Datensicherheit: Angriffe durch Innentäter kommen teuer zu stehen

Erkannte Schwachstellen können budgetschonender behoben werden als IT-Katastrophen

Von unserem Gastautor Michael Heuer, Vice President DACH bei Proofpoint

[datensicherheit.de, 27.04.2020] Ein bisher wenig beachtetes Bedrohungsszenario tritt langsam in das Bewusstsein der Unternehmen: Immer mehr Unternehmen sehen sich Bedrohungen von innen ausgesetzt. Laut der Studie 2020 Cost of Insider Threats: Global Report, die das Marktforschungsinstitut Ponemon im Auftrag von ObserveIT angefertigt hat, mussten Unternehmen eine Zunahme dieser Angriffe um 47 Prozent gegenüber dem Vorjahr hinnehmen. Dies hat auch finanzielle Konsequenzen. So kosteten diese Attacken je Unternehmen durchschnittlich 11,45 Millionen US-Dollar – ein Anstieg von 31 Prozent innerhalb der letzten zwei Jahre.

Motive und Vorgehensweise unterscheiden sich

Die Motive und das Vorgehen der Angreifer unterscheiden sich hier. Manches geschieht absichtlich, indem Arbeitnehmer ihren Arbeitgeber aus Rache schädigen wollen oder ist finanziell motiviert, wenn beispielsweise unternehmensinterne, vertrauliche Informationen an Wettbewerber weitergeleitet werden. Doch nicht immer ist Vorsatz im Spiel. Auch durch Fahrlässigkeit kann ein Schaden entstehen, indem Mitarbeiter sich etwa nicht an Sicherheitsregeln halten. So kann es auch sein, dass sie sich nicht bewusst sind, dass sie eine Bedrohung darstellen.

Diese Diversität erschwert es den IT-Sicherheitsverantwortlichen, einen bestimmten Typus oder ein genaues Insider-Profil zu definieren und Bedrohungen rechtzeitig zu erkennen und schließlich abzuwehren. Hinzu kommt natürlich, dass interne Angreifer beziehungsweise Risikofaktoren nicht erst in das eigene Netzwerk eindringen müssen, da sie sich bereits innerhalb der Perimeter befinden.

Bild: Proofpoint

Michael Heuer, Vice President DACH bei Proofpoint

Dabei unterscheidet sich der Schaden, der durch Vorsatz entsteht, nicht so sehr von dem, der aufgrund Fahrlässigkeit zu verzeichnen ist. Hier stehen 4,58 Millionen US-Dollar bei Fahrlässigkeit den 4,08 Millionen US-Dollar durch kriminelle Aktivitäten gegenüber. Der Verlust beziehungsweise Diebstahl von Zugangsinformationen wie Kennung und Passwort kostet die befragten Unternehmen weitere 2,79 Millionen US-Dollar. Dabei entsteht der hohe Schaden bei Fahrlässigkeit einfach durch die Häufigkeit der einzelnen Vorfälle, der im Einzelfall aber hier deutlich unter kriminellen oder mutwilligen Vorfällen liegt. Durchschnittlich ist bei den Befragten pro Zwischenfall von einem finanziellen Verlust von 307.111 US-Dollar bei Fahrlässigkeit, 755.760 US-Dollar bei Böswilligkeit und 871.686 US-Dollar bei kompromittierten Konten auszugehen.

Die Kosten, die mit Insider-Bedrohungen verbunden sind, beschränken sich nicht auf den eigentlichen Schaden selbst. Zusätzlich muss ein Unternehmen nach dem Schadensfall noch Einnahmeverluste durch etwaige Betriebsunterbrechungen und außerordentliche Aufwendungen zur Absicherung der IT-Infrastruktur hinzurechnen.

Zwar lassen sich Insider-Bedrohungen, gleich welcher Art, nicht vollständig vermeiden. Jedoch bedeutet das nicht, dass Unternehmen sich in ihr Schicksal fügen müssen. Sie können proaktiv durch Investitionen in intelligente Schutzmechanismen und Mitarbeiterschulungen Zwischenfälle minimieren und auf diese Weise den potenziellen Schaden wirksam kontrollieren.

Kostenstruktur

Die verschiedenen Maßnahmen, die ein Unternehmen für die Abwehr von Insider-Bedrohungen ergreifen kann, belasten das IT-Budget auf unterschiedliche Weise. Sie unterscheiden sich auch darin, wo und wie sie ansetzen. Es gibt hier proaktive Maßnahmen, die sich auf Überwachung und Beobachtung konzentrieren, sowie reaktive, die eine Schadensbegrenzung und -behebung beinhalten. Zu letzter Kategorie zählen auch Analysen, die im Nachgang den Vorgang untersuchen. Sie sind wichtig, da Bedrohungen gründlich untersucht werden müssen, um die Quelle und den Umfang zu bestimmen. Hier werden Eskalations- und Planungssitzungen erforderlich, um alle beteiligten Interessensgruppen zu informieren. Um zukünftigen Angriffen besser begegnen zu können sollte auch eine Reaktionsstrategie definiert werden.

Dies ist mit erheblichen Kosten verbunden. Infolge einer einzigen Insider-Bedrohung geben Organisationen etwa 22.000 US-Dollar für die Überwachung und Beobachtung und 125.000 US-Dollar für die Untersuchung und Eskalation aus. Richtig teuer wird es, wenn es daran geht, den Insider-Angriff einzudämmen. Dies macht mit etwa 211.000 Dollar ein Drittel der Gesamtkosten aus, knapp gefolgt von Abhilfemaßnahmen in Höhe von 147.000 US-Dollar und reaktiven Maßnahmen in Höhe von 118.000 US-Dollar.

Da überrascht es nicht, dass die Ausgaben für Technologie und Arbeitskräfte die beiden größten Kostenkategorien sind, die zusammen fast die Hälfte der Gesamtkosten ausmachen. Darunter fallen Überstunden, zusätzliches Personal, externe Dienstleister sowie Soft- und Hardware, die zur Behebung des Störfalls benötigt werden.

Zusätzlich zum Umfang eines einzelnen Vorfalls kommt ein Schaden für den guten Ruf des Unternehmens. In den letzten Jahren haben in den Vereinigten Staaten beispielsweise sowohl einer der größten Einzelhändler Target als auch der Finanzdienstleister Capital One mit Einbrüchen bei Gewinnen und Verschlechterungen von Bewertungen nach Insider-Attacken kämpfen müssen.

Der wirksamste Weg, solche erheblichen finanziellen Konsequenzen zu vermeiden, besteht darin, das Risiko einer Insiderbedrohung von vornherein zu minimieren. Zwar sind proaktive Maßnahmen auch mit Kosten verbunden, doch ist es immer besser, eine geringere Summe für die Prävention als eine sehr hohe für die Schadensbehebung auszugeben.

Sensibilisierung notwendig

Im neuesten „State of the Phish“-Report von Proofpoint kommen Analysten zu dem Schluss, dass zwar 95 Prozent der untersuchten Unternehmen Schulungsmaßnahmen durchführen, diese aber leider mangelhaft sind. In den meisten Fällen beschränkt sich das Sicherheitstraining auf lediglich drei Stunden im Jahr. Viele Mitarbeiter können sogar die einfachsten Begriffe der Cybersicherheit nicht korrekt zuordnen.

Neben technischen Präventivmaßnahmen, wie der Einführung einer Insider-Threat-Management-Lösung, die Anwenderaktivitäten und Datenbewegungen korreliert, sollten kontinuierliche Sensibilisierungsmaßnahmen der Mitarbeiter Teil der Strategie sein. Diese Schulungsmaßnahmen sollten nicht nur, wie in einer Schule, lediglich Wissen vermitteln. Sie sollten vielmehr interaktive Innentäter bedrohen UnternehmenssicherheitElemente beinhalten bis zu der testweisen Schaffung kritischer Situationen. Hier können Mitarbeiter in einer sicheren Umgebung aus den eigenen Fehlern lernen. Denn Durchlebtes bleibt länger hängen als Gelesenes.

Um den Risiken der Insider-Angriffe wirklich wirksam begegnen zu können, sollten sich IT-Sicherheitsverantwortliche zeitnah mit dieser Thematik beschäftigen – denn frühzeitig erkannte Schwachstellen können budgetschonender behoben werden als IT-Katastrophen.

Weitere Informationen zum Thema:

datensicherheit.de, 24.04.2020
Wie CIOs in der Krise die Produktivität aus der Ferne sichern können

datensicherheit.de, 30.05.2019
Zu weit im Hintergrund: Interne Sicherheitsbedrohungen für Unternehmen

datensicherheit.de, 20.09.2017
Innentäter bedrohen Unternehmenssicherheit

datensicherheit.de, 22.08.2016
Insider-Bedrohungen Hauptursache für steigende Zahl von Datendiebstählen