[datensicherheit.de, 10.12.2025] Heutige Cyberangriffe haben offensichtlich die klassische Definition von Insider-Bedrohungen überholt, denn nunmehr wird quasi jeder Angreifer im Cyberspace zum „Innentäter“ – nämlich dann, sobald er Identität oder Gerät eines Nutzers kompromittiert hat. Durch Missbrauch legitimer Berechtigungen und „Living off the Land“-Taktiken agiert ein solcher dann unauffällig wie ein echter Mitarbeiter – eine bedenkliche Entwicklung, denn klassische Erkennungsmechanismen werden ausgehebelt und jeder Betrieb wird durch diese cyberkriminelle Taktik verwundbar. Tony Fergusson, „CISO in Residence“ bei Zscaler, zeigt in seinem aktuellen Kommentar, warum das Verhalten des Nutzers zum entscheidenden Vertrauenssignal wird: Ein „Zero Trust“-Ansatz ist demnach das Fundament einer robusten Sicherheitsarchitektur – doch erst zusätzliche Unvorhersehbarkeit und Täuschung (sog. „Negative Trust“) würden Cyberangreifer denn dazu zwingen, sichtbar zu werden. So entstehe ein neuer Ansatz, um Cyberangriffe frühzeitig zu erkennen und moderne Insider-Risiken wirksam einzudämmen.

Foto: Zscaler

Tony Fergusson: Die Zukunft der Verteidigung liegt darin, Angriffspfade zu minimieren, indem man durch „Zero Trust“ Vertrauen in eine Umgebung einbettet und anschließend mit „Negative Trust“ Rauschen hinzufügt…

Aufkommen der „Cloud“ macht berechtigte Nutzer ortsunabhängig – cyberkriminelle aber auch

„Das Risiko von Insider-Bedrohungen begleitet Unternehmen seit jeher – doch seine Bedeutung hat sich gewandelt“, betont Fergusson. Per Definition habe man unter einem „Insider“ jemanden verstanden, der sich physisch im Unternehmen aufhielt: Mitarbeiter im Büro oder vor Ort im Einsatz befindliche externe Fachkräfte.

• „Diese Ansicht hat sich mit dem Aufkommen der ,Cloud’ gewandelt. User arbeiten ortsunabhängig, Daten liegen verteilt in ,Cloud’-Umgebungen und der Netzwerkperimeter existiert nicht mehr. Hat jemand Zugang zu dieser virtuellen Unternehmensumgebung, wird er automatisch zum Insider.“

Dies wirft laut Fergusson die zentrale Frage auf: „Wenn ein Gerät mittels Malware und Command-and-Control-Funktionen kompromittiert wird, handelt es sich dann um einen Insider-Angriff?“ Er betont: „Aus der Perspektive des Zugriffs eindeutig ja. Denn der Angreifer verfügt dann über dieselben Berechtigungen wie ein legitimer User.“

Bewegungen des Angreifers ähneln regulären Zugriffsmustern eines legitimen Insiders

Darin liege nun die eigentliche Herausforderung: Cyberangreifer nutzten die veränderte IT-Landschaft geschickt aus. „Sobald sie eine Identität oder ein Gerät kompromittiert haben – sei es durch Phishing, Malware oder gestohlene Anmeldedaten –, übernehmen sie die Berechtigungen und Privilegien eines autorisierten Users.“

• Die Bewegungen des Angreifers ähnelten ab diesem Moment also regulären Zugriffsmustern. Je näher Eindringlinge an kritische Systeme und sensible Daten herankommen, desto stärker würden die Grenzen zwischen legitimer Aktivität und Angriffen verschwimmen.

„Wenn der Malware-Akteur tief in die Infrastruktur eines Unternehmens eingedrungen ist, agiert er praktisch wie eine autorisierte Person – im Extremfall wie ein Systemadministrator!“, warnt Fergusson.

„Living off the Land“-Methodik der Angreifer lässt diese als berechtigte Insider erscheinen

Ein zentrales Element dieser Methodik sei „Living off the Land“ (LOTL). Dabei nutzten Angreifer ausschließlich vorhandene „Tools“, Anmeldedaten und Prozesse und lenkten so bewusst keine Aufmerksamkeit auf sich. Sie vermieden es, verdächtige Software oder ungewohnte Verhaltensweisen in das Netzwerk einzuführen.

• „Sie bewegen sich unerkannt unterhalb des Radarschirms der Sicherheit und vermischen sich nahtlos mit legitimen Usern. Sie wirken wie jemand, der im Unternehmen im Anzug erscheint und dort ein- und ausgeht, selbstbewusst auftritt und die Routinen anderer Mitarbeitender übernimmt, so dass niemand durch ihre Präsenz misstrauisch wird.“

Genau diese Fähigkeit, in der Menge zu verschwinden, stelle indes eine erhebliche Herausforderung für die Erkennung solcher Angreifer dar und mache verhaltensbasierte Analysen und kontinuierliche Überwachung unverzichtbar.

Unvorhersehbarkeit als Grundprinzip moderner Verteidigung

Fergusson legt nahe: „Um solche Angreifer zu erkennen, müssen Unternehmen den Fokus deutlich stärker auf das Verhalten legen und nicht mehr ausschließlich an der User-Identität festmachen!“

• Abweichungen vom Normalverhalten eines Nutzers bildeten ein wichtiges Warnsignal – unabhängig davon, ob dieser böswillig agiert oder ein kompromittiertes Konto genutzt wird. Beide Vorgehensweisen folgten ähnlichen Mustern:

Sie suchten nach wertvollen „Assets“ und sensiblen Daten. „Da hilft es nur noch, ,Fallstricke’ im Netzwerk auszulegen, die bei ungewöhnlichen Aktivitäten auslösen und den Eindringling frühzeitig sichtbar machen, bevor er sein eigentliches Ziel erreicht hat“, erläutert Fergusson.

„Zero Trust“ und „Negative Trust“ zur Abwehr unberechtigter Insider

Doch ,Fallen’ allein genügten nicht für eine umfangreiche Resilienz: „Ein robustes Sicherheitsfundament basiert auf dem ,Zero Trust’-Ansatz: Vertrauen darf weder statisch noch implizit sein, sondern muss kontinuierlich überprüft werden!“

• Starke Authentifizierung, abgesicherte Unternehmensgeräte und fortlaufende Monitoring-Prozesse erschwerten Angreifern den unbefugten Zugriff erheblich. Sicherheitsverantwortliche sollten allerdings noch einen Schritt weitergehen und sich „Negative Trust“ zu eigen machen.

Sogenanntes Negatives Vertrauen bringe gezielte Unvorhersehbarkeit und kontrollierte Täuschung ins Spiel – ein wirkungsvoller Mechanismus, um Cyberangreifer vom eigentlichen Ziel abzulenken.

„Negative Trust“ erzeugt Rauschen, erhöht die Entropie und zwingt auf Köder zu reagieren

„Viele Unternehmensprozesse sind zu standardisiert – und diese Vorhersehbarkeit erleichtert dem Angreifer das Zurechtfinden im System“, erklärt Fergusson. Durch Variabilität und Störsignale aber entstehe eine Umgebung, welche für Angreifer schwerer navigierbar werde, während Verteidiger Anomalien leichter erkennen könnten.

• Zum Vergleich: „Verschlüsselte Daten besitzen hohe Entropie und wirken zufällig – ein Zustand, den Angreifer meiden. Klartext ist hingegen vorhersehbar und damit attraktiv.“

Gleiches gelte eben auch für IT-Umgebungen: „Je vorhersehbarer Systeme sind, desto leichter können sich Angreifer darin unbemerkt bewegen. ,Negative Trust’ erzeugt Rauschen, erhöht die Entropie und zwingt Angreifer, auf Köder zu reagieren.“

Nutzer-Verhalten als entscheidendes Vertrauenssignal

„Moderne Angreifer hacken sich heute nicht mehr ins Netzwerk, sie loggen sich ein und bewegen sich dann vollkommen sichtbar in der Umgebung.“ Dementsprechend ähnelten solche Attacken fast immer Insider-Angriffen – „unabhängig davon, ob die handelnde Identität real oder kompromittiert ist“.

• Deshalb sollte jede Bedrohung als Insider-Bedrohung betrachtet werden. Die Zukunft der Verteidigung liege darin, Angriffspfade zu minimieren, „indem man durch ,Zero Trust’ Vertrauen in eine Umgebung einbettet und anschließend mit ,Negative Trust’ Rauschen hinzufügt“.

Auf diese Weise stärkten Unternehmen ihre Fähigkeit, böswilliges Verhalten frühzeitig zu identifizieren. Fergussons Fazit: „Dies gilt umso mehr, da Angreifer zunehmend bereit sind, Mitarbeitende zu bestechen, um Daten weiterzugeben oder Authentifizierungs-Cookies aus Browsern abzuziehen. In der heutigen Zeit, in der es keine Perimetergrenze mehr gibt, wird das Verhalten des Users zum einzigen wirklich verlässlichen Vertrauenssignal.“

Weitere Informationen zum Thema:

zscaler
Über Zscaler: Transformation – heute und morgen / Das Unternehmen nutzt die größte Security Cloud der Welt, um die Geschäfte der etabliertesten Unternehmen der Welt zu antizipieren, abzusichern und zu vereinfachen

zscaler
CISO in Residence: Tony Fergusson

datensicherheit.de, 29.11.2025
G DATA prognostiziert neue Dynamik der Cyberkriminalität: KI-Malware und Insider-Bedrohungen bestimmen 2026 die Bedrohungslage / G DATA gibt IT-Security-Ausblick und empfiehlt zur robusten Cyberabwehr moderne Technik sowie „Awareness Trainings“

datensicherheit.de, 08.09.2025
Laut neuer OPSWAT-Studie gefährden Insider und KI-Lücken Dateisicherheit in Unternehmen / Bedrohungen durch Insider und Blinde Flecken im Kontext Künstlicher Intelligenz erhöhen massiv die Dateisicherheitsrisiken in Unternehmen und verursachen Schäden in Millionenhöhe

datensicherheit.de, 02.09.2025
Noch immer unterschätztes Cyberrisiko: Insider als Bedrohungsakteure / Risiken durch Insider – also Bedrohungen, welche von Personen mit legitimen Zugriffsrechten ausgehen – gehören zu den größten und kostspieligsten Herausforderungen für Unternehmen

datensicherheit.de, 17.11.2023
Die interne Gefahr: Wie sich Unternehmen vor Insider-Bedrohungen schützen können / Cyberkriminellen konzentrieren sich auf den Diebstahl von Zugangsdaten

[datensicherheit.de, 29.11.2025] Auch die G DATA CyberDefense AG wirft bereits einen Blick in das neue Jahr, 2026, und geht auf Basis der aktuellen Einschätzung hauseigener Experten von erhöhtem Missbrauch Künstlicher Intelligenz (KI), Fachkräftemangel und zunehmendem Druck zur Digitalen Souveränität als prägende Herausforderungen an IT-Security-Verantwortliche aus. Der Ausblick zeigt demnach, dass KI Schadcode umschreibt und die Zahl der Angriffe auf Unternehmen durch eigene Angestellte steigt. Die gute Nachricht sei: „Der Anteil von Lösegeldzahlungen geht zurück, weil Firmen resilienter sind und über funktionierende Backups verfügen.“

Foto: G DATA CyberDefense AG

Tim Berghoff: Für eine wirkungsvolle Cyberabwehr braucht es eine dauerhafte Überwachung der Infrastruktur durch fachkundiges und erfahrenes Personal, um eine Kompromittierung frühzeitig zu erkennen!

Cyberkriminelle nutzen künftig KI-Tools, um Code zu manipulieren

Die Lage der IT-Sicherheit bleibe also auch im nächsten Jahr angespannt. Nach Einschätzung von G DATA CyberDefense nutzen Cyberkriminelle künftig KI-Tools, um Code von einer Programmiersprache in eine andere umzuschreiben.

• So werde die Anzahl an Malware zunehmen, welche etwa mit „Rust“ erstellt wird. Auf diesem Weg verschleierten sie Schadsoftware vor signaturbasierten Erkennungsverfahren.

Um sich vor derartigen Attacken zu schützen, brauche es somit Sicherheitssysteme, welche verhaltensbasiert arbeiten. Auffällig sei dabei, dass zurzeit der Anteil „fehlerhafter“ Schadsoftware stark steige, weil unerfahrene Malware-Autoren KI unreflektiert einsetzten und die Ergebnisse nicht überprüften.

KI senkt Einstiegshürde für Cyberkriminelle drastisch

„Künstliche Intelligenz senkt die Einstiegshürde für Cyberkriminelle drastisch. Insbesondere Menschen mit wenig technischem Verständnis und hoher krimineller Energie steigen gerade in den Markt ein. Sie richten erheblichen Schaden an“, berichtet Tim Berghoff, „Security Evangelist“ bei der G DATA CyberDefense AG. Er betont: „Für eine wirkungsvolle Cyberabwehr braucht es eine dauerhafte Überwachung der Infrastruktur durch fachkundiges und erfahrenes Personal, um eine Kompromittierung frühzeitig zu erkennen!“

• 2026 sei zudem mit einer Zunahme von „Innentäterschaften“ durch unzufriedene oder überforderte Mitarbeiter zu rechnen. Aktuelle Fälle zeigten, dass gerade Angestellte mit einer langjährigen Betriebszugehörigkeit im Falle einer Kündigung danach trachteten, den ehemaligen Arbeitgeber schädigen. Motive für dieses Verhalten seien meist Frustration, Generationenkonflikte und mangelnde Weiterbildungsmöglichkeiten.

Bedingt durch immer neue Entwicklungen und sich ändernde „Best Practices“ falle es einigen Administratoren bisweilen schwer, Schritt zu halten und sich von altbewährten und nicht mehr zeitgemäßen Praktiken zu lösen. Die hieraus resultierende Dynamik berge Potenzial für schwer lösbare Konflikte, Ressentiments und Spannungen.

Digitale Souveränität und regulatorische Komplexität laut G Data zentrale Herausforderungen

Der in diesem Jahr, 2025, eingeschlagene Weg zur Stärkung der digitalen europäischen Souveränität werde sich auch 2026 fortsetzen. Treiber dieser Entwicklung bleibe die anhaltend schwierige geopolitische Lage, welche Unternehmen und staatliche Organisation vor die Frage stelle, wie sie die Abhängigkeit von außereuropäischen Technologien reduzieren können.

• Es sei davon auszugehen, dass sich in diesem Zusammenhang der Trend zu mehr IT-Outsourcing verstärke. Dabei würden Verantwortliche europäischen Lösungen den Vorzug geben.

„Der Wunsch nach digitaler Eigenständigkeit ist groß, die strukturellen Voraussetzungen fehlen jedoch“, kommentiert Berghoff und erläutert: „Wir müssen IT-Sicherheit als gesamtstaatliche Aufgabe verstehen und bundeseinheitliche Maßnahmen umsetzen, um aktuelle Vorgaben schnell umzusetzen! Cyberkriminelle warten nicht.“

Fachkräftemangel – G DATA rät zur Ausbildung angehender IT-Security-Fachleute

Trotz zunehmender Sicherheitsanforderungen sei zurzeit ein Rückgang offener IT-Stellen zu erkennen. Ein Grund für diese Entwicklung sei die aktuelle konjunkturelle Unsicherheit.

• Aber um langfristig die bestehende Personallücke zu schließen, sei ein weiterer Ansatz das verstärkte Ausbilden von IT-Security-Fachleuten.

Auch ein eigenständiger Ausbildungsberuf zum „Fachinformatiker für IT-Sicherheit“ könne dazu beitragen, den Personalmangel zu reduzieren. Entsprechende Projekte seien bereits gestartet.

G DATA benennt weitere IT-Security-Trends, welchen sich die Verantwortlichen stellen sollten:

• „Social Engineering“ mit Suchmaschinen
  Mittels KI bildeten Cyberkriminelle Webseiten nach und platzierten ihre Fälschungen durch „SEO-Poisoning“ in den „Google“-Ergebnissen vor den echten Web-Präsenzen. Nutzer würden dann unbemerkt Schadsoftware von einer vermeintlich vertrauenswürdigen Quelle herunterladen.
• Angreifer machen mehr Tempo
  Die Zeit zwischen initialem Erstzugang bis zur Verschlüsselung reduziere sich von Monaten auf zwei bis drei Wochen. Ein Grund dafür sei das verbesserte Abwehrverhalten. Unternehmen könnten Angriffsversuche früher erkennen und entsprechende Gegenmaßnahmen einleiten.
• Steigende Resilienz – weniger Profit
  Die Zahl der Lösegeldzahlungen werde weiter sinken, weil mehr Unternehmen über funktionierende Back-ups verfügten und verschlüsselte Daten wiederherstellen könnten.

Hacker-Abwehr: G DATA unterstreicht Bedeutung der Technik einerseits und „Awareness“ andererseits

In den kommenden Monaten werden Cyberangriffe laut Berghoff dynamischer, da Cyberkriminelle neue Technologien schnell adaptierten und Angriffsmethoden verfeinerten.

• Seine optimistische Prognose: „Allerdings werden Unternehmen lernfähiger und robuster.“

Abschließend gibt er zu bedenken: „Um im Wettlauf gegen Täter nicht den Anschluss zu verlieren, müssen Unternehmen und staatliche Organisationen zeitgemäße Lösungen sowie Fachleute mit Know-how einsetzen!“

Weitere Informationen zum Thema:

G DATA CyberDefense
IT-Sicherheit vom Erfinder des Antivirus

G DATA CyberDefense
Tim Berghoff – Security Evangelist

datensicherheit.de, 24.11.2025
Digitale Souveränität Europas als neuer Mega-Trend / Europäische Entscheidungsträger setzen sich im Kontext Digitaler Souveränität mit Abhängigkeiten, Datenschutz und den Möglichkeiten auseinander, wie sie in Zeiten größerer Unsicherheit mehr Transparenz in ihre digitalen Infrastrukturen integrieren können

datensicherheit.de, 20.11.2025
KI-Risiken und Regulierung: BeyondTrust verkündet IT-Security-Prognosen für 2026 / BeyondTrust-Experten rechnen mit einer rapide steigenden Anzahl an KI-Angriffen, hoher Gefahr für die Identitätssicherheit und der Einführung digitaler Zölle

datensicherheit.de, 09.08.2025
Bitkom: Weiterhin fehlen mehr als 100.000 IT-Fachkräfte in Deutschland / Der Bitkom kommentiert die von Bitkom Research im Auftrag des Digitalverbands telefonisch durchgeführte repräsentative Umfrage in Unternehmen ab drei Beschäftigten in Deutschland

datensicherheit.de, 27.04.2020
Datensicherheit: Angriffe durch Innentäter kommen teuer zu stehen / Erkannte Schwachstellen können budgetschonender behoben werden als IT-Katastrophen

Von unserem Gastautor Michael Heuer, Vice President DACH bei Proofpoint

[datensicherheit.de, 27.04.2020] Ein bisher wenig beachtetes Bedrohungsszenario tritt langsam in das Bewusstsein der Unternehmen: Immer mehr Unternehmen sehen sich Bedrohungen von innen ausgesetzt. Laut der Studie 2020 Cost of Insider Threats: Global Report, die das Marktforschungsinstitut Ponemon im Auftrag von ObserveIT angefertigt hat, mussten Unternehmen eine Zunahme dieser Angriffe um 47 Prozent gegenüber dem Vorjahr hinnehmen. Dies hat auch finanzielle Konsequenzen. So kosteten diese Attacken je Unternehmen durchschnittlich 11,45 Millionen US-Dollar – ein Anstieg von 31 Prozent innerhalb der letzten zwei Jahre.

Motive und Vorgehensweise unterscheiden sich

Die Motive und das Vorgehen der Angreifer unterscheiden sich hier. Manches geschieht absichtlich, indem Arbeitnehmer ihren Arbeitgeber aus Rache schädigen wollen oder ist finanziell motiviert, wenn beispielsweise unternehmensinterne, vertrauliche Informationen an Wettbewerber weitergeleitet werden. Doch nicht immer ist Vorsatz im Spiel. Auch durch Fahrlässigkeit kann ein Schaden entstehen, indem Mitarbeiter sich etwa nicht an Sicherheitsregeln halten. So kann es auch sein, dass sie sich nicht bewusst sind, dass sie eine Bedrohung darstellen.

Diese Diversität erschwert es den IT-Sicherheitsverantwortlichen, einen bestimmten Typus oder ein genaues Insider-Profil zu definieren und Bedrohungen rechtzeitig zu erkennen und schließlich abzuwehren. Hinzu kommt natürlich, dass interne Angreifer beziehungsweise Risikofaktoren nicht erst in das eigene Netzwerk eindringen müssen, da sie sich bereits innerhalb der Perimeter befinden.

Bild: Proofpoint

Michael Heuer, Vice President DACH bei Proofpoint

Dabei unterscheidet sich der Schaden, der durch Vorsatz entsteht, nicht so sehr von dem, der aufgrund Fahrlässigkeit zu verzeichnen ist. Hier stehen 4,58 Millionen US-Dollar bei Fahrlässigkeit den 4,08 Millionen US-Dollar durch kriminelle Aktivitäten gegenüber. Der Verlust beziehungsweise Diebstahl von Zugangsinformationen wie Kennung und Passwort kostet die befragten Unternehmen weitere 2,79 Millionen US-Dollar. Dabei entsteht der hohe Schaden bei Fahrlässigkeit einfach durch die Häufigkeit der einzelnen Vorfälle, der im Einzelfall aber hier deutlich unter kriminellen oder mutwilligen Vorfällen liegt. Durchschnittlich ist bei den Befragten pro Zwischenfall von einem finanziellen Verlust von 307.111 US-Dollar bei Fahrlässigkeit, 755.760 US-Dollar bei Böswilligkeit und 871.686 US-Dollar bei kompromittierten Konten auszugehen.

Die Kosten, die mit Insider-Bedrohungen verbunden sind, beschränken sich nicht auf den eigentlichen Schaden selbst. Zusätzlich muss ein Unternehmen nach dem Schadensfall noch Einnahmeverluste durch etwaige Betriebsunterbrechungen und außerordentliche Aufwendungen zur Absicherung der IT-Infrastruktur hinzurechnen.

Zwar lassen sich Insider-Bedrohungen, gleich welcher Art, nicht vollständig vermeiden. Jedoch bedeutet das nicht, dass Unternehmen sich in ihr Schicksal fügen müssen. Sie können proaktiv durch Investitionen in intelligente Schutzmechanismen und Mitarbeiterschulungen Zwischenfälle minimieren und auf diese Weise den potenziellen Schaden wirksam kontrollieren.

Kostenstruktur

Die verschiedenen Maßnahmen, die ein Unternehmen für die Abwehr von Insider-Bedrohungen ergreifen kann, belasten das IT-Budget auf unterschiedliche Weise. Sie unterscheiden sich auch darin, wo und wie sie ansetzen. Es gibt hier proaktive Maßnahmen, die sich auf Überwachung und Beobachtung konzentrieren, sowie reaktive, die eine Schadensbegrenzung und -behebung beinhalten. Zu letzter Kategorie zählen auch Analysen, die im Nachgang den Vorgang untersuchen. Sie sind wichtig, da Bedrohungen gründlich untersucht werden müssen, um die Quelle und den Umfang zu bestimmen. Hier werden Eskalations- und Planungssitzungen erforderlich, um alle beteiligten Interessensgruppen zu informieren. Um zukünftigen Angriffen besser begegnen zu können sollte auch eine Reaktionsstrategie definiert werden.

Dies ist mit erheblichen Kosten verbunden. Infolge einer einzigen Insider-Bedrohung geben Organisationen etwa 22.000 US-Dollar für die Überwachung und Beobachtung und 125.000 US-Dollar für die Untersuchung und Eskalation aus. Richtig teuer wird es, wenn es daran geht, den Insider-Angriff einzudämmen. Dies macht mit etwa 211.000 Dollar ein Drittel der Gesamtkosten aus, knapp gefolgt von Abhilfemaßnahmen in Höhe von 147.000 US-Dollar und reaktiven Maßnahmen in Höhe von 118.000 US-Dollar.

Da überrascht es nicht, dass die Ausgaben für Technologie und Arbeitskräfte die beiden größten Kostenkategorien sind, die zusammen fast die Hälfte der Gesamtkosten ausmachen. Darunter fallen Überstunden, zusätzliches Personal, externe Dienstleister sowie Soft- und Hardware, die zur Behebung des Störfalls benötigt werden.

Zusätzlich zum Umfang eines einzelnen Vorfalls kommt ein Schaden für den guten Ruf des Unternehmens. In den letzten Jahren haben in den Vereinigten Staaten beispielsweise sowohl einer der größten Einzelhändler Target als auch der Finanzdienstleister Capital One mit Einbrüchen bei Gewinnen und Verschlechterungen von Bewertungen nach Insider-Attacken kämpfen müssen.

Der wirksamste Weg, solche erheblichen finanziellen Konsequenzen zu vermeiden, besteht darin, das Risiko einer Insiderbedrohung von vornherein zu minimieren. Zwar sind proaktive Maßnahmen auch mit Kosten verbunden, doch ist es immer besser, eine geringere Summe für die Prävention als eine sehr hohe für die Schadensbehebung auszugeben.

Sensibilisierung notwendig

Im neuesten „State of the Phish“-Report von Proofpoint kommen Analysten zu dem Schluss, dass zwar 95 Prozent der untersuchten Unternehmen Schulungsmaßnahmen durchführen, diese aber leider mangelhaft sind. In den meisten Fällen beschränkt sich das Sicherheitstraining auf lediglich drei Stunden im Jahr. Viele Mitarbeiter können sogar die einfachsten Begriffe der Cybersicherheit nicht korrekt zuordnen.

Neben technischen Präventivmaßnahmen, wie der Einführung einer Insider-Threat-Management-Lösung, die Anwenderaktivitäten und Datenbewegungen korreliert, sollten kontinuierliche Sensibilisierungsmaßnahmen der Mitarbeiter Teil der Strategie sein. Diese Schulungsmaßnahmen sollten nicht nur, wie in einer Schule, lediglich Wissen vermitteln. Sie sollten vielmehr interaktive Innentäter bedrohen UnternehmenssicherheitElemente beinhalten bis zu der testweisen Schaffung kritischer Situationen. Hier können Mitarbeiter in einer sicheren Umgebung aus den eigenen Fehlern lernen. Denn Durchlebtes bleibt länger hängen als Gelesenes.

Um den Risiken der Insider-Angriffe wirklich wirksam begegnen zu können, sollten sich IT-Sicherheitsverantwortliche zeitnah mit dieser Thematik beschäftigen – denn frühzeitig erkannte Schwachstellen können budgetschonender behoben werden als IT-Katastrophen.

Weitere Informationen zum Thema:

datensicherheit.de, 24.04.2020
Wie CIOs in der Krise die Produktivität aus der Ferne sichern können

datensicherheit.de, 30.05.2019
Zu weit im Hintergrund: Interne Sicherheitsbedrohungen für Unternehmen

datensicherheit.de, 20.09.2017
Innentäter bedrohen Unternehmenssicherheit

datensicherheit.de, 22.08.2016
Insider-Bedrohungen Hauptursache für steigende Zahl von Datendiebstählen

[datensicherheit.de, 24.04.2019] Entgegen anders lautender Befunde sind Insider-Bedrohungen weiterhin einer der stärksten Gefährdungsfaktoren in Sachen IT-Sicherheit. Dabei spielt es keine Rolle, ob es sich um Innentäter handelt, die das Vertrauen des Unternehmens genießen oder um Benutzer, die unabsichtlich zum Verursacher werden. Die vorliegende Studie von Cybersecurity Insiders und Crowd Research Partners (mit Unterstützung von securonix) basiert auf einer Online-Befragung von 472 Cybersicherheitsexperten zum Thema Insider Threats. Befragt wurden sowohl IT- und IT-Sicherheitsexperten auf der Führungsebene (Director, Manager, CTO/CIO/CISO/CMO) als auch technische Spezialisten und Praktiker.

Die wichtigsten Ergebnisse auf einen Blick:

• 90 % aller befragten Unternehmen fühlen sich durch Insider-Angriffe verwundbar. Dabei gehen die größten Risiken von Nutzern mit deutlich erweiterten Zugriffsberechtigungen aus (37 %), fast gleichauf mit Bedrohungen, die von der steigenden Zahl der Geräte ausgehen, mit denen man auf vertrauliche Daten zugreifen kann (36 %). Eine zunehmend komplexer werdende IT-Infrastruktur bildet zudem den idealen Nährboden für Insider-Bedrohungen (35 %).
• 53 % der Befragten geben an, allein in den zurückliegenden 12 Monaten Opfer eines Insider-Vorfalls geworden zu sein und 27 % sind überzeugt davon, dass Insider-Angriffe zugenommen haben.
• Angesichts dieser Befunde verwundert es nicht, dass Unternehmen ihren Fokus auf das Erkennen von Insider-Bedrohungen verlagert haben (64 %). Eine der wichtigsten Methoden, um potentiellen Innentätern auf die Schliche zu kommen, ist die Überwachung des Benutzer-verhaltens: 94 % der Befragten geben an wenigstens eine Methode zur Überwachung des Benutzerverhaltens einzusetzen, und 93 % überwachen den Zugriff auf vertrauliche Daten.
• Zu den populärsten Technologien um Insider-Bedrohungen aufzudecken und in den Griff zu bekommen gehören Data Loss Prevention, Verschlüsselung und Identity und Access Management-Lösungen (IAM). Wenn es darum geht laufende Angriffe zu erkennen, setzen Firmen Intrusion Detection und Prevention-Lösungen (IDS) ein, ebenso wie Log-Management- und SIEM-Plattformen.
• Die überwiegende Mehrzahl der Befragten verfügt bereits über entsprechende Programme gegen Insider-Angriffe oder arbeitet an deren Umsetzung (86 %).

Die Natur von Insider-Bedrohungen

Immer noch hält sich einigermaßen hartnäckig die Ansicht, dass Insider-Bedrohungen hauptsächlich von böswillig agierenden Innentätern ausgehen, die ganz bewusst einer Firma schaden wollen oder ganz simpel Datenklau und Industriespionage betreiben. Diese Wahrnehmung ist nicht falsch. Allerdings lässt sie außer Acht, dass fast ebenso viele Datenschutzverletzungen unbeabsichtigt von Mitarbeitern oder externen Vertragspartner verursacht werden, nämlich 51 % verglichen mit böswillig agierenden Insidern (47 %). Das Risiko geht dabei nicht nur von durchschnittlichen Benutzern aus (56 %), sondern vor allem von privilegierten Benutzern (also solchen, die über erweiterte Zugriffsberechtigungen verfügen) und von Administratoren. Wenig überraschend geht ein nicht zu unterschätzendes Risiko zusätzlich von Vertragspartnern, Lieferanten und sonstigen externen Dritten aus (42 %). Im Fokus von Insider-Angriffen stehen dabei alle Arten von vertraulichen Daten wie Firmengeheimnisse, vertrauliche Personal- oder/und Kundendaten sowie Daten, welche die betriebliche Infrastruktur betreffen und natürlich Anmeldeinformationen zu Konten mit erweiterten Rechten, sogenannten Privileged Accounts.

Cyberkriminelle gehen dabei durchaus effizient vor und zielen insbesondere auf die Speicherorte an denen solche Daten in großen Mengen zusammengefasst vorliegen: Datenbanken (50 %) und File Server(46 %) sind demzufolge dem größten Risiko ausgesetzt. Zumindest was die Resultate dieser Befragung angeht, werden mobile Endgeräte als weniger großes Risiko wahrgenommen und bilden hinter Active Directory und geschäftlichen Anwendungen das Schlusslicht in der Risikohierarchie (25 %).

Für nicht absichtlich verursachte Insider-Bedrohungen gibt es eine Reihe von Gründen. Ganz oben auf der Liste der üblichen Verdächtigen steht nach wie vor Phishing, verantwortlich für 67 %  dieser Form von Insider-Bedrohungen. Gefolgt von schwachen oder mehrfach genutzten Passwörtern (56 %) und der gerade bei privilegierten Konten nicht unüblichen Praxis, Passwörter gemeinsam zu nutzen.

Im Wesentlichen sind es drei Risikofaktoren, die Sicherheitsexperten als Voraussetzung für erfolgreiche Insiderangriffe betrachten: Das ist zum einen eine steigende Zahl von Benutzern mit erweiterten Zugriffsberechtigungen, aber auch die wachsende Anzahl von Geräten mit denen sich problemlos auf vertrauliche Datenbestände zugreifen lässt und nicht zuletzt die schon angesprochene Komplexitäts-hürde, die sich an vielen Stellen negativ auf den Sicherheitslevel auswirkt.

Entsprechend realistisch schätzen IT-Experten die Situation ein: die überwältigende Mehrzahl aller Befragten fühlt sich durch Insider-Bedrohungen angreifbar (90 %), wenn auch der Grad der potenziellen Verwundbarkeit variiert. Lediglich magere 6 % der Befragten fühlen sich in Sachen Insider-Bedrohungen komplett auf der sicheren Seite.

Insider-Attacken und die Folgen

Die Zahl der Insider-Bedrohungen ist gestiegen und mit ihr die Wahrscheinlichkeit selbst Opfer eines Angriffs zu werden. 66 % der Befragten schätzen, dass solche Angriffe oder unabsichtlich verursachte Datenschutzverletzungen sehr viel wahrscheinlicher sind als externe Attacken. Eine Zahl mutet in diesem Zusammenhang allerdings überraschend an. Denn nur 11 % der Befragten gehen davon aus, dass der von einer nicht beabsichtigen Datenschutzverletzung verursachte Schaden am größten sein könnte. Man darf davon ausgehen, dass sich in dieser Zahl widerspiegelt, dass solche Vorkommnisse fast wider besseren Wissens in ihren Auswirkungen unterschätzt werden. Auch wenn sich die Kosten für einen erfolgreich durchgeführten Insider-Angriff schwer quantifizieren lassen, pegeln sich die Befragten auf Werte zwischen 100.000 und 500.000 US-Dollar (27 %) und über 500.000 US-Dollar (24 %) ein. Die Erfahrung hat allerdings bereits gelehrt, dass die Folgekosten in der Regel deutlich höher sind als erwartet.

Die Komplexitätshürde

Insider-Bedrohungen zu verhindern oder wenigstens so frühzeitig wie möglich zu erkennen schraubt die ohnehin existierende Komplexitätshürde bei der IT-Sicherheit noch ein wenig höher. Das betrifft die Vergabe und Verwaltung von Berechtigungen ebenso wie die Überwachung wie diese Berechtigungen tatsächlich von den Nutzern verwendet werden. Trotzdem haben nur 15 % der befragten Unternehmen keine ausreichenden Kontrollmöglichkeiten, während demgegenüber 73 % angeben sowohl über die entsprechenden Kontrollen als auch die notwendigen Policies zu verfügen um Insider-Threats zu begegnen. In jedem Unternehmen setzt sich das Rahmenwerk zur Kontrolle der Sicherheitslage aus verschiedenen Methoden und Technologien zusammen. Die Abgrenzung der Verantwortlichkeiten spielt dabei eine ebenso wichtige Rolle wie Best Practices-Empfehlungen. Die meisten Befragten setzen dabei entweder auf die Data Loss Prevention (60 %) oder auf Verschlüsselung (60 %). Es gibt unterschiedliche Methoden und Tools, die den Verantwortlichen dabei helfen, Insider-Bedrohungen zu erkennen und zu analysieren. Das hat sich in der Praxis niedergeschlagen, und die meisten der Befragten setzen mehr als eine Methode oder ein bestimmtes Tool ein, wenn es um das Erkennen von Insider-Bedrohungen geht. Indem sie Daten aus unterschiedlichen Quellen zusammenziehen und analysieren haben Unternehmen eine weitaus bessere Möglichkeit mit Datenschutzverletzungen umzugehen. Die meisten Insider-Bedrohungen werden demnach von IDS/IPS-Lösungen, Log-Management oder Security Information and Event Management-Tools (SIEM) aufgedeckt.

Insider überwachen

Die steigende Zahl von Insider-Bedrohungen hat unter anderem dazu geführt, dass Sicherheitsverantwortliche einen genaueren Blick auf das Verhalten der Benutzer werfen. Dazu dienen vornehmlich UBA (User Behaviour Analytics)-Tools. Sie sollen auffälliges Verhalten nicht nur erkennen, sondern auch einordnen und bei nachgewiesenen Anomalien entsprechende Benachrichtigungen auslösen. Die Zahl der Unternehmen, die in irgendeiner Form solche Tools einsetzen, ist im Verhältnis zu den Ergebnissen der Vorjahresbefragung erheblich gestiegen, nämlich von 42 % auf 94 %. Dabei werden vornehmlich Schlüsselanwendungen überwacht sowie die Server-Logs. Nicht alle Insider-Bedrohungen entstehen aus böser Absicht. Einige sind das Resultat eines Fehlers, andere das Resultat eines zu sorglosen Umgangs mit Sicherheitsbelangen. Das Verhalten und die Aktivitäten der Benutzer zu überwachsen senkt das Risiko für solche Bedrohungen. Ein entscheidender Part ist es dabei, die Nutzer zu identifizieren von denen potenziell ein erhöhtes Risiko ausgeht. Verhaltensprofile erstellen und übliche Arbeitsschemata zu erkennen, hilft solche Hochrisiko-Nutzer zu identifizieren. Ausgesprochene Feindseligkeiten gegenüber anderen Angestellten, verspätet abgelieferte oder gänzlich fehlende Arbeitsergebnisse, unübliche Tätigkeiten außerhalb der Arbeitszeiten oder auch eine abfallende Leistungskurve sind Anzeichen, die zumindest eine erhöhte Wachsamkeit erfordern. Die hier Befragten haben dazu eine klare Haltung. 88 % sind überzeugt, dass es absolut notwendig ist Hochrisiko-Insider anhand ihres Verhaltens zu überwachen. Inzwischen setzen bereits über die Hälfte der Befragten Lösungen ein, die entsprechende Analysen der erhobenen Befunde bereitstellen (55 %).

Fazit

Die überwiegende Mehrzahl der Befragten hat erkannt wie wichtig es ist, Insider-Bedrohungen frühzeitig zu erkennen und zu analysieren.  Firmen investieren zunehmend in Programme und Lösungen die das Problem adressieren. Das geht nicht von heute auf morgen, aber immerhin 36 % der Befragten verfügen bereits über entsprechende Programme und weitere 50 % arbeiten daran. Trotzdem gibt es noch einige Hürden zu überwinden. Die höchste besteht nun schon im dritten Jahr in Folge in fehlenden Trainings und mangelnder Expertise. Das sagen über die Hälfte der Befragten (52 %). Datenschutzverletzungen, die auf Nutzer zurückgehen, die entweder legitime Nutzer sind oder die sich der Anmeldeinformationen legitimer Nutzer bedienen sind deutlich schwerer aufzudecken als externe Bedrohungen. Etwas über ein Fünftel der Befragten ist in der Lage solche Bedrohungen innerhalb von Minuten aufzudecken, 33 % immerhin noch innerhalb von Stunden oder 25 % innerhalb eines Tages. Das wirkt sich auch auf die Zeitspanne aus innerhalb derer Unternehmen sich von einem Angriff erholen. 89 % der Befragten gehen davon aus dazu nicht mehr als eine Woche zu brauchen. Das sind 18 % mehr als im vorigen Jahr. Etwas gegen den in anderen Umfragen postulierten Trend geht eine höhere Zahl an Befragten hier davon aus, dass die IT-Sicherheitsbudgets steigen werden (49 %). Vorbeugen und ein erhöhtes Sicherheitsbewusstsein sind dabei die strategischen Eckpfeiler gegen Insiderbedrohungen. Das ist bei der Mehrzahl der Befragten angekommen und wird über entsprechende Maßnahmen wie etwa Schulungen und Trainings für Mitarbeiter und formelle Richtlinienvorgaben umgesetzt.

Weitere Informationen zum Thema:

Securonix
2018 Insider Threat Report

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 22.08.2016
Insider-Bedrohungen Hauptursache für steigende Zahl von Datendiebstählen

datensicherheit.de, 23.06.2016
Cyber-Attacken zu 60 Prozent der Fälle Insider-Jobs

datensicherheit.de, 31.03.2016
Imperva Hacker Intelligence Initiative Report: Insiderbedrohungen in 100 Prozent der untersuchten Umgebungen

[datensicherheit.de, 20.09.2017] Sergej Schlotthauer, CEO von Egosecure kommentiert die Bedrohung der Unternehmenssicherheit durch sogenannte Innentäter: „Während Unternehmen ihren Fokus beim Thema IT-Sicherheit vor allem auf Angriffe von außen legen, unterschätzen viele Verantwortliche die Gefahr, die von den eigenen Reihen ausgeht. Zu selten finden sogenannte Innentäter den Weg in die Medien, während über folgenschwere Malware- und Ransomware-Attacken nahezu täglich berichtet wird. Organisationen jeder Größe sollten bei ihrer Sicherheitsstrategie stets das Gefährdungspotenzial, das von den eigenen Mitarbeitern ausgeht, im Blick haben. Dabei muss es sich gar nicht um böswillige Angriffe handeln, auch völlig unbeabsichtigt oder aus Bequemlichkeit können Sicherheitsvorgaben missachtet werden, was Datenverluste und immense Schäden für das Unternehmen zur Folge haben kann. Auch die Manipulation einzelner Teammitglieder durch sogenannte Social-Engineering-Techniken kann den Verlust von wichtigen Passwörtern und Zugriffsrechten bedeuten. Somit ist der unerlaubte Zutritt ins Firmennetzwerk, geschützt von der digitalen Identität des Innentäters, ein Leichtes für Kriminelle.

Bild: EgoSecure

Sergej Schlotthauer, CEO von EgoSecure

Wie eine aktuelle Studie des SANS Instituts deutlich macht, ist das Bewusstsein für Insider-Angriffe bei einigen Entscheidern bereits vorhanden, 40 Prozent der Befragten stufen eine Insider-Attacke als gefährlich ein, dennoch sind zu wenige Firmen vor Innentätern gewappnet. Lediglich 18 Prozent haben im Falle einer Insider-Bedrohung einen Incident-Response-Plan zur Hand.

Den Umfrageergebnissen zufolge haben 62 Prozent der Studienteilnehmer noch keinen internen Angriff erlebt. Dies lässt sich jedoch auch auf eine geringe Sichtbarkeit zurückführen und könnte offenbaren, dass ein Insider-Angriff gar nicht identifiziert werden kann.

Mit umfassenden Data Protection Lösungen sind Unternehmensdaten effektiv geschützt, auch bei Angriffen, die von eigenen Mitarbeitern verübt werden. Hierbei punkten Anwendungen, die die Analyse des Datenflusses mit geeigneten Schutzmaßnahmen kombinieren, denn nur wer die datenschutzrelevanten Vorgänge im Firmennetzwerk kennt, kann den individuellen Schutzbedarf ermitteln und Maßnahmen effizient einsetzen.

Mit Hilfe von Schutzfunktionen wie Access Control, Application Control und Device Management lässt sich klar definieren, wer welche Anwendungen, Devices und Schnittstellen in welchem Umfang nutzen darf. Dadurch lässt sich das Missbrauchsrisiko einschränken. Ein Unternehmen sollte zudem in der Lage sein, die Datenflüsse mit Hilfe einer Audit-Funktion detailliert sichtbar zu machen – natürlich ohne dabei das Recht der Arbeitnehmer auf Datenschutz einzuschränken.

Idealerweise wird das Audit-Modul durch eine intelligente Komponente ergänzt. Bei auftretenden Anomalien, wie dem Abzug ungewöhnlich großer Datenmengen, lässt sich die Schwachstelle identifizieren und eine Reaktion kann sofort erfolgen. Auf Grundlage eines vorher festgelegten Regelwerks werden Schutzreaktionen dann automatisch ausgelöst.“

Weitere Informationen zum Thema

SANS Institute
Insider Threat Survey

[datensicherheit.de, 23.12.2016] Nach aktuellen Informationen des Nachrichtemagazins „DER SPIEGEL“ vermutet die Bundespolizei nach ihren Ermittlungen, dass im Bundestag möglicherweise ein sogenannter „Maulwurf“, also ein Insider, sitzt und die Daten aus dem NSA-Untersuchungsausschuss an die Enthüllungsplattform WikiLeaks weitergegeben hat. David Lin von Varonis befasst sich in einer aktuellen Stellungnahme u.a. damit, warum Innentäter noch immer unterschätzt werden.

Es muss nicht immer ein russischer Hacker sein…

Laut WikiLeaks sollen die rund 2.400 Dokumente zum NSA-Ausschuss aus verschiedenen Quellen stammen und nachweisen, dass die US-amerikanische National Security Agency (NSA) und der BND zusammengearbeitet haben.
Noch vor einigen Wochen habe die „Frankfurter Allgemeine Sonntagszeitung“ einen hohen Sicherheitsbeamten mit den Worten zitiert, „es gebe eine „hohe Plausibilität“ dafür, dass die von WikiLeaks veröffentlichten Geheimakten beim Cyber-Angriff auf den Bundestag erbeutet worden seien. Für den Angriff hatten Sicherheitskreise russische Hacker verantwortlich gemacht.
David Lin: „Das sieht im Licht der bundespolizeilichen Ermittlungen betrachtet nun anders aus. Wieder ein Insider?“

Innentäter als unterschätzte Gefahr

Dass unter bestimmten Umständen praktisch jeder zum Insider werden kann, hätten Studien ausreichend belegt. Die drei wesentlichen Komponenten von Motiv, Moral und Möglichkeit müssten nur in einem günstigen (oder besser: ungünstigen) Mischungsverhältnis aufeinandertreffen. Das gelte für die großpolitische Gemengelage, Geheimnisverrat oder Wirtschaftsspionage.
Potenzielle Innentäter seien neben den eigenen aktuellen und ehemaligen Mitarbeitern befristet im Unternehmen tätiges Personal und externe Dienstleister.
Dass dieses Phänomen nicht neu ist, habe Anfang 2016 eine Umfrage der „COMPUTERWOCHE“ bestätigt, bei der im Rahmen des „Vendor Vulnerability Survey 2016“ annähernd 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA befragt worden seien.

Deutsche Großzügigkeit bei Zugriffsberechtigungen

Die als besonders sicherheitsaffin geltenden Deutschen hegten zwar einerseits große Befürchtungen, Opfer eines Cyber-Angriffs zu werden, vergäben aber andererseits Zugriffsberechtigungen an Dienstleister ausgesprochen großzügig. Zutritts- und Zugangsberechtigungen seien oft viel weiter gefasst als es nach dem Prinzip der minimalen Rechtevergabe notwendig gewesen wäre.
Außerdem blieben diese Berechtigungen gerne selbst dann noch erhalten, wenn ein Projekt längst beendet ist oder der betreffende Mitarbeiter das Unternehmen bereits verlassen hat.

Innentäter verursachen potenziell den größten Schaden

Innentäter verursachten aufgrund ihrer physischen und virtuellen Zugangs- und Zugriffsmöglichkeiten potenziell den größten Schaden.
Laut einer aktuellen Studie des Ponemon Institute beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund vier Millionen US-Dollar. Trotz dieser erschreckenden Zahl seien bei Weitem nicht alle Vorstandsmitglieder, Geschäftsführer oder Hauptaktionäre ausreichend gewappnet, ihre finanziellen Interessen dahingehend zu schützen.
In Abwandlung eines alten Zitats aus der IT-Sicherheit gebe es nur zwei Sorten von Unternehmen – „diejenigen, die schon Opfer einer Datenschutzverletzung geworden sind und diejenigen, die es (noch) nicht wissen“.

Weitere Informationen zum Thema:

VARONIS, 25.11.2016
Der Inside-Out-Sicherheits Blog / David Lin: Insiderbedrohungen und E-spionage

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

[datensicherheit.de, 31.03.2016] Imperva Inc. hat den Hacker Intelligence Initiative Report für den Monat März vorgestellt: „Insiders: Die Bedrohung ist bereits im Inneren.“ Dieser neue Report, der vom Imperva Defense Center veröffentlicht wurde und auf Primary Research-Forschungen basiert, die von Imperva geleitet werden, zeigt auf, dass Insiderbedrohungen in 100 Prozent der untersuchten Umgebungen gefunden und nicht von vorhandenen Sicherheitsmaßnahmen entdeckt wurden.

Das Imperva Defense Center führte die Forschungen durch, indem es eine Kombination aus einer Verhaltensanalyse maschinellem Lernens und einer Betrugserkennungstechnologie lebender Produktionsdaten und Netzwerke verwendete. Maschinelles Lernen wurde dazu verwendet, um detaillierte Aktivitätsprotokolle zu analysieren, auf die von den Insidern zugegriffen wurde. Die Betrugserkennungstechnologie stellte einen Zusammenhang zur Analyse her, indem sie Anomalien identifizierte, die auf gefährdete Endpunkte und Nutzer-Anmeldedaten hindeuteten. Dieser tiefere Einblick erwies sich als entscheidend für die Suche nach den wahren Insiderbedrohungen in einem Meer aus Anomalien.

Basierend auf den untersuchten Umgebungen und der darauffolgenden Analyse fanden die Forscher folgendes:

• Insiderbedrohungen kamen in 100 Prozent der untersuchten Umgebungen vor, was den Verdacht bestätigt, dass Datenmissbrauch durch Insider üblicherweise unentdeckt bleibt.
• Betrugserkennungstechnologie, die dazu eingesetzt wurde, um die Verhaltensanalyse zu ergänzen, konnte Insiderbedrohungen entdecken.
• Fälle von Insiderbedrohungen wurden von keiner der vorhandenen Sicherheits-Infrastrukturen erkannt.
• Insiderbedrohungen, die identifiziert wurden, umfassten bösartige, gefährdete und sorglose Insider.
• In den meisten Fällen nutzten Insider den gewährten und vertrauensvollen Zugang zu Daten eher als zu versuchen, sich direkt in die Datenbanken und File Sharing zu hacken.

„Das bloße Aufdecken von Anomalien im Nutzerverhalten wird das Problem der Insiderbedrohungen nicht lösen” , sagt Amichai Shulman, Mitbegründer und CTO von Imperva. „Unternehmen müssen granulare Sichtbarkeit darüber haben, welche Nutzer auf welche Daten zugreifen, und noch wichtiger: Die tatsächlichen Anfragen und die Daten, auf die jeder einzelne Nutzer zugegriffen hat. Dieser tiefere Einblick ist ein wesentlicher Beweis dafür, um zwischen tatsächlichen Zwischenfällen von Anomalien zu unterscheiden. Imperva CounterBreach bietet Kunden die Möglichkeit, maschinelles Lernen und Betrugserkennungstechnologie sowohl auf das Nutzerverhalten als auch auf die Daten, auf welche die Nutzer zugegriffen haben, anzuwenden. Dies ist der Schlüssel zur genauen Festlegung von Insiderbedrohungen.”

Weitere Informationen zum Thema:

Imperva
Counter Breach

[datensicherheit.de, 16.12.2011] Sensible Firmendaten und geistiges Eigentum sind in der Regel das wertvollste Gut von Unternehmen. Dass es viele externe Datendiebe darauf abgesehen haben, ist den meisten Firmen bewusst – die Gefahr, die von eigenen Mitarbeitern ausgeht, unterschätzen Verantwortliche in Unternehmen indes oft. Eine empirische Studie von Symantec ging der Frage nach, was über solche Innentäter bekannt ist und unter welchen Rahmenbedingungen sie Daten nach außen geben.

Dr. Eric Shaw und Dr. Harley Stock, Experten im Bereich des psychologischen Profilings und Risikomanagements von Mitarbeitern, identifizierten bei ihrer empirischen Analyse folgende Muster bei Innentätern:

• Interne Datendiebe seien oft in technischen Positionen zu finden, der durchschnittliche Innentäter sei circa 37 Jahre alt, männlich und als Ingenieur, Forscher, Manager oder Programmierer für sein Unternehmen tätig. Viele dieser Mitarbeiter hätten sogar Vereinbarungen zum Umgang mit geistigem Eigentum unterzeichnet. Dies zeige deutlich, dass Richtlinien alleine nicht ausreichten – Unternehmen müssten diese auch effizient umsetzen.
• Insider nutzten technische Hilfsmittel wie E-Mail, FTP-Server oder einen Remote-Zugang zum Firmennetzwerk, um Interna für eigene Zwecke zu sichern und nach außen zu schaffen. Interessanterweise werde dies oft von nicht-technischem Personal bemerkt.
• Die meisten Innentäter (65 Prozent) hätten bereits einen neuen Job bei einem Wettbewerber oder bauten sich mit der Datenausbeute ihr eigenes Unternehmen auf. Mehr als 20 Prozent handelten auf einen externen Auftrag hin, mehr als 25 Prozent gäben die Daten an ein fremdes Unternehmen oder auch ins Ausland weiter. Über die Hälfte entwende die sensiblen Daten im letzten Monat vor Beendigung des Arbeitsverhältnisses.
• In 75 Prozent der Fälle entwendeten Mitarbeiter Daten, zu denen sie offiziell Zugang haben, würden also Informationen stehlen, die sie bereits kennen und mit denen sie arbeiten. Sie fühlten sich gar in gewisser Weise dazu berechtigt.
• Bei mehr als der Hälfte der Diebstähle (52 Prozent) erbeuteten Innentäter Geschäftsgeheimnisse. Zahlungsinformationen, Preislisten und anderen administrativen Daten gelte in 30 Prozent der Fälle das Interesse der Täter, 20 Prozent bemächtigten sich Quellcodes, 14 Prozent firmeneigener Software, zwölf Prozent Kundeninformationen und immerhin sechs Prozent hätten es auf Geschäftspläne abgesehen.
• Bestimmtes Verhalten kündige die Tat bereits an – oft gebe es interne Probleme, die Mitarbeiter dazu brächten, Firmendaten zu rauben. Weitere Hinweise auf möglichen Datendiebstahl durch Innentäter seien Stress oder auffällige Verhaltensweisen. Mitarbeiter geben Unternehmensdaten allerdings nicht nur aus reiner Bösartigkeit preis – oft geschieht dies auch aus Fahrlässigkeit oder Unwissenheit. Symantec stellt einen Psychotest zur Verfügung, welchem Typ man selbst im Umgang mit Daten entspricht.

Weitere Informationen zum Thema:

Symantec
White Paper / Behavioral Risk Indicators of Malicious / Insider Theft of Intellectual Property: Misreading the Writing on the Wall

Symantec
Psychotest