Insider-Cybersecurity-Bedrohungen: Eine verborgene Gefahr
Insider-Bedrohungen sind die verborgene Gefahren, die in Ihrem Cybersecurity-Ökosystem lauert. Sich nur auf die Handlungen und Motive externer Bedrohungen zu konzentrieren, ist ein riskantes Spiel, dass die Realität und Verbreitung von Bedrohungen, die von innen kommen, übersieht. Dieser Artikel untersucht das Thema der Insider-Bedrohungen in der Cybersicherheit, indem er sich auf verschiedene Arten von Bedrohungen, Motive, hochkarätige Fälle und einige Ratschläge zur Risikominderung konzentriert.
Arten von Insider-Bedrohungen
Insider-Bedrohungen sind Sicherheitsrisiken, die aus Ihrer eigenen Organisation stammen. Diese Bedrohungen gehen von aktuellen oder ehemaligen Mitarbeitern, Auftragnehmern oder anderen Insidern aus, die legitimen Zugang zu Ihren Systemen haben. Ein Insider ist jemand, der legitim autorisierten Zugang zu Ihren Systemen und/oder tiefe Kenntnis Ihrer Unternehmensprozesse und Ressourcen hat (z.B. Produktentwickler, Drittanbieterpartner).
Die Unterscheidung zwischen verschiedenen Arten von Insider-Bedrohungen in der Cybersicherheit basiert auf dem Element der Absicht.
Lassen Sie uns beide Kategorien genauer betrachten.
Unbeabsichtigte Insider-Bedrohungen:
Unbeabsichtigte oder ungewollte Insider-Bedrohungen stammen von Mitarbeitern oder anderen Insidern, die unbeabsichtigt einen Sicherheitsverstoß verursachen. Jene nicht böswillige Absicht unterscheidet unbeabsichtigte Bedrohungen von absichtlichen. Ursachen können sein:
Mangel an Bewusstsein: Der Insider würde die Sicherheitsprotokolle und -verfahren Ihres Unternehmens nicht verstehen oder sich ihrer nicht bewusst sein, was zu verstehentlichen Verstößen führt.
Irrtümer: Ein Mitarbeiter könnte versehentlich sensible Informationen an den falschen E-Mail-Empfänger senden oder ein System ungesichert lassen (z.B. einen Cloud-Speicher-Bucket).
Social Engineering: Insider können unbewusst auf Phishing-Angriffe oder andere Formen des Social Engineering hereinfallen und unbeabsichtigt Zugang zu sensiblen Informationen oder Systemen gewähren.
Missbrauch von Systemen oder Geräten: Insider können manchmal versehentlich Daten oder Systeme potentiellen Bedrohungen aussetzen, indem sie beispielsweise ein privates Gerät für die Arbeit oder den Zugriff auf ein sicheres Netzwerk über eine ungesicherte öffentliche Wi-Fi-Verbindung verwenden.
Absichtliche Insider-Bedrohungen:
Absichtliche Insider-Bedrohungen sind böswilliger Natur und sie sind oft das Erste, was einem in den Sinn kommt, wenn man an Insider-Bedrohungen denkt. Diese absichtlichen Vorfälle entstehen, wenn eine Person innerhalb einer Organisation die Integrität, Vertraulichkeit oder Verfügbarkeit von Informationen oder Informationssystemen gefährden möchte.
Ein Verständnis der psychologischen Faktoren ist wichtig, wenn man darüber nachdenkt, warum genau jemand ein Unternehmen, für das er arbeitet oder zuvor gearbeitet hat, absichtlich schädigen könnte. Die Hauptmotive für absichtliche Insider-Bedrohungs-Vorfälle umfassen:
Unzufriedene Mitarbeiter: Unglückliche oder unzufriedene Mitarbeiter könnten ihrem Arbeitgeber absichtlich Schaden zufügen. Das Risiko steigt stark im Falle von ausscheidenden Mitarbeitern, die kürzlich entlassen wurden (und dieses Risiko verstärkt sich noch weiter in Zeiten massiver Entlassungen, in denen große Mitarbeitergruppen innerhalb kurzer Zeit ein Unternehmen verlassen).
Wirtschaftliche Anreize: Insider könnten bestochen oder anderweitig dazu ermutigt werden, ihren Zugang zu missbrauchen, wie etwa den Verkauf sensibler Informationen an Wettbewerber oder Cyberkriminelle. Wirtschaftliche Anreize spielen besonders dann eine Rolle, wenn die Belohnungen für Verrat attraktiv erscheinen.
Spionage: Manchmal könnte ein Insider ein Spion oder ein Maulwurf für eine andere Organisation oder eine ausländische Regierung sein, der versucht, sensible oder klassifizierte Informationen zu stehlen.
Sabotage: Einige Insider könnten absichtlich Systeme beschädigen oder den Betrieb stören, entweder aus ideologischen Gründen oder aus reiner Bosheit, obwohl letzteres ein seltenerer Grund für eine absichtliche Insider-Bedrohung darstellt.
Bei beiden Arten von Insider-Bedrohungen kommt die eigentliche Bedrohung aus Ihrer Organisation, aber die Motive und Handlungen unterscheiden sich erheblich. Unbeabsichtigte Bedrohungen entstehen oft aus Unwissenheit oder Nachlässigkeit, während absichtliche Bedrohungen böswillige Absichten verfolgen. Durch das Verständnis dieser Unterschiede können Sie Cybersecurity-Maßnahmen stärken, um spezifische Risiken zu minimieren oder einzuschränken.
Hochkarätige Insider-Bedrohungsvorfälle
Ein Bericht von 2022 über Insider-Bedrohungen offenbarte eine Steigerung von 44 Prozent innerhalb der letzten zwei Jahre: Sowohl bei unbeabsichtigten als auch bei böswilligen Insider-Bedrohungen.
Die durchschnittlichen Kosten pro Vorfall beliefen sich auf schwindelerregende 15,38 Millionen Dollar, was das Ausmaß des Schadens verdeutlicht, den Insider-Bedrohungen verursachen können. Es lohnt sich daher, einen Blick auf real existierende Insider-Bedrohungsvorfälle zu werfen, um zu verstehen, wie genau Insider-Bedrohungen zustande kommen.
US-Geheimdienst-Leak, 2023
Der Patriotismus und Stolz, der oft mit der Arbeit für das eigene Land verbunden ist, konnte einen schweren Leak von klassifizierten US-Geheimdienstinformationen durch einen Insider nicht verhindern. Über vier Monate, von Ende 2022 bis März 2023, lud ein Mitarbeiter der US National Guard Dutzende von sensiblen Dokumenten, einschließlich CIA-Berichte, auf eine Gruppe auf der Social-Messaging-Plattform Discord hoch. Das Motiv in diesem Fall scheint teilweise aus Unzufriedenheit zu stammen. Ein Gruppenmitglied berichtete, dass der Verdächtige, dem das Leaken der Informationen im Internet vorgeworfen wird, sich zuvor über staatliche Übergriffe beschwert hatte.
Gestohlene Geschäftsgeheimnisse von Yahoo, 2022
Ein Forschungswissenschaftler von Yahoo zeigte, wie Insider-Bedrohungen die wertvollsten Geschäftsgeheimnisse, die Unternehmen ihren Wettbewerbsvorteil verschaffen, gefährden können. Kurz nachdem er von einem Konkurrenzunternehmen (The Trade Desk) eingestellt wurde, lud der Forschungswissenschaftler 570.000 Seiten von Yahoos geistigem Eigentum (IP) auf sein persönliches Gerät herunter. Die gestohlenen Geschäftsgeheimnisse umfassten Quellcodes, Algorithmen zur Platzierung von Werbung und interne Strategiedokumente.
Veröffentlichte Anmeldeinformationen von Microsoft, 2022
Ein Beispiel dafür, wie Insider-Bedrohungen manchmal auf Nachlässigkeit zurückzuführen sind ist, als eine Cybersicherheitsforschungsfirma Anmeldeinformationen für interne Microsoft-Systeme und -Infrastrukturen auf der Code-Repository-Website GitHub entdeckte. Die durchgesickerten Anmeldeinformationen waren für mehrere Azure-Cloud-Server und schienen auf den persönlichen GitHub-Profilen von Microsoft-Mitarbeitern veröffentlicht worden zu sein.
Twitter Insider-Spionage, 2019
Im November 2019 war Twitter wegen Datenschutzverletzungen Kritik und rechtlichen Anschuldigungen ausgesetzt. Untersuchungen ergaben, dass zwei ehemalige Twitter-Mitarbeiter ihren Zugang genutzt haben, um im Auftrag der saudi-arabischen Regierung Nutzer auszuspionieren, was deren Wohlergehen potenziell gefährdete. Die Mitarbeiter wurden beschuldigt, auf private Informationen bestimmter Personen zugegriffen zu haben, die Kritiker der saudi-arabischen Regierung waren.
Wie DIESEC Ihnen helfen kann, Insider-Bedrohungen aufzudecken
ie notwendigen Maßnahmen zur Minderung unbeabsichtigter Insider-Bedrohungen sind klarer als der Umgang mit böswilligen Insidern. Bei unbeabsichtigten Bedrohungen ist es entscheidend, effektive Awareness-Trainingsprogramme für Mitarbeiter durchzuführen. Eine allgemeine Unternehmenskultur, die die Cybersicherheit priorisiert, ist ebenfalls unerlässlich, denn ohne eine starke Sicherheitskultur nehmen Mitarbeiter die Cybersicherheit möglicherweise nicht ernst, was das Risiko von Insider-Bedrohungen durch Nachlässigkeit erhöht.
Unternehmen werden leider oft erst auf Insider-Bedrohungen aufmerksam, wenn der Schaden bereits angerichtet ist.
Unser IT-Forensik-Service hilft Ihnen, sich von reaktive auf proaktive Insider-Bedrohungserkennung umzustellen. Unser Team von Sicherheitsexperten analysiert und überprüft Ihre Infrastruktur sowie Anwendungsprotokolle um eventuelle Anomalien zu erkennen, welche auf Insider-Bedrohungen hindeuten könnten.
Kontaktieren Sie uns, um mehr über unseren IT-Forensik-Service zu erfahren.