvollziehen, wer auf welche Daten zugreift.

  • Die „Great Resignation“: Einige Mitarbeitende sehen die Kündigung leider als Gelegenheit, vertrauliche Informationen in ihre nächste Position mitzunehmen. In einer Umfrage von Tessian gaben 45 % der Befragten an, dass sie Dateien heruntergeladen haben, bevor sie ihren Arbeitsplatz verließen oder nachdem sie entlassen wurden. Speziell für die IT-Abteilung: Eine kürzlich durchgeführte Umfrage von Gartner ergab, dass nur 29 % der IT-Mitarbeitenden „die feste Absicht haben, bei ihrem derzeitigen Arbeitgeber zu bleiben“. Da sich dieser Trend fortsetzt, wird der Diebstahl sensibler Informationen durch ausscheidende Mitarbeitende zu einem größeren potenziellen Risiko.

Zusätzlich zu diesen Trends haben sich auch die Taktiken bösartiger Insider schnell weiterentwickelt. Ein kürzlich veröffentlichter Insider Risk Report stellte fest, dass 32 % der böswilligen Insider „ausgeklügelte Techniken“ verwendeten, darunter die Verwendung von Wegwerf-E-Mail-Adressen, die Verschleierung ihrer Identität, langsames Vorgehen, das Speichern von Dateien als Entwürfe in persönlichen E-Mail-Konten und die Verwendung bestehender genehmigter Tools innerhalb des Unternehmens, um Daten zu finden und zu exfiltrieren.


Operative Schritte zur Schadensminderung

Im Annual Data Exposure Report von Code42 wird erwähnt, dass 39 % der Unternehmen kein Programm zum Management von Insiderrisiken haben. Für diese Unternehmen wird die Implementierung ein wichtiger erster Schritt sein. Um einige unmittelbare Sicherheitsvorkehrungen zu treffen, sollten Sie diese bewährten Verfahren einführen:

  • Beschränkung des Zugriffs auf die sensibelsten Anwendungen und Daten, sobald ein Mitarbeitender kündigt.

  • Sofortige Sperrung der Unternehmensressourcen für entlassene Mitarbeitende.

  • Obligatorische Neuanmeldung nach einigen Minuten der Inaktivität.

  • Verpflichtung zur Verwendung eines Passwort-Manager-Programms.

  • Aufklärung der Mitarbeitenden über verdächtiges Verhalten.

  • Einführung eines anonymen Verfahrens zur Meldung verdächtigen Verhaltens.


Zero Trust zur Bedrohungsabwehr

Böswillige Insider sind per Definition mit den Sicherheitspraktiken ihres Unternehmens vertraut. Das bedeutet, dass die zuvor erwähnten operativen Maßnahmen das Risiko niemals vollständig verhindern können. Vielmehr erfordert die Vorbeugung einen umfassenderen, modernen Sicherheitsrahmen wie Zero Trust. Ein Kernprinzip von Zero Trust ist, dass keinem Nutzer und keiner Anfrage standardmäßig vertraut wird, selbst wenn sie sich bereits im Netzwerk befindet bzw. von dort kommt.

Zero Trust-Sicherheit kann Unternehmen dabei helfen, die Anfälligkeit für böswillige Insider zu verringern, indem sie Folgendes verlangen:

  • Die Abschaffung von VPNs: VPNs geben Nutzern oft einen freien Netzwerkzugang. Diese übermäßigen Berechtigungen schaffen ein unnötiges Risiko für böswillige Insider, Bedrohungen lateral zu verbreiten und Daten zu exfiltrieren. Die Abschaffung von VPNs ist ein üblicher erster Schritt zur längerfristigen Einführung von Zero Trust.

  • Die Überwachung und Anwendung von Sicherheitskontrollen für das Surfen im Internet: Das bedeutet, dass die Aktivitäten des Nutzers im Internet transparenter werden und Kontrollen durchgeführt werden, um zu verhindern, dass böswillige Insider sensible Daten eingeben, z. B. auf dubiosen Websites oder bei persönlichen Mandanten von Cloud-Storage-Anbietern. Diese Kontrollen können über sichere Web-Gateways (SWGs) und Remote-Browserisolierung (RBIs) erreicht werden.

  • Authentifizierter Zugriff auf der Grundlage der Identität und anderer kontextbezogener Signale: Durch die Festlegung von Zugriffsrichtlinien mit den geringsten Berechtigungen, die Nutzern den Zugriff auf Ressourcen erst nach einer Überprüfung der Identität, der Multi-Faktor-Authentifizierung (MFA) und anderer kontextbezogener Signale, wie z. B. dem Zustand des Geräts, erlauben. Das Übereinanderlagern dieser kontextbezogenen Signale kann helfen, böswillige Insider zu erkennen. Die Überprüfung auf diese kontextbezogenen Signale kann dazu beitragen, verdächtige, nicht vertrauenswürdige Aktivitäten von potenziell bösartigen Insidern zu erkennen.

Cloudflare unterstützt Unternehmen dabei, eine umfassende Zero Trust-Sicherheit zu erreichen, die identitäts-, lage- und kontextabhängige Regeln zum Schutz von Anwendungen durchsetzt und sicherstellt, dass Nutzer nur auf die Anwendungen und Daten zugreifen, die sie für ihre Arbeit benötigen.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.



Wichtigste Eckpunkte
  • Wie Remote-Arbeit das Erkennen von Insider-Bedrohungen erschwert

  • Faktoren, die böswilligen Insidern die Arbeit erleichtern

  • Diese ausgefeilten Methoden setzen Insider zur Ausschleusung von Daten ein

  • Wie Zero Trust-Sicherheit laterale Bewegungen verhindern kann


Verwandte Ressourcen


Vertiefung des Themas:

Erfahren Sie mehr über Zero Trust-Netzwerkzugriff mit dem E-Book „Sieben Tipps für das mobile Arbeiten“.

Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!