Was ist eine Insider-Bedrohung?

12. Juli 2024

Eine Insider-Bedrohung ist ein Sicherheitsrisiko, das innerhalb einer Organisation entsteht und von Mitarbeitern, ehemaligen Mitarbeitern und Dritten ausgelöst wird. Eine Insider-Bedrohung wird zwar häufig mit böswilligen Absichten in Verbindung gebracht, kann aber durch unbeabsichtigte Fehler entstehen. Sie bezieht sich in der Regel auf Cyberereignisse, die dazu führen, dass legitime Benutzerzugriffsrechte genutzt werden, um unbefugt Zugriff auf sensible Daten, Netzwerke und Systeme zu erhalten.

Erfahren Sie, wie das Risikomanagement für Nicht-Mitarbeiter dazu beiträgt, Insider-Bedrohungen durch eine vollständige Transparenz des Zugriffs auf die Identität von Dritten abzuschwächen.

Ein Insider ist „jede Person, die autorisierten Zugang zu den Ressourcen eines Unternehmens hat oder hatte, einschließlich Personal, Einrichtungen, Informationen, Ausrüstung, Netzwerke und Systemen.“

-Cybersecurity & Infrastructure Security Agency (CISA)

Eine Insider-Bedrohung mit böswilligen Absichten zielt meist auf finanziellen Gewinn ab. Ihr Ziel ist eine Datenverletzung, Betrug oder ein Ransomware-Angriff. Einige böswillige Insider-Bedrohungen zielen jedoch darauf ab, das Unternehmen aus terroristischen oder Rachegründen zu stören.

Eine versehentliche bzw. unbeabsichtigte Insider-Bedrohung kann auf viele Arten ausgelöst werden, z. B. durch das Anklicken eines Phishing-Links oder durch Social-Engineering. Auch unschuldige Benutzer können zu einer Insider-Bedrohung werden, indem sie versehentlich auf sensible Daten zugreifen, ohne dazu berechtigt zu sein, oder sie per E-Mail verbreiten.

Arten von Insider-Bedrohungen

Eine Insider-Bedrohung wird in der Regel als böswillig oder versehentlich einstuft. Ein böswilliger Insider ist eine Person (z. B. ein Angestellter oder ein Dritter), die ihre Zugriffsrechte nutzt, um ein Unternehmen zu bestehlen oder ihm Schaden zuzufügen. Diese Art von Insider-Bedrohung wird auch als vorsätzliche Insider-Bedrohung bezeichnet, da Mitarbeiter Unternehmensdaten stehlen, um sie an Hacker, Drittorganisationen oder konkurrierende Unternehmen zu verkaufen. Eine versehentliche Insider-Bedrohung kann auf viele Arten entstehen, z. B. durch laxe Sicherheitsrichtlinien des Unternehmens, mangelnde Mitarbeiterschulung und unvorsichtige Teammitglieder.

Innerhalb dieser beiden Kategorien sind mehrere Unterkategorien zu beachten, darunter folgende:

Ausscheidende Mitarbeiter

Wenn ein Mitarbeiter ein Unternehmen freiwillig oder unfreiwillig verlässt, wird er oft zur Insider-Bedrohung. Manchmal geschieht dies versehentlich, da ein Mitarbeiter unbeabsichtigt interne Informationen mitnimmt. In anderen Fällen handelt es sich um böswillige Handlungen, bei denen ausscheidende Mitarbeiter Informationen zur persönlichen Bereicherung stehlen (z. B. Geschäftsgeheimnisse, Kundenlisten) oder sensible Daten aus Rache preisgeben.

Insider-Agenten

Wenn Spionage die Motivation ist, schleusen Externe Agenten in ein Unternehmen ein, um Zugang zu sensiblen Daten und Informationen zu erhalten.

Ehemalige Mitarbeiter

Ehemalige Mitarbeiter können in Unternehmen mit laxen Entlassungsprozessen weiterhin Zugang zu Systemen haben. Einige ehemalige Mitarbeiter werden zu einer Insider-Bedrohung, indem sie ihren Zugang nutzen, um Schaden anzurichten oder Daten zu stehlen, oder indem sie ihren Zugang an böswillige Personen oder Gruppen weitergeben.

Maulwürfe

Maulwürfe sind eine externe Bedrohung, da sie autorisierte Mitarbeiter oder Dritte manipulieren, um Zugang zu Systemen und Daten zu erhalten. Maulwürfe wenden in der Regel Social-Engineering-Taktiken an.

Sicherheitsumgehungen

Eine hybride Insider-Bedrohung: Sicherheitsumgehungen gefährden Unternehmen, indem sie vorsätzlich und manchmal böswillig Sicherheitsvorkehrungen ignorieren, umgehen oder außer Kraft setzen.

Dritte, die keine Mitarbeiter sind

Auch wenn es sich nicht um Mitarbeiter handelt, können Dritte, die keine Mitarbeiter sind, eine Insider-Bedrohung darstellen. Bei einem Nicht-Mitarbeiter handelt es sich um einen Partner, Auftragnehmer, Verkäufer, eine Tochtergesellschaft, einen externen Mitarbeiter, einen Freiwilligen, einen Studenten oder einen Dienstleister mit Zugriff auf die Systeme, Daten und Apps eines Unternehmens.

Das Risiko durch Dritte kann genauso bedrohlich oder in einigen Fällen sogar noch bedrohlicher sein als andere Insider-Bedrohungen, da viele Dritte nicht über dasselbe Maß an Sicherheitsmaßnahmen verfügen wie die Unternehmen, die sie beauftragen.

Unbeabsichtigte Insider

Eine unbeabsichtigte Insider-Bedrohung, die auch als fahrlässige Insider-Bedrohung bezeichnet wird, wird meist als gefährlicher eingestuft als eine böswillige Insider-Bedrohung, da die Person oft nicht weiß, dass sie kompromittiert wurde. Dies kann auf verschiedene Weise geschehen, z. B. wenn ein Benutzer:

  • ein unverschlüsseltes Arbeitsgerät unbeaufsichtigt lässt
  • unsichere Kommunikationskanäle verwendet
  • auf einen Phishing-Betrug hereinfällt
  • das Opfer von Social-Engineering-Taktiken wird

Eine Insider-Bedrohung ist zwar ernst zu nehmen, lässt sich aber leichter bekämpfen als andere Cyberbedrohungen, da das Risiko durch bewährte Sicherheitsmaßnahmen erheblich reduziert werden kann.

Eine Insider-Bedrohung erkennen

Obwohl sie in der Regel unbemerkt bleiben, gibt es mehrere Warnsignale, die auf eine Insider-Bedrohung hindeuten können. Wenn Sie verstehen, wie eine Insider-Bedrohung entstehen kann, und Verhaltensmuster und Aktivitäten erkennen, die auf eine Bedrohung hindeuten, können Sie sensible Daten, Netzwerke und Systeme proaktiv schützen.

So entsteht eine Insider-Bedrohung

Eine Insider-Bedrohung tritt auf, wenn legitime Anmeldedaten verwendet werden, um „autorisierten“ Zugang zu den Systemen, Daten oder Netzwerken eines Unternehmens zu erhalten. Egal, ob versehentlich oder böswillig: eine Insider-Bedrohung umfasst den Missbrauch von Benutzerdaten zum Nachteil eines Unternehmens.

Verhaltensmuster von Insider-Bedrohungen

Eine Insider-Bedrohung kann oft aufgrund von Warnzeichen im Verhalten erkannt werden. In vielen Fällen können Verhaltensänderungen eines Benutzers oder ungewöhnliche Verhaltensweisen ein Hinweis auf eine Bedrohung sein. Auch wenn ein einzelner Vorfall nicht unbedingt auf eine Bedrohung hindeutet, sollte eine Person als potenzielle Insider-Bedrohung betrachtet werden, wenn mehrere Faktoren zutreffen.

  • Zugriff auf Informationen, die nicht mit ihrer Arbeit zusammenhängen
  • Versuche, die Sicherheitsprotokolle zu umgehen
  • Plötzliche Käufe von Luxusgütern (z. B. Urlaub, Schmuck, Auto, Haus)
  • Konflikte mit Kollegen
  • Kopieren von Daten auf persönliche Geräte
  • Eröffnung von nicht autorisierten Konten
  • Verärgertes Verhalten gegenüber Arbeitskollegen
  • Herunterladen ungewöhnlich großer Datenmengen
  • Interesse an sensiblen Projekten, die nichts mit ihrer Arbeit zu tun haben
  • Häufige Krankenstände
  • Häufige Verstöße gegen Datenschutz- und Compliance-Regeln
  • Häufige Besuche im Büro außerhalb der normalen Arbeitszeiten
  • Erhöhter Stresspegel
  • Unzufriedenheit am Arbeitsplatz
  • Mangelndes Interesse an arbeitsbezogenen Projekten und Aufträgen
  • Anmeldungen im Netzwerk zu ungewöhnlichen Zeiten
  • Schlechte Bewertungen in Leistungsberichten
  • Missbräuchliche Verwendung von Reisen und Spesen
  • Plötzliche Änderungen des Lebensstils
  • Diskussionen über neue Arbeitsstellen oder Gedanken an eine Kündigung
  • Verstöße gegen die Unternehmensrichtlinien

Hinweise auf Insider-Bedrohungen

Weitere Anzeichen für eine Insider-Bedrohung durch einen Benutzer sind die Verwendung von Tools zu folgendem Zweck:

  • Zugriff auf oder Herunterladen von großen Datenmengen
  • Änderung der Passwörter von nicht autorisierten Konten
  • Umgehen von Zugangskontrollen
  • Verbindung von externe Technologien oder persönlichen Geräten mit den Systemen des Unternehmens
  • Horten von Daten oder Kopieren von Dateien aus sensiblen Ordnern
  • Demontieren, Ausschalten oder Vernachlässigen von Sicherheitskontrollen (z. B. Verschlüsselung, Antivirenprogramme, Firewall-Einstellungen)
  • Versand von sensiblen Daten per E-Mail außerhalb des Unternehmens
  • Zugriff auf Daten oder Apps, die nicht mit der Rolle oder den Verantwortlichkeiten der betreffenden Person in Verbindung stehen
  • Installation von Hardware oder Software, um aus der Ferne auf die Systeme des Unternehmens zuzugreifen
  • Installation von nicht autorisierter Software oder Malware
  • Verschieben von Unternehmensdaten in persönliche Versionen der genehmigten Apps
  • Durchsuchen von Netzwerken und andere Suchen nach sensiblen Daten
  • Aufhebung von Sperren bei Versuchen, Daten zu exfiltrieren
  • Eskalieren der Zugangsberechtigungen
  • Umbenennen von Dateien, damit die Dateierweiterung nicht mit dem Inhalt übereinstimmt
  • Suchen und Scannen nach Sicherheitslücken
  • Versenden von Anhängen über einen nicht genehmigten verschlüsselten E-Mail-Dienst
  • Übertragung von Daten außerhalb des Unternehmens
  • Verwendung nicht autorisierter Speichergeräte (z. B. USB-Laufwerke, externe Festplatten)

Echte Szenarien für Insider-Bedrohungen

Ein kompromittierter Mitarbeiter

Hacker hackten mit Hilfe einer telefonischen Spear-Phishing-Kampagne mehrere hochkarätige Twitter-Konten und verschafften sich Zugang zu Support-Tools, mit denen sie mehr als 100 weitere Twitter-Konten knacken konnten.

Ein ausscheidender Mitarbeiter

In diesem Beispiel für eine Insider-Bedrohung stahl ein Mitarbeiter firmeneigene Produktinformationen, nachdem er ein Jobangebot von der Konkurrenz erhalten hatte. Der Mitarbeiter lud mehr als eine halbe Million Seiten des geistigen Eigentums seines Arbeitgebers auf persönliche Geräte herunter, da er wusste, dass die Informationen für den neuen Job hilfreich sein würden.

Ein Mitarbeiterfehler

Ein unschuldiger städtischer Angestellter löschte mehr als 20 TB (Terabytes) Daten. Unter den zerstörten Dateien befanden sich mehr als 10 TB Videos, Fotos und Fallunterlagen.

Ein ehemaliger Mitarbeiter

Ein ehemaliger Mitarbeiter wurde zur Insider-Bedrohung, als er aus Enttäuschung über seinen Arbeitgeber ein geheimes Konto nutzte, das er während seiner Beschäftigung eingerichtet hatte. Über dieses griff er auf das Versandsystem des Unternehmens zu und löschte Versanddaten, wodurch sich wichtige Produktlieferungen verzögerten.

Ein die Sicherheitsmaßnahmen missachtender Mitarbeiter

Ein Mitarbeiter schickte eine vertrauliche Tabelle per E-Mail an seine Frau und bat sie um Hilfe bei der Lösung eines Formatierungsproblems. Die Tabelle enthielt in verborgenen Spalten zehntausende persönliche Daten der Mitarbeiter. Die Umgehung von Sicherheitsprotokollen und der Versand der Tabelle an ein ungesichertes Gerät an eine Nicht-Mitarbeiterin führte dazu, dass Identifikationsnummern, Geburtsorte und Sozialversicherungsnummern der Mitarbeiter kompromittiert wurden.

Ein gekündigter Mitarbeiter

Dieses Beispiel für eine Insider-Bedrohung ereignete sich, als ein gekündigter Mitarbeiter vertrauliche Vertriebsdaten stahl, indem er die Datenverlust-Schutzmaßnahmen (DLP) umging und wichtige Dokumente auf ein USB-Laufwerk herunterlud und weitergab.

Ein Dritter, der kein Mitarbeiter ist

Cyberangreifer nutzten die Anmeldedaten der Mitarbeiter von Dritten, um eine App zu hacken, die von Tausenden Unternehmen genutzt wird. Die Angreifer stahlen Millionen von Datensätzen mit personenbezogenen Daten, was zu einer Geldstrafe von fast 20 Millionen Dollar führte.

So schützen Sie Ihr Unternehmen vor Insider-Bedrohungen

Obgleich es keine Möglichkeit gibt, das Risiko einer Insider-Bedrohung ganz zu eliminieren, können Sie es reduzieren. Zur Bekämpfung von Insider-Bedrohungen sollten Sie folgendes berücksichtigen:

  • Bedenken Sie, dass es sich um ein von Menschen verursachtes Problem handelt.
  • Halten Sie Sicherheitslösungen und -abläufe auf dem aktuellen Stand.
  • Seien Sie sich darüber im Klaren, wo sich sensible Daten und Ressourcen befinden und wer Zugang dazu hat.
  • Achten Sie darauf, welche Zugriffe Sie Nicht-Mitarbeitern gewähren.
  • Überwachen Sie fortlaufend die Benutzer- und Netzwerkaktivitäten.
  • Ergreifen Sie sofort Maßnahmen, wenn ein Sicherheitsvorfall festgestellt wird.
  • Stellen Sie sicher, dass Sie detaillierte Einblicke in alle Systemaktivitäten haben.
  • Stellen Sie Systeme so ein, dass bei anormalen Aktivitäten Warnungen ausgelöst werden.
  • Untersuchen Sie die Ursache von Sicherheitsvorfällen.
  • Legen Sie Regeln für normales Benutzerverhalten fest.
  • Segmentieren Sie Netzwerke, um Vorfälle einzudämmen.
  • Setzen Sie das Prinzip der geringsten Privilegien durch.
  • Verwenden Sie virtuelle private Netzwerke (VPNs), um Daten zu verschlüsseln und es Benutzern zu ermöglichen, ihre Browsing-Aktivitäten zu anonymisieren.
  • Entwickeln Sie robuste Sicherheitsrichtlinien und -programme und setzen Sie diese durch.

Welche Unternehmen sehen sich mit Insider-Bedrohungen konfrontiert?

Insider-Bedrohungen gefährden Unternehmen aller Art, da die Motive der Täter im Falle von böswilligen Insidern sehr vielfältig sind und jeder Mitarbeiter jedes Unternehmens versehentlich zum Insider werden kann. Am anfälligsten für Angriffe auf Daten sind jedoch diejenigen, die sensible Daten sammeln und speichern.

Zu den Daten, auf die Insider-Bedrohungen häufig abzielen, gehören:

  • Steuerdaten
  • Sensible Regierungsdaten
  • Geistiges Eigentum
  • Kreditkartendaten
  • Personenbezogene Daten
  • Geschützte Gesundheitsdaten

Häufig gestellte Fragen über Insider-Bedrohungen

Wie können Insider-Bedrohungen verhindert werden?

Auch wenn es keine Garantie dafür gibt, dass Insider-Bedrohungen vollständig verhindert werden können, so können sie doch reduziert werden. Dies ist durch die kontinuierliche Überwachung der physischen und digitalen Aktivitäten und des Verhaltens der Benutzer, der Netzwerkaktivitäten und der Systemprotokolle sowie durch regelmäßige Sicherheitsschulungen möglich.

Welche Risiken sind mit Insider-Bedrohungen verbunden?

Die Liste der Risiken, die von Insider-Bedrohungen ausgehen, ist lang. Zu den am häufigsten genannten Risiken gehören Datenbeschädigung, Datendiebstahl, Finanzbetrug und Ransomware-Angriffe.

Woher kommen Insider-Bedrohungen?

Eine Insider-Bedrohung geht von einem Benutzer aus, der legitimen Zugang zu den Ressourcen eines Unternehmens hat:

  • Ein böswilliger Mitarbeiter, der seinen Zugang nutzt, um sensible Daten zu stehlen.
  • Ein fahrlässiger Dritter, der die Sicherheit gefährdet, da er bewährte Sicherheitsmaßnahmen nicht befolgt.
  • Ein Mitarbeiter oder Dritter, der
    • einen Computer und/oder einen Netzwerkzugang erhalten hat
    • mit einem Ausweis oder Zugangsgeräten ausgestattet wurde
    • privilegierten Zugang zu sensiblen Daten und Ressourcen hat
    • die Abläufe eines Unternehmens kennt
    • unbeabsichtigt oder vorsätzlich die Cybersicherheitsmaßnahmen missachtet
  • Ein Mitarbeiter, der entlassen wurde oder gekündigt hat, aber aktive Anmeldedaten oder aktivierte Profile behält und verwendet.
  • Jeder, der die Grundlagen des Unternehmens kennt, einschließlich der Preisgestaltung, der Zukunftspläne, der Produktentwicklung sowie der Stärken und Schwächen des Unternehmens.

Welche drei Kategorien von Insider-Bedrohungen gibt es?

  1. Kompromittierung – Ein Cyberkrimineller nutzt die von einem rechtmäßigen Mitarbeiter gestohlenen Anmeldedaten und gibt sich als autorisierter Benutzer aus, um sensible Daten zu stehlen – oft ohne das Wissen des Benutzers.
  2. Fahrlässig – Ein rechtmäßiger Mitarbeiter missbraucht versehentlich vertrauliche Informationen oder gibt sie preis, was oft durch Social Engineering, verlorene oder gestohlene Geräte oder den unberechtigten Versand von E-Mails oder Dateien passiert.
  3. Böswillig – Ein autorisierter Benutzer (z. B. ein aktueller oder ehemaliger Mitarbeiter, ein Dritter oder ein Partner) missbraucht vorsätzlich einen privilegierten Zugang, um sensible Daten für Betrug, Sabotage, Lösegeld oder Erpressung zu stehlen.

Welche zwei Arten von Insider-Bedrohungen gibt es?

Zu den Insider-Bedrohungen gehören Pawns (Bauernfiguren) und Turncloaks (Abtrünnige). Pawns sind Mitarbeiter, die durch einen Trick dazu gebracht werden, einen Cyberangriff zu unterstützen (z. B. indem sie auf Social Engineering hereinfallen und ihre Anmeldedaten preisgeben oder indem sie zum Herunterladen von Malware verleitet werden).

In der Regel handelt es sich bei Turncloaks um Mitarbeiter, die ihren Arbeitgeber absichtlich ausnutzen, um Gewinne zu machen oder dem Unternehmen zu schaden. In einigen Fällen sind Turncloaks nicht böswillig, wie z. B. im Fall eines Whistleblowers.

Verborgene Insider-Bedrohungen bekämpfen

Unternehmen geben sehr viel Geld für die Bekämpfung von externen Bedrohungen aus. Auch wenn diese ein ernstes Problem darstellen, darf die verborgene Bedrohung durch Insider nicht übersehen werden. Eine Insider-Bedrohung kann, wenn sie unentdeckt bleibt, genauso viel oder sogar mehr Schaden anrichten als eine externe Bedrohung.

Die gute Nachricht ist, dass eine Insider-Bedrohung in den meisten Fällen leichter zu erkennen und zu stoppen ist als eine externe Bedrohung. Mit der richtigen Überwachung und Schulung lassen sich Insider-Bedrohungen eindämmen. In den meisten Fällen können viele der Tools, die zur Bekämpfung von externen Bedrohungen eingesetzt werden, auch dazu verwendet werden, eine Insider-Bedrohung zu stoppen, bevor es zu einem Vorfall kommt.

Das könnte Sie auch interessieren:

E-Book

Leitfaden: Risikominimierung durch Identitätssicherheit

Artikel

Identitätssicherheit: Der Wert einer einheitlichen Plattform

Video

Wissen, wer Zugriff hat

Lösen Sie Ihre größten Sicherheitsherausforderungen

Erfahren Sie mehr über Identitätssicherheit mit SailPoint.

Demo vereinbaren