Bedrohung von innen sind Cybersicherheitsbedrohungen, die von autorisierten Benutzern – Mitarbeitenden, Auftragnehmern, Geschäftspartnern – ausgehen, die absichtlich oder versehentlich ihren rechtmäßigen Zugang missbrauchen oder deren Konten von Cyberkriminellen gekapert werden.
Während externe Bedrohungen häufiger vorkommen und für die größten Schlagzeilen sorgen, können Bedrohungen von innen – ob böswillig oder durch Nachlässigkeit verursacht – kostspieliger und gefährlicher sein. Dem IBM Bericht über die Kosten einer Datenschutzverletzung 2023 zufolge waren Datenschutzverletzungen, die von böswilligen Insidern initiiert wurden, am kostspieligsten. Sie kosteten im Schnitt 4,90 Millionen US-Dollar bzw. 9,5 Prozent mehr als die 4,45 Millionen US-Dollar, mit denen die durchschnittliche Datenschutzverletzung zu Buche schlug. Und ein vor Kurzem veröffentlichter Bericht von Verizon hat gezeigt, dass die durchschnittliche externe Bedrohung etwa 200 Millionen Datensätze beeinträchtigt, während Vorfälle, an denen ein interner Bedrohungsakteur beteiligt war, zur Offenlegung von 1 Milliarde Datensätzen oder mehr geführt haben.1
Erfahren Sie, wie IBM® Security QRadar SIEM anomales Verhalten identifiziert und untersucht.
Bei böswilligen Insidern handelt es sich in der Regel um verärgerte aktuelle Mitarbeiter – oder verärgerte ehemalige Mitarbeiter, deren Zugangsdaten nicht gelöscht wurden –, die ihren Zugang absichtlich missbrauchen, um sich zu rächen, finanzielle Vorteile zu erzielen oder beides. Einige böswillige Insider „arbeiten“ für einen böswilligen Außenstehenden, z. B. einen Hacker, einen Konkurrenten oder einen nationalstaatlichen Akteur, um den Geschäftsbetrieb zu stören (Einschleusen von Malware oder Manipulation von Dateien oder Anwendungen) oder um Kundeninformationen, geistiges Eigentum, Geschäftsgeheimnisse oder andere vertrauliche Daten offenzulegen.
Einige aktuelle Angriffe von böswilligen Insidern:
Zu Beginn der COVID-19-Pandemie nutzte ein verärgerter ehemaliger Mitarbeiter eines Unternehmens für medizinische Verpackungen ein zuvor erstelltes Administratorkonto, um ein gefälschtes neues Benutzerkonto einzurichten. Anschließend änderte er dann Tausende von Dateien so, dass der Versand von persönlicher Schutzausrüstung an Krankenhäuser und Gesundheitsdienstleister verzögert oder gestoppt wurde (Link befindet sich außerhalb ibm.com).
Im Jahr 2022 wurde ein Twitter-Mitarbeiter verhaftet, weil er gegen Bestechungsgeld private Informationen von Twitter-Benutzern an Beauftragte des Königreichs Saudi-Arabien und der saudischen Königsfamilie gesendet hatte (Link befindet sich außerhalb von ibm.com). Nach Angaben des US-Justizministeriums handelte der Mitarbeiter „... im Geheimen als Agent einer ausländischen Regierung, die es auf abweichende Meinungen abgesehen hat“.
Fahrlässige Insider haben keine böswilligen Absichten, sondern schaffen Sicherheitsbedrohungen durch Unwissenheit oder Nachlässigkeit. Sie fallen z. B. auf einen Phishing-Angriff herein, umgehen Sicherheitskontrollen, um Zeit zu sparen, verlieren einen Laptop, mit dem Cyberkriminelle auf das Unternehmensnetzwerk zugreifen können, oder senden die falschen Dateien (z. B. Dateien mit vertraulichen Informationen) per E-Mail an Personen außerhalb des Unternehmens.
Unter den Unternehmen, die im Ponemon Cost of Insider Threats Global Report 2022 befragt wurden, war die Mehrheit der Bedrohungen von innen – 56 Prozent – auf unvorsichtige oder fahrlässige Insider zurückzuführen.2
Kompromittierte Insider sind rechtmäßige Benutzer, deren Zugangsdaten von externen Bedrohungsakteuren gestohlen wurden. Bedrohungen, die von kompromittierten Insidern ausgehen, sind die teuersten Bedrohungen von innen und die Behebung der durch sie verursachten Probleme kostet die Opfer dem Ponemon-Bericht zufolge im Durchschnitt 804.997 USD.3
Kompromittierte Insider sind oft das Ergebnis eines fahrlässigen Verhaltens von Insidern. Im Jahr 2021 nutzte ein Betrüger beispielsweise eine Social-Engineering-Taktik – konkret einen Voice-Phishing (Vishing)-Telefonanruf –, um Zugangsdaten zu Kundensupportsystemen der Handelsplattform Robinhood zu erhalten. Im Rahmen des Angriffs wurden mehr als 5 Millionen E-Mail-Adressen von Kunden und 2 Millionen Namen von Kunden gestohlen (Link befindet sich außerhalb von ibm.com).
Da Bedrohungen von innen teilweise oder vollständig von befugten Benutzern – und manchmal auch von privilegierten Benutzern – ausgeführt werden, kann es besonders schwierig sein, Indikatoren für fahrlässige oder böswillige Bedrohungen von innen oder Verhaltensweisen, die auf solche Bedrohungen hinweisen, von normalen Benutzerhandlungen und -verhaltensweisen zu unterscheiden. Laut einer Studie benötigen Sicherheitsteams durchschnittlich 85 Tage, um eine Bedrohung von innen zu erkennen und einzudämmen4. Einige Bedrohungen von innen sind jedoch jahrelang unentdeckt geblieben (Link befindet sich außerhalb ibm.com).
Um Bedrohungen von innen besser erkennen, eindämmen und verhindern zu können, setzen Sicherheitsteams auf eine Kombination aus Vorgehensweisen und Technologien.
Die kontinuierliche Schulung aller autorisierten Benutzer in Bezug auf Sicherheitsrichtlinien (z. B. Passworthygiene, ordnungsgemäßer Umgang mit vertraulichen Daten, Meldung verlorener Geräte) und Sicherheitsbewusstsein (z. B. Erkennung von Phishing-Betrug, ordnungsgemäße Weiterleitung von Anfragen auf Systemzugriff oder vertrauliche Daten) kann dazu beitragen, das Risiko fahrlässiger Bedrohungen von innen zu verringern. Schulungen können auch die Auswirkungen von Bedrohungen insgesamt abschwächen. Laut dem Bericht über die Kosten einer Datenschutzverletzung 2023 lagen beispielsweise die durchschnittlichen Kosten einer Datenschutzverletzung in Unternehmen mit Mitarbeiterschulungen um 232.867 USD niedriger – d. h. um 5,2 Prozent – als die durchschnittlichen Gesamtkosten einer Datenschutzverletzung.
Identitäts- und Zugriffsmanagement (IAM) konzentriert sich auf die Verwaltung von Benutzeridentitäten, Authentifizierung und Zugriffsberechtigungen, um sicherzustellen, dass die richtigen Benutzer und Geräte zur richtigen Zeit und aus den richtigen Gründe auf das Gewünschte zugreifen können. (Privileged Access Management, eine Teildisziplin von IAM, konzentriert sich auf eine genauere Kontrolle der Zugriffsrechte, die Benutzern, Anwendungen, Administratorkonten und Geräten gewährt werden.)
Eine wichtige IAM-Funktion zur Verhinderung von Insiderattacken ist das Identitätslebenszyklus-Management. Die Einschränkung der Rechte eines verärgerten Mitarbeiters, der das Unternehmen verlassen wird, oder die sofortige Außerbetriebnahme der Konten von Benutzern, die das Unternehmen verlassen haben, sind Beispiele für Maßnahmen zum Management des Identitätslebenszyklus, mit denen das Risiko von Bedrohungen von innen reduziert werden kann.
Bei der Analyse des Nutzerverhaltens (User Behavior Analytics, UBA) kommen fortschrittliche Datenanalyse und künstliche Intelligenz (AI) zum Einsatz, um das normale Nutzerverhalten zu modellieren und Anomalien zu erkennen, die auf entstehende oder bereits aktive Cyberbedrohungen, darunter potenzielle Bedrohungen von innen, hinweisen können. (Eine eng damit verwandte Technologie, die Analyse des Benutzer- und Entitätsverhaltens (UEBA), erweitert diese Funktionen, um anomales Verhalten in IoT-Sensoren und anderen Endgeräten zu erkennen.)
UBA wird häufig zusammen mit Security Information and Event Management (SIEM) verwendet. Dabei werden sicherheitsbezogene Daten aus dem gesamten Unternehmen erfasst, korreliert und analysiert.
Offensive Security (auch „OffSec“ genannt) verwendet gegnerische Taktiken – die gleichen Taktiken, die böswillige Akteure bei echten Angriffen anwenden –, um die Netzwerksicherheit zu stärken, statt sie zu gefährden. Offensive Sicherheit wird in der Regel von ethischen Hackern durchgeführt. Dabei handelt es sich um Cybersicherheitsexperten, die ihre Hacking-Fähigkeiten dafür einsetzen, um Fehler in IT-Systemen sowie Sicherheitsrisiken und Schwachstellen in der Art und Weise, wie Benutzer auf Angriffe reagieren, zu erkennen und zu beheben.
Zu den offensiven Sicherheitsmaßnahmen, die zur Stärkung von Programmen gegen Bedrohungen von innen beitragen können, gehören Phishing-Simulationen und Red Teaming. Dabei startet ein Team von ethischen Hackern einen simulierten, zielorientierten Cyberangriff auf das Unternehmen.
Bedrohungen von innen können schwer zu erkennen sein – die meisten Fälle bleiben monate- oder jahrelang unbemerkt.Schützen Sie Ihr Unternehmen vor böswilligen oder unabsichtlichen Bedrohungen, die von mit Zugriff auf Ihr Netzwerk ausgehen.
Stellen Sie Sicherheitsanalysten die nötigen Tools zur Verfügung, um die Erkennungsraten deutlich zu verbessern und die Zeit zur Erkennung und Untersuchung von Bedrohungen zu verkürzen.Mit den normalisierten Ereignisdaten von QRadar SIEM können Analysten mithilfe einfacher Abfragen zusammengehörige Angriffsaktivitäten in unterschiedlichen Datenquellen finden.
Schützen Sie kritische Ressourcen und verwalten Sie den gesamten Bedrohungslebenszyklus mit einem intelligenten, einheitlichen Bedrohungsmanagement-Ansatz, der Ihnen dabei hilft, komplexe Bedrohungen zu erkennen, schnell und präzise zu reagieren sowie sich von Störungen zu erholen.
Ursachen für Datenschutzverletzungen zu kennen und über die Faktoren informiert zu sein, die Kosten erhöhen bzw. senken, hilft, besser vorbereitet zu sein. Lernen Sie aus den Erfahrungen von mehr als 550 Organisationen, die von einem Datenschutzverstoß betroffen waren.
SIEM (Security Information and Event Management) ist Software, die Unternehmen dabei hilft, potenzielle Sicherheitsbedrohungen und Schwachstellen zu erkennen und zu beheben, bevor sie den Geschäftsbetrieb stören können.
Wenn man gut über eine Bedrohung Bescheid weiß, kann man sie besser bekämpfen. Holen Sie sich umsetzbare Erkenntnisse, die Ihnen Aufschluss darüber geben, wie Bedrohungsakteure Angriffe durchführen und wie Sie Ihr Unternehmen proaktiv schützen können.
Analysieren Sie in dieser kostenlosen 3-stündigen Design-Thinking-Session, an der Sie virtuell oder persönlich teilnehmen können, Ihre Cybersicherheitslandschaft und priorisieren Sie Ihre nächsten Initiativen gemeinsam mit erfahrenen IBM Security Architects und Consultants.
Bedrohungsmanagement ist ein Prozess, der von Cybersicherheitsexperten eingesetzt wird, um Cyberangriffe zu verhindern, Cyberbedrohungen zu erkennen und auf Sicherheitsvorfälle zu reagieren.
Lesen Sie die neuesten Trends zu Bedrohungen von innen und Abwehrmaßnahmen auf Security Intelligence, dem Thought-Leadership-Blog von IBM Security.
Fußnoten
1 Verizon 2023 Data Breach Investigations Report (Link befindet sich außerhalb von ibm.com)
2, 3, 4 Ponemon Cost of Insider Threats Global Report 2022 (für Proofpoint; Link befindet sich außerhalb von ibm.com)