Die unterschätzte Gefahr von Innen Wieso Unternehmen bei Insider Threats umdenken müssen
Von Kai Zobel
Anbieter zum Thema
Imperva Ltd.
Immer mehr Unternehmen sind von einem Cyberangriff betroffen. Der Branchenverband Bitkom meldete für 2021 eine jährliche Rekordschadenssumme für die deutsche Wirtschaft von 223 Milliarden Euro. Doch nicht nur externe Attacken sorgen dafür, dass Unternehmensdaten heutzutage einem sehr großen Risiko ausgesetzt sind, auch die Gefahr von innen – sogenannte Insider Threats – spielen hierbei eine bedeutende Rolle.
Eine neue Studie von Forrester im Auftrag von Imperva zeigt, dass die überwiegende Mehrheit der Unternehmen in der EMEA-Region (70 Prozent) keine Strategie hat, um Insider Threats zu stoppen. Mehr als die Hälfte der untersuchten Unternehmen (59 Prozent) priorisiert sie aktuell nicht. Vor dem Hintergrund, dass Insider-Bedrohungen in den vergangenen zwölf Monaten für die meisten aller Datensicherheitsvorfälle in Unternehmen verantwortlich waren (59 Prozent), sind diese Zahlen umso verblüffender.
Daten noch nie so gefährdet wie heute
Die Tatsache, dass Unternehmen aktuell kaum in Tools und Strategien zur Bekämpfung von Insider-Bedrohungen investieren, ist in der gegenwärtigen Situation besorgniserregend. Die Pandemie hat dazu geführt, dass viele Menschen aus der Ferne arbeiten – und somit außerhalb der typischen Sicherheitskontrollen von Unternehmen. Das bedeutet auch, dass es schwieriger wird, Insider-Bedrohungen zu erkennen und zu verhindern. Dazu kommt die explosionsartige Zunahme von Application Programming Interfaces (APIs) in den vergangenen Jahren. Diese Programmierschnittstellen stellen oft eine direkte Verbindung zu sensiblen Daten her. Ist eine API schlecht konfiguriert – sei es aus böser Absicht oder aus Nachlässigkeit – kann dies zu einer ungewollten Offenlegung wichtiger Informationen und Daten führen, und somit eine „Einladung“ zu Sicherheitsverletzungen darstellen.
Auch die „Great Resignation“, die die seit der Coronakrise gestiegene Wechselbereitschaft und Kündigungswelle von Arbeitnehmer*innen beschreibt, kann eine Situation schaffen, die böswillige oder ungewollte Ausnutzung weiter befeuert. Angesichts der – unter anderem bereits im Vereinigten Königreich – zu beobachtenden, rekordverdächtigen Fluktuation auf dem Arbeitsmarkt können sensible Daten leicht von ehemaligen Beschäftigten gestohlen werden – sei es aus Rache oder um sich selbst in ihrer zukünftigen Rolle zu helfen. In anderen Fällen kann ein unvorsichtiger Angestellter , der das Unternehmen verlässt, wichtige Informationen mitnehmen ohne sich bewusst zu sein, dass er noch im Besitz von internen Daten ist.
Unabhängig davon, wie es passiert, sollte die steigende Zahl von Insider-Bedrohungen für jedes Unternehmen beunruhigend sein. Frühere Untersuchungen haben ergeben, dass fast ein Viertel der größten Datenschutzverletzungen der letzten fünf Jahre (24 Prozent) auf eine Bedrohung durch Insider zurückzuführen ist.
Mehr als die Hälfte der Unternehmen haben kein Team für Insider-Bedrohungen
Die aktuelle Studie zeigt, dass es eine Vielzahl von Gründen gibt, warum Unternehmen die Gefahren ignorieren, die von Insider-Bedrohungen ausgehen. In vielen Fällen hapert es an Budgets (39 Prozent), aber auch mangelndes internes Fachwissen (38 Prozent) und fehlende Unterstützung durch die Geschäftsleitung (33 Prozent) sind häufig genannte Hindernisse. Das Ergebnis ist, dass die meisten Unternehmen (58 Prozent) derzeit kein spezialisiertes Team für Insider-Bedrohungen haben. Eine schockierende Statistik angesichts des Ausmaßes und der Schwere von Cybervorfällen im Zusammenhang mit Insider-Bedrohungen.
Zwar haben die meisten Unternehmen zuletzt mehr in die Cybersicherheit investiert, der Großteil dieser Ausgaben ist jedoch auf die Bekämpfung externer Bedrohungen und nicht auf interne Bedrohungen ausgerichtet. Dabei ist es teils deutlich schwieriger, Insider-Bedrohungen zu erkennen: Interne Anwender*innen haben legitimen Zugang zu kritischen Systemen, was sie für herkömmliche Sicherheitslösungen wie Firewalls und Intrusion Detection Systems (IDS) unsichtbar macht. Das Versäumnis, Insider-Bedrohungen Priorität einzuräumen, hat dazu geführt, dass das Verhalten legitimer Benutzer*innen und deren Umgang mit Unternehmensdaten nicht mehr nachvollziehbar ist. Dies ist ein Hauptgrund dafür, dass die meisten Cybervorfälle intern verursacht werden.
Drei wichtige Aspekte zum Schutz vor Insider Threats
Wie bei allen Herausforderungen im Bereich der Cybersicherheit gibt es auch für den Umgang mit Insider-Bedrohungen kein Patentrezept. Es gibt jedoch eine Reihe wichtiger Aspekte, die das Risiko schädlicher Verstöße – sowohl böswilliger als auch unbeabsichtigter Natur – drastisch verringern können. Sie helfen Unternehmen dabei, jetzt den Kopf aus dem Sand zu ziehen und gegen die Gefahr von innen vorzugehen. In erster Linie sollten Unternehmen eine klare und konsistente Strategie entwickeln und ein eigenes Team einsetzen, das sich auf die Abwehr von Insider-Bedrohungen konzentriert. Darüber hinaus sollten sie sich detailliert mit folgenden Aspekten befassen:
- Datenverwaltung: Sensible Informationen können in allen möglichen Formaten – strukturiert, halbstrukturiert und unstrukturiert – vorliegen, weshalb jedes Unternehmen in der Lage sein muss, alle Datenbestände im gesamten Netzwerk zu erkennen und zu klassifizieren. Nur so können die notwendigen Sicherheitskontrollen und -richtlinien angewendet werden. Darüber hinaus sollte eine gute Verwaltung auch die Wege zu den Daten einschließen, etwa über APIs, um einen mehrschichtigen Schutz zu gewährleisten. Unternehmen sollten vollständig überblicken, wie diese Schnittstellen konfiguriert wurden, wer Zugriff hat und welcher Datenverkehr durch sie fließt. So können Insider-Bedrohungen von allen Seiten abgewehrt werden.
- Überwachung der Datenaktivität und Zugriffskontrolle: Sobald das Unternehmen alle Assets entdeckt hat, ist es wichtig, Maßnahmen zur Eindämmung von Insider-Bedrohungen zu ergreifen. Dies geschieht, indem Benutzerrechte für sensible Daten kontrolliert, Änderungen erkannt und Verstöße gegen Richtlinien blockiert oder gemeldet werden.
- Datenrisikoanalyse: Schließlich müssen Unternehmen die Erkennung von problematischem, risikoreichem oder bösartigem Datenzugriffsverhalten in allen Datenspeichern durch intelligente Analysen automatisieren. So können Sicherheitsteams entlastet und unnötiger Aufwand beispielsweise durch falsche Warnungen verhindert werden.
Die Umsetzung solcher Maßnahmen kann zusammen mit Techniken wie der Datenmaskierung die Anfälligkeit eines Unternehmens für Insider-Bedrohungen erheblich verringern – insbesondere, wenn standardisierte Datenkontrollen eingesetzt werden, um potenzielle Schwachstellen zu minimieren. Bei der Datenmaskierung werden Daten, die den realen Unternehmensdaten ähnlich sind, erstellt. Diese können dann beispielsweise für Softwaretests genutzt werden, ohne dass auf die realen Daten zugegriffen werden muss.
Unternehmen müssen jetzt handeln
Wenn man sich die „idealen Bedingungen“ für Insider-Bedrohungen ausmalen würde, könnte man sich die derzeitige Situation vorstellen: mehr Personen, die ihren Arbeitsplatz wechseln oder verlassen, steigende Datenmengen in den meisten Unternehmen und ein Mangel an Ressourcen oder Mitarbeitenden, die sich mit dem Problem befassen.
Die Ergebnisse der Studie sind eindeutig: Insider-Bedrohungen stellen jetzt und in Zukunft eine ständige und erhebliche Gefahr dar. Doch die große Mehrheit der Unternehmen versäumt es bislang, das Problem in den Griff zu bekommen. Dabei stellen Insider Threats keine unüberwindbare Herausforderung dar. Mit angemessenen Ressourcen und einem engagierten Team können fast alle Insider-Bedrohungen eingedämmt werden, bevor sie zu einem Problem werden. Dazu müssen Unternehmen jedoch die Risiken verstehen, denen sie sich aktuell aussetzen, und schnell in die richtigen Lösungen investieren, um ihnen zu begegnen.
Über den Autor: Kai Zobel ist Area Vice President EMEA bei Imperva.
(ID:48598643)