Insider Threats Report 2018 von Securonix veröffentlicht

Im Wesentlichen sind es drei Risikofaktoren, die Sicherheitsexperten als Voraussetzung für erfolgreiche Insiderangriffe betrachten

[datensicherheit.de, 24.04.2019] Entgegen anders lautender Befunde sind Insider-Bedrohungen weiterhin einer der stärksten Gefährdungsfaktoren in Sachen IT-Sicherheit. Dabei spielt es keine Rolle, ob es sich um Innentäter handelt, die das Vertrauen des Unternehmens genießen oder um Benutzer, die unabsichtlich zum Verursacher werden. Die vorliegende Studie von Cybersecurity Insiders und Crowd Research Partners (mit Unterstützung von securonix) basiert auf einer Online-Befragung von 472 Cybersicherheitsexperten zum Thema Insider Threats. Befragt wurden sowohl IT- und IT-Sicherheitsexperten auf der Führungsebene (Director, Manager, CTO/CIO/CISO/CMO) als auch technische Spezialisten und Praktiker.

Die wichtigsten Ergebnisse auf einen Blick:

• 90 % aller befragten Unternehmen fühlen sich durch Insider-Angriffe verwundbar. Dabei gehen die größten Risiken von Nutzern mit deutlich erweiterten Zugriffsberechtigungen aus (37 %), fast gleichauf mit Bedrohungen, die von der steigenden Zahl der Geräte ausgehen, mit denen man auf vertrauliche Daten zugreifen kann (36 %). Eine zunehmend komplexer werdende IT-Infrastruktur bildet zudem den idealen Nährboden für Insider-Bedrohungen (35 %).
• 53 % der Befragten geben an, allein in den zurückliegenden 12 Monaten Opfer eines Insider-Vorfalls geworden zu sein und 27 % sind überzeugt davon, dass Insider-Angriffe zugenommen haben.
• Angesichts dieser Befunde verwundert es nicht, dass Unternehmen ihren Fokus auf das Erkennen von Insider-Bedrohungen verlagert haben (64 %). Eine der wichtigsten Methoden, um potentiellen Innentätern auf die Schliche zu kommen, ist die Überwachung des Benutzer-verhaltens: 94 % der Befragten geben an wenigstens eine Methode zur Überwachung des Benutzerverhaltens einzusetzen, und 93 % überwachen den Zugriff auf vertrauliche Daten.
• Zu den populärsten Technologien um Insider-Bedrohungen aufzudecken und in den Griff zu bekommen gehören Data Loss Prevention, Verschlüsselung und Identity und Access Management-Lösungen (IAM). Wenn es darum geht laufende Angriffe zu erkennen, setzen Firmen Intrusion Detection und Prevention-Lösungen (IDS) ein, ebenso wie Log-Management- und SIEM-Plattformen.
• Die überwiegende Mehrzahl der Befragten verfügt bereits über entsprechende Programme gegen Insider-Angriffe oder arbeitet an deren Umsetzung (86 %).

Die Natur von Insider-Bedrohungen

Immer noch hält sich einigermaßen hartnäckig die Ansicht, dass Insider-Bedrohungen hauptsächlich von böswillig agierenden Innentätern ausgehen, die ganz bewusst einer Firma schaden wollen oder ganz simpel Datenklau und Industriespionage betreiben. Diese Wahrnehmung ist nicht falsch. Allerdings lässt sie außer Acht, dass fast ebenso viele Datenschutzverletzungen unbeabsichtigt von Mitarbeitern oder externen Vertragspartner verursacht werden, nämlich 51 % verglichen mit böswillig agierenden Insidern (47 %). Das Risiko geht dabei nicht nur von durchschnittlichen Benutzern aus (56 %), sondern vor allem von privilegierten Benutzern (also solchen, die über erweiterte Zugriffsberechtigungen verfügen) und von Administratoren. Wenig überraschend geht ein nicht zu unterschätzendes Risiko zusätzlich von Vertragspartnern, Lieferanten und sonstigen externen Dritten aus (42 %). Im Fokus von Insider-Angriffen stehen dabei alle Arten von vertraulichen Daten wie Firmengeheimnisse, vertrauliche Personal- oder/und Kundendaten sowie Daten, welche die betriebliche Infrastruktur betreffen und natürlich Anmeldeinformationen zu Konten mit erweiterten Rechten, sogenannten Privileged Accounts.

Cyberkriminelle gehen dabei durchaus effizient vor und zielen insbesondere auf die Speicherorte an denen solche Daten in großen Mengen zusammengefasst vorliegen: Datenbanken (50 %) und File Server(46 %) sind demzufolge dem größten Risiko ausgesetzt. Zumindest was die Resultate dieser Befragung angeht, werden mobile Endgeräte als weniger großes Risiko wahrgenommen und bilden hinter Active Directory und geschäftlichen Anwendungen das Schlusslicht in der Risikohierarchie (25 %).

Für nicht absichtlich verursachte Insider-Bedrohungen gibt es eine Reihe von Gründen. Ganz oben auf der Liste der üblichen Verdächtigen steht nach wie vor Phishing, verantwortlich für 67 %  dieser Form von Insider-Bedrohungen. Gefolgt von schwachen oder mehrfach genutzten Passwörtern (56 %) und der gerade bei privilegierten Konten nicht unüblichen Praxis, Passwörter gemeinsam zu nutzen.

Im Wesentlichen sind es drei Risikofaktoren, die Sicherheitsexperten als Voraussetzung für erfolgreiche Insiderangriffe betrachten: Das ist zum einen eine steigende Zahl von Benutzern mit erweiterten Zugriffsberechtigungen, aber auch die wachsende Anzahl von Geräten mit denen sich problemlos auf vertrauliche Datenbestände zugreifen lässt und nicht zuletzt die schon angesprochene Komplexitäts-hürde, die sich an vielen Stellen negativ auf den Sicherheitslevel auswirkt.

Entsprechend realistisch schätzen IT-Experten die Situation ein: die überwältigende Mehrzahl aller Befragten fühlt sich durch Insider-Bedrohungen angreifbar (90 %), wenn auch der Grad der potenziellen Verwundbarkeit variiert. Lediglich magere 6 % der Befragten fühlen sich in Sachen Insider-Bedrohungen komplett auf der sicheren Seite.

Insider-Attacken und die Folgen

Die Zahl der Insider-Bedrohungen ist gestiegen und mit ihr die Wahrscheinlichkeit selbst Opfer eines Angriffs zu werden. 66 % der Befragten schätzen, dass solche Angriffe oder unabsichtlich verursachte Datenschutzverletzungen sehr viel wahrscheinlicher sind als externe Attacken. Eine Zahl mutet in diesem Zusammenhang allerdings überraschend an. Denn nur 11 % der Befragten gehen davon aus, dass der von einer nicht beabsichtigen Datenschutzverletzung verursachte Schaden am größten sein könnte. Man darf davon ausgehen, dass sich in dieser Zahl widerspiegelt, dass solche Vorkommnisse fast wider besseren Wissens in ihren Auswirkungen unterschätzt werden. Auch wenn sich die Kosten für einen erfolgreich durchgeführten Insider-Angriff schwer quantifizieren lassen, pegeln sich die Befragten auf Werte zwischen 100.000 und 500.000 US-Dollar (27 %) und über 500.000 US-Dollar (24 %) ein. Die Erfahrung hat allerdings bereits gelehrt, dass die Folgekosten in der Regel deutlich höher sind als erwartet.

Die Komplexitätshürde

Insider-Bedrohungen zu verhindern oder wenigstens so frühzeitig wie möglich zu erkennen schraubt die ohnehin existierende Komplexitätshürde bei der IT-Sicherheit noch ein wenig höher. Das betrifft die Vergabe und Verwaltung von Berechtigungen ebenso wie die Überwachung wie diese Berechtigungen tatsächlich von den Nutzern verwendet werden. Trotzdem haben nur 15 % der befragten Unternehmen keine ausreichenden Kontrollmöglichkeiten, während demgegenüber 73 % angeben sowohl über die entsprechenden Kontrollen als auch die notwendigen Policies zu verfügen um Insider-Threats zu begegnen. In jedem Unternehmen setzt sich das Rahmenwerk zur Kontrolle der Sicherheitslage aus verschiedenen Methoden und Technologien zusammen. Die Abgrenzung der Verantwortlichkeiten spielt dabei eine ebenso wichtige Rolle wie Best Practices-Empfehlungen. Die meisten Befragten setzen dabei entweder auf die Data Loss Prevention (60 %) oder auf Verschlüsselung (60 %). Es gibt unterschiedliche Methoden und Tools, die den Verantwortlichen dabei helfen, Insider-Bedrohungen zu erkennen und zu analysieren. Das hat sich in der Praxis niedergeschlagen, und die meisten der Befragten setzen mehr als eine Methode oder ein bestimmtes Tool ein, wenn es um das Erkennen von Insider-Bedrohungen geht. Indem sie Daten aus unterschiedlichen Quellen zusammenziehen und analysieren haben Unternehmen eine weitaus bessere Möglichkeit mit Datenschutzverletzungen umzugehen. Die meisten Insider-Bedrohungen werden demnach von IDS/IPS-Lösungen, Log-Management oder Security Information and Event Management-Tools (SIEM) aufgedeckt.

Insider überwachen

Die steigende Zahl von Insider-Bedrohungen hat unter anderem dazu geführt, dass Sicherheitsverantwortliche einen genaueren Blick auf das Verhalten der Benutzer werfen. Dazu dienen vornehmlich UBA (User Behaviour Analytics)-Tools. Sie sollen auffälliges Verhalten nicht nur erkennen, sondern auch einordnen und bei nachgewiesenen Anomalien entsprechende Benachrichtigungen auslösen. Die Zahl der Unternehmen, die in irgendeiner Form solche Tools einsetzen, ist im Verhältnis zu den Ergebnissen der Vorjahresbefragung erheblich gestiegen, nämlich von 42 % auf 94 %. Dabei werden vornehmlich Schlüsselanwendungen überwacht sowie die Server-Logs. Nicht alle Insider-Bedrohungen entstehen aus böser Absicht. Einige sind das Resultat eines Fehlers, andere das Resultat eines zu sorglosen Umgangs mit Sicherheitsbelangen. Das Verhalten und die Aktivitäten der Benutzer zu überwachsen senkt das Risiko für solche Bedrohungen. Ein entscheidender Part ist es dabei, die Nutzer zu identifizieren von denen potenziell ein erhöhtes Risiko ausgeht. Verhaltensprofile erstellen und übliche Arbeitsschemata zu erkennen, hilft solche Hochrisiko-Nutzer zu identifizieren. Ausgesprochene Feindseligkeiten gegenüber anderen Angestellten, verspätet abgelieferte oder gänzlich fehlende Arbeitsergebnisse, unübliche Tätigkeiten außerhalb der Arbeitszeiten oder auch eine abfallende Leistungskurve sind Anzeichen, die zumindest eine erhöhte Wachsamkeit erfordern. Die hier Befragten haben dazu eine klare Haltung. 88 % sind überzeugt, dass es absolut notwendig ist Hochrisiko-Insider anhand ihres Verhaltens zu überwachen. Inzwischen setzen bereits über die Hälfte der Befragten Lösungen ein, die entsprechende Analysen der erhobenen Befunde bereitstellen (55 %).

Fazit

Die überwiegende Mehrzahl der Befragten hat erkannt wie wichtig es ist, Insider-Bedrohungen frühzeitig zu erkennen und zu analysieren.  Firmen investieren zunehmend in Programme und Lösungen die das Problem adressieren. Das geht nicht von heute auf morgen, aber immerhin 36 % der Befragten verfügen bereits über entsprechende Programme und weitere 50 % arbeiten daran. Trotzdem gibt es noch einige Hürden zu überwinden. Die höchste besteht nun schon im dritten Jahr in Folge in fehlenden Trainings und mangelnder Expertise. Das sagen über die Hälfte der Befragten (52 %). Datenschutzverletzungen, die auf Nutzer zurückgehen, die entweder legitime Nutzer sind oder die sich der Anmeldeinformationen legitimer Nutzer bedienen sind deutlich schwerer aufzudecken als externe Bedrohungen. Etwas über ein Fünftel der Befragten ist in der Lage solche Bedrohungen innerhalb von Minuten aufzudecken, 33 % immerhin noch innerhalb von Stunden oder 25 % innerhalb eines Tages. Das wirkt sich auch auf die Zeitspanne aus innerhalb derer Unternehmen sich von einem Angriff erholen. 89 % der Befragten gehen davon aus dazu nicht mehr als eine Woche zu brauchen. Das sind 18 % mehr als im vorigen Jahr. Etwas gegen den in anderen Umfragen postulierten Trend geht eine höhere Zahl an Befragten hier davon aus, dass die IT-Sicherheitsbudgets steigen werden (49 %). Vorbeugen und ein erhöhtes Sicherheitsbewusstsein sind dabei die strategischen Eckpfeiler gegen Insiderbedrohungen. Das ist bei der Mehrzahl der Befragten angekommen und wird über entsprechende Maßnahmen wie etwa Schulungen und Trainings für Mitarbeiter und formelle Richtlinienvorgaben umgesetzt.

Weitere Informationen zum Thema:

Securonix
2018 Insider Threat Report

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 22.08.2016
Insider-Bedrohungen Hauptursache für steigende Zahl von Datendiebstählen

datensicherheit.de, 23.06.2016
Cyber-Attacken zu 60 Prozent der Fälle Insider-Jobs

datensicherheit.de, 31.03.2016
Imperva Hacker Intelligence Initiative Report: Insiderbedrohungen in 100 Prozent der untersuchten Umgebungen