Was ist eine Insiderbedrohung?
Erfahren Sie, wie Sie Ihre Organisation vor Insideraktivitäten schützen können, einschließlich Benutzern mit autorisiertem Zugriff, die absichtlich oder unabsichtlich einen Datensicherheitsincident verursachen können.
Insiderbedrohung definiert
Bevor Insider zu einer Bedrohung werden, sind sie ein Risiko. Dieses wird definiert als das Potenzial einer Person, den autorisierten Zugang zu den Ressourcen der Organisation – entweder böswillig oder unabsichtlich – auf eine Weise zu nutzen, die sich negativ auf die Organisation auswirkt. Der Zugriff umfasst sowohl physischen als auch virtuellen Zugriff, und Ressourcen umfassen Informationen, Prozesse, Systeme und Einrichtungen.
Was ist ein Insider?
Ein Insider ist eine vertrauenswürdige Person, die Zugang zu Unternehmensressourcen, -daten oder -systemen erhalten hat, die der Öffentlichkeit nicht allgemein zugänglich sind, einschließlich:
- Personen, die einen Badge oder ein anderes Gerät besitzen, das ihnen ständigen Zugang zu Räumlichkeiten des Unternehmens ermöglicht, wie z. B. einem Rechenzentrum oder der Unternehmenszentrale.
- Personen, die über einen Unternehmenscomputer mit Netzwerkzugriff verfügen.
- Personen, die Zugriff auf das Unternehmensnetzwerk, Cloudressourcen, Anwendungen oder Daten eines Unternehmens haben.
- Personen, die über Kenntnisse über die Strategie eines Unternehmens und ihre Finanzen verfügen.
- Personen, die die Produkte oder Dienste des Unternehmens erstellen.
Arten von Insiderbedrohungen
Insider-Risiken sind schwieriger zu erkennen als externe Bedrohungen, da Insider bereits Zugang zu Ressourcen einer Organisation haben und mit deren Sicherheitsmaßnahmen vertraut sind. Wenn Sie die Arten von Insider-Risiken kennen, können Organisationen wertvolle Ressourcen besser schützen.
-
Versehen
Manchmal machen Personen Fehler, die zu potenziellen Sicherheitsincidents führen können. Beispielsweise sendet ein Geschäftspartner ein Dokument mit Kundendaten an einen Kollegen, ohne zu wissen, dass dieser nicht berechtigt ist, diese Informationen einzusehen. Oder ein Mitarbeiter antwortet auf eine Phishing-Kampagne und installiert versehentlich SchadsoftwareSchadsoftware.
-
Böswillig
Bei einem böswilligen Sicherheitsincident, der von einem Insider verursacht wird, führt ein Mitarbeiter oder eine vertrauenswürdige Person absichtlich etwas aus, von dem sie wissen, dass es sich negativ auf das Unternehmen auswirkt. Solche Personen können durch persönliche Missstände oder andere persönliche Gründe motiviert sein und durch ihre Handlungen finanziellen oder persönlichen Gewinn anstreben.
-
Fahrlässigkeit
Fahrlässigkeit ist vergleichbar mit einem Versehen, denn die Person hatte nicht die Absicht, einen Datensicherheitsincident zu verursachen. Der Unterschied besteht darin, dass sie eine Sicherheitsrichtlinie möglicherweise wissentlich unterbrechen. Ein gängiges Beispiel hierfür ist, wenn ein Mitarbeiter einer Person Zugang zu einem Gebäude gewährt, ohne dass sie einen Badge vorzeigen muss. Ein digitales Beispiel dazu wäre es, eine Sicherheitsrichtlinie ohne sorgfältige Überlegung zugunsten von Schnelligkeit und Bequemlichkeit außer Kraft zu setzen oder sich bei Unternehmensressourcen über eine unsichere Drahtlosverbindung anzumelden.
-
Absprache
Einige Insider-Sicherheitsincidents sind das Ergebnis einer vertrauenswürdigen Person, die mit einer cyberkriminellen Organisation zusammenarbeitet, um Spionage oder Diebstahl zu begehen. Dies ist eine weitere Art von böswilligem Insider-Risiko.
Wie kommt es zu böswilligen Insider-Vorfällen?
Böswillige Vorfälle, die von Insidern verursacht werden, können auf unterschiedliche Weise auftreten, die über einen typischen CyberangriffeCyberangriff hinausgehen. Hier sind einige gängige Möglichkeiten, wie Insider Sicherheitsincidents verursachen können:
-
Gewalt
Insider können Gewalt oder die Bedrohung von Gewalt verwenden, um andere Mitarbeiter einzuschüchtern oder Unzufriedenheit in einer Organisation auszudrücken. Gewalt kann in Form von sexuellem Missbrauch, sexueller Belästigung, Schikanierung, Gewalt oder anderen bedrohlichen Handlungen erfolgen.
-
Spionage
Unter Spionage versteht man den Diebstahl von Geschäftsgeheimnissen, vertraulichen Informationen oder geistigem Eigentum einer Organisation, um einem Mitbewerber oder einer anderen Partei einen Vorteil zu verschaffen. Beispielsweise kann eine Organisation von einem böswilligen Insider infiltriert werden, der Finanzinformationen oder Produktblaupausen sammelt, um sich einen Wettbewerbsvorteil auf dem Markt zu verschaffen.
-
Sabotage
Ein Insider kann mit einer Organisation nicht zufrieden sein und sich dazu veranlasst fühlen, die Räumlichkeiten, Daten oder digitalen Systeme der Organisation zu beschädigen. Dies kann auf verschiedene Arten vorkommen, z. B. das Vandalisieren von Geräten oder das Kompromittieren vertraulicher Informationen.
-
Betrug
Insider können betrügerische Aktivitäten für persönlichen Gewinn begehen. Beispielsweise kann ein böswilliger Insider die Kreditkarte eines Unternehmens für den persönlichen Gebrauch verwenden oder falsche oder überhöhte Spesenansprüche einreichen.
-
Diebstahl
Insider können Ressourcen, vertrauliche Daten oder geistiges Eigentum einer Organisation stehlen, um persönlichen Gewinn zu erzielen. So kann beispielsweise ein ausscheidender Mitarbeiter, der durch persönlichen Gewinn motiviert ist, vertrauliche Informationen für den zukünftigen Arbeitgeber exfiltrieren, oder ein Auftragnehmer, der von einer Organisation zur Durchführung bestimmter Aufgaben eingestellt wird, kann vertrauliche Daten zu ihren eigenen Vorteilen stehlen.
-
Sieben Insider-Risikoindikatoren
Sowohl Menschen als auch Technologie spielen eine Rolle bei der Erkennung von Insider-Risiken. Der Schlüssel liegt darin, eine Basislinie für das, was normal ist, festzulegen, damit es einfacher ist, ungewöhnliche Aktivitäten zu erkennen.
-
Änderungen der Benutzeraktivität
Kollegen, Vorgesetzte und Partner sind möglicherweise am besten in der Lage zu wissen, ob jemand zu einem Risiko für die Organisation geworden ist. Beispielsweise kann ein riskanter Insider, der zum Verursachen eines Datensicherheitsincidents motiviert ist, plötzliche beobachtbare Verhaltensänderungen als ungewöhnliches Zeichen aufweisen.
-
Anomale Datenexfiltration
Mitarbeiter greifen bei der Arbeit häufig auf vertrauliche Daten zu und teilen diese. Wenn ein Benutzer jedoch plötzlich eine ungewöhnliche Menge an vertraulichen Daten teilt oder herunterlädt, im Vergleich zu seinen früheren Aktivitäten oder zu Kollegen in einer ähnlichen Rolle, könnte auf einen potenziellen Datensicherheitsincident hinweisen.
-
Eine Sequenz verwandter riskanter Aktivitäten
Eine einzelne Benutzeraktion, wie z. B. das Herunterladen vertraulicher Daten, stellt für sich genommen vielleicht kein potenzielles Risiko dar, aber eine Reihe von Aktionen könnte auf potenzielle Datensicherheitsrisiken hinweisen. Angenommen, ein Benutzer hat vertrauliche Dateien umbenannt, um sie weniger vertraulich erscheinen zu lassen, sie aus dem Cloudspeicher heruntergeladen, auf einem tragbaren Gerät gespeichert und aus dem Cloudspeicher gelöscht. In diesem Fall kann es darauf hindeuten, dass der Benutzer möglicherweise versucht hat, vertrauliche Daten zu exfiltrieren und dabei die Erkennung zu umgehen.
-
Datenexfiltration durch ausscheidende Mitarbeiter
Die Datenexfiltration geht oft mit Kündigungen einher und kann entweder absichtlich oder unabsichtlich erfolgen. Ein unabsichtlicher Vorfall könnte so aussehen, als würde ein ausscheidender Mitarbeiter versehentlich vertrauliche Daten kopieren, um seine Leistungen in seiner Rolle zu erfassen, dass er wissentlich vertrauliche Daten für seinen persönlichen Gewinn herunterlädt oder um ihm bei seiner nächsten Position zu helfen. Wenn Kündigungen mit anderen ungewöhnlichen Aktivitäten zusammenfallen, könnte dies auf einen Datensicherheitsincident hinweisen.
-
Ungewöhnlicher Systemzugriff
Potenzielle Insider-Risiken beginnen möglicherweise damit, dass Benutzer auf Ressourcen zugreifen, die sie für ihre Arbeit normalerweise nicht benötigen. Beispielsweise greifen Benutzer, die normalerweise nur auf marketingbezogene Systeme zugreifen, plötzlich mehrmals täglich auf Finanzsysteme zu.
-
Einschüchterung und Belästigung
Eines der ersten Anzeichen für Insider-Risiken könnte ein Benutzer sein, der bedrohliche, belästigende oder diskriminierende Mitteilungen macht. Dies schadet nicht nur der Unternehmenskultur, sondern kann auch zu anderen potenziellen Vorfällen führen.
-
Rechteausweitung
Organisationen schützen und verwalten wertvolle Ressourcen in der Regel durch die Zuweisung von privilegiertem Zugriff und Rollen an begrenztes Personal.. Wenn ein Mitarbeiter versucht, seine Rechte ohne eine klare geschäftliche Rechtfertigung auszuweiten, könnte dies ein Zeichen für ein potenzielles Insider-Risiko sein.
-
Beispiele von Insiderbedrohungen
Vorfälle von Insiderbedrohungen wie Datendiebstahl, Spionage oder Sabotage haben sich im Laufe der Jahre in Organisationen aller Größenordnungen ereignet. Einige Beispiele:
- Diebstahl von Geschäftsgeheimnissen und deren Verkauf an ein anderes Unternehmen.
- Hacking in die Cloudinfrastruktur eines Unternehmens und Löschen von Tausenden von Kundenkonten.
- Nutzung von Geschäftsgeheimnissen zur Gründung eines neuen Unternehmens.
Die Bedeutung eines ganzheitlichen Insider-Risikomanagements
Ein ganzheitliches Insider-Risikomanagementprogramm, das den Beziehungen zwischen Arbeitnehmern und Arbeitgebern Priorität einräumt und Datenschutzkontrollen integriert, kann die Anzahl potenzieller Insider-Sicherheitsincidents reduzieren und zu einer schnelleren Erkennung führen. Eine kürzlich von Microsoft durchgeführte Studie ergab, dass Unternehmen mit einem ganzheitlichen Insider-Risikomanagementprogramm eine um 33 Prozent höhere Wahrscheinlichkeit haben, Insider-Risiken schnell zu erkennen, und eine um 16 Prozent höhere Wahrscheinlichkeit, schnell Abhilfe zu schaffen, als Unternehmen mit einem eher fragmentierten Ansatz.1
Schützen vor Insiderbedrohungen
Organisationen können Insider-Risiken ganzheitlich angehen, indem sie sich auf Prozesse, Mitarbeiter, Tools und Ausbildung konzentrieren. Nutzen Sie die folgenden Best Practices, um ein Insider-Risikomanagementprogramm zu entwickeln, das das Vertrauen Ihrer Mitarbeiter stärkt und zur Verbesserung Ihrer Sicherheit beiträgt:
-
Priorisieren der Vertrauensstellung und Privatsphäre von Mitarbeitern
Das Aufbauen von Vertrauen zwischen Mitarbeitern beginnt mit der Priorisierung ihrer Privatsphäre. Um ein Gefühl des Komforts mit ihrem Insider-Risikomanagementprogramm zu fördern, erwägen Sie die Implementierung eines mehrstufigen Genehmigungsprozesses zum Initiieren von Insider-Untersuchungen. Darüber hinaus ist es wichtig, die Aktivitäten derjenigen zu überwachen, die Untersuchungen durchführen, um sicherzustellen, dass sie ihre Grenzen nicht überschreiten. Die Implementierung rollenbasierter Zugriffssteuerungen, um einzuschränken, wer innerhalb des Sicherheitsteams auf Untersuchungsdaten zugreifen kann, kann auch zur Wahrung der Privatsphäre beitragen. Die Anonymisierung von Benutzernamen während Untersuchungen kann die Privatsphäre der Mitarbeiter weiter schützen. Erwägen Sie abschließend, Benutzerflags nach einem festgelegten Zeitraum zu löschen, wenn eine Untersuchung nicht fortgesetzt wird.
-
Positive Abschreckungsmaßnahmen verwenden
Während viele Insider-Risikoprogramme auf negative Abschreckung setzen, wie z. B. Richtlinien und Tools, die riskante Mitarbeiteraktivitäten einschränken, ist es entscheidend, diese Maßnahmen mit einem präventiven Ansatz auszugleichen. Positive Abschreckungsmaßnahmen, wie z. B. Veranstaltungen zur Mitarbeitermoral, gründliche Einarbeitung, kontinuierliche Schulungen zur Datensicherheit, Aufwärtsfeedback und Programme zu Work-Life-Balance können dazu beitragen, die Wahrscheinlichkeit von Insiderereignissen zu mindern. Durch eine produktive und proaktive Zusammenarbeit mit den Mitarbeitern können positive Abschreckungsmaßnahmen die Ursache des Risikos beseitigen und eine Kultur der Sicherheit innerhalb der Organisation fördern.
-
Unternehmensweite Einbeziehung erreichen
IT- und Sicherheitsteams tragen zwar die Hauptverantwortung für das Insider-Risikomanagement, aber es ist wichtig, das gesamte Unternehmen in diese Bemühungen einzubeziehen. Abteilungen wie die Personalabteilung, die Compliance-Abteilung und die Rechtsabteilung spielen eine entscheidende Rolle bei der Festlegung von Richtlinien, der Kommunikation mit den Beteiligten und der Entscheidungsfindung während einer Untersuchung. Um ein umfassenderes und effektiveres Insider-Risikomanagementprogramm zu entwickeln, sollten sich Unternehmen um die Einbeziehung und Beteiligung aller Unternehmensbereiche bemühen.
-
Integrierte und umfassende Sicherheitslösungen verwenden
Ein wirksamer Schutz Ihrer Organisation vor Insider-Risiken erfordert mehr als nur die Implementierung der besten Sicherheitstools; es bedarf integrierter Lösungen, die unternehmensweite Transparenz und Schutz bieten. Wenn Lösungen für Datensicherheit, Identitäts- und Zugriffsmanagement, Extended Detection and Response (XDR) und Security Information & Event Management (SIEM) integriert sind, können Sicherheitsteams Insider-Vorfälle effizient erkennen und verhindern.
-
Effektives Training implementieren
Die Mitarbeiter spielen eine entscheidende Rolle bei der Verhinderung von Sicherheitsincidents und sind somit die erste Abwehrinstanz. Um die Ressourcen Ihres Unternehmens zu sichern, müssen sich die Mitarbeiter beteiligen, was wiederum die Sicherheit des Unternehmens insgesamt erhöht. Eine der effektivsten Methoden, um diese Einbeziehung zu erreichen, ist die Schulung der Mitarbeiter. Indem Sie Ihre Mitarbeiter schulen, können Sie die Zahl der unbeabsichtigten Insiderereignisse reduzieren. Es ist wichtig zu erläutern, wie sich Insiderereignisse sowohl auf das Unternehmen als auch auf seine Mitarbeiter auswirken können. Darüber hinaus ist es wichtig, die Datenschutzrichtlinien zu kommunizieren und den Mitarbeitern beizubringen, wie sie potenzielle Datenlecks vermeiden können.
-
Machine Learning und KI verwenden
Die Sicherheitsrisiken am modernen Arbeitsplatz sind dynamisch und weisen verschiedene, sich ständig ändernde Faktoren auf, die es schwierig machen können, sie zu erkennen und darauf zu reagieren. Durch den Einsatz von Machine Learning und KI können Unternehmen jedoch Insider-Risiken in Maschinengeschwindigkeit aufspüren und mindern und so eine adaptive und personenorientierte Sicherheit ermöglichen. Diese fortschrittliche Technologie hilft Organisationen zu verstehen, wie Benutzer mit Daten interagieren, Risikostufen zu berechnen und zuzuweisen und die entsprechenden Sicherheitskontrollen automatisch anzupassen. Mit diesen Tools können Organisationen den Prozess der Identifizierung potenzieller Risiken rationalisieren und ihre begrenzten Ressourcen auf die Bekämpfung von risikoreichen Insider-Aktivitäten konzentrieren. Dies spart Sicherheitsteams wertvolle Zeit und sorgt gleichzeitig für eine bessere Datensicherheit.
Lösungen zum Insider-Risikomanagement
Die Abwehr von Insiderbedrohungen kann eine Herausforderung sein, denn es ist ganz natürlich, denjenigen zu vertrauen, die für und mit der Organisation arbeiten. Die schnelle Identifizierung der kritischsten Insider-Risiken und die Priorisierung von Ressourcen zur Untersuchung und Minderung dieser Risiken sind entscheidend, um die Auswirkungen potenzieller Vorfälle und Sicherheitsverletzungen zu verringern. Glücklicherweise können viele Cybersicherheitstools, die externe Bedrohungen verhindern, auch Insiderbedrohungen identifizieren.
Microsoft Purview bietet Informationsschutz, Insider-Risikomanagement und Verhinderung von Datenverlust (Data Loss Prevention, DLP) Funktionen, mit denen Sie Einblicke in Daten erhalten, kritische Insider-Risiken erkennen können, die zu potenziellen Datensicherheitsincidents führen können, und Datenverluste effektiv zu verhindern.
Microsoft Entra ID hilft Ihnen bei der Verwaltung, wer auf was zugreifen kann, und kann Sie benachrichtigen, wenn die Anmelde- und Zugriffsaktivität einer Person riskant ist.
Microsoft Defender 365 ist eine XDR-Lösung, mit der Sie Ihre Clouds, Apps, Endpunkte und E-Mails vor nicht autorisierten Aktivitäten schützen können. Regierungsorganisationen wie die Cybersecurity and Infrastructure Security Agency (US-Behörde für Cybersicherheit und Infrastruktursicherheit) bieten auch Anleitungen für die Entwicklung eines Programms zum Insiderbedrohungsmanagement.
Durch die Einführung dieser Tools und die Verwendung von Anleitungen durch Experten können Organisationen Insider-Risiken besser verwalten und ihre kritischen Ressourcen schützen.
Mehr erfahren über Microsoft Security
Microsoft Purview
Erhalten Sie Governance-, Datenschutz- und Compliancelösungen für Ihre Unternehmensdaten.
Microsoft Purview Insider Risk Management
Erkennen und mindern Sie Insider-Risiken mit einsatzbereiten Machine Learning-Modellen.
Adaptiver Schutz in Microsoft Purview
Schützen Sie Daten mit einem intelligenten und personenorientierten Ansatz.
Erstellen eines ganzheitlichen Insider-Risikomanagementprogramms
Erfahren Sie mehr über fünf Elemente, die Unternehmen dabei helfen, die Datensicherheit zu erhöhen und gleichzeitig das Vertrauen der Benutzer zu schützen.
Microsoft Purview Data Loss Prevention
Unbefugte Freigabe, Übertragung oder Nutzung vertraulicher Daten vermeiden: in Apps, auf Geräten und in lokalen Umgebungen.
Microsoft Purview-Kommunikationscompliance
Erfüllen Sie gesetzliche Vorschriften, und gehen Sie gegen potenzielle Verstöße gegen das Geschäftsgebaren vor.
Microsoft-Bedrohungsschutz
Schützen Sie Geräte, Apps, E-Mails, Identitäten, Daten und Cloudworkloads mit einheitlichem Bedrohungsschutz.
Microsoft Entra ID
Schützen Sie Ressourcen und Daten mit starker Authentifizierung und adaptiven risikobasierten Zugriffsrichtlinien.
Häufig gestellte Fragen
-
Es gibt vier Arten von Insiderbedrohungen. Eine versehentliche Insiderbedrohung ist das Risiko, dass jemand, der für oder mit einem Unternehmen arbeitet, einen Fehler macht, der die Organisation oder ihre Daten oder Personen potenziell gefährdet. Ein fahrlässiges Insider-Risiko liegt vor, wenn jemand wissentlich gegen eine Sicherheitsrichtlinie verstößt, aber nicht mit der Absicht, Schaden anzurichten. Eine böswillige Bedrohung liegt vor, wenn jemand absichtlich Daten stiehlt, die Organisation sabotiert oder sich gewalttätig verhält. Eine weitere Form der böswilligen Bedrohung ist die geheime Absprache, wenn ein Insider mit jemandem außerhalb der Organisation zusammenarbeitet, um Schaden anzurichten.
-
Das Insider-Risikomanagement ist wichtig, da diese Art von Vorfällen einer Organisation und ihren Mitarbeitern großen Schaden zufügen kann. Mit den richtigen Richtlinien und Lösungen können Organisationen potenziellen Insiderbedrohungen zuvorkommen und die wertvollen Ressourcen der Organisation schützen.
-
Es gibt mehrere mögliche Anzeichen für ein Insider-Risiko, z. B. plötzliche Änderungen in den Benutzeraktivitäten, eine zusammenhängende Sequenz riskanter Aktivitäten, der Versuch, auf Ressourcen zuzugreifen, die für die Arbeit nicht benötigt werden, der Versuch, die Rechte auszuweiten, anomale Datenexfiltrationen, ausscheidende Mitarbeiter, die Daten exfiltrieren, und Einschüchterung oder Belästigung.
-
Die Verhinderung von Insiderereignissen kann schwierig sein, da riskante Aktivitäten, die zu Sicherheitsincidents führen können, von vertrauenswürdigen Personen durchgeführt werden, die Beziehungen in der Organisation und autorisierten Zugriff haben. Ein ganzheitliches Insider-Risikomanagementprogramm, das den Beziehungen zwischen Arbeitnehmern und Arbeitgebern Priorität einräumt und Datenschutzkontrollen integriert, kann die Anzahl von Insider-Sicherheitsincidents reduzieren und zu einer schnelleren Erkennung führen. Zusätzlich zu den Datenschutzkontrollen und dem Fokus auf die Moral der Mitarbeiter können regelmäßige Schulungen, eine unternehmensweite Einbeziehung und integrierte Sicherheitstools dazu beitragen, Ihr Risiko zu verringern.
-
Eine böswillige Insiderbedrohung ist die Möglichkeit, dass eine vertrauenswürdige Person der Organisation und den dort arbeitenden Personen vorsätzlich Schaden zufügt. Dies unterscheidet sich von unabsichtlichen Insider-Risiken, die auftreten, wenn jemand versehentlich das Unternehmen kompromittiert oder eine Sicherheitsregel bricht, aber dem Unternehmen keinen Schaden zufügt.
Microsoft Security folgen