[datensicherheit.de, 08.09.2025] Eine neue, von OPSWAT in Auftrag gegebene Studie zeigt auf, dass Bedrohungen durch Insider und quasi Blinde Flecken im Kontext Künstlicher Intelligenz (KI) die Dateisicherheitsrisiken in Unternehmen massiv erhöhen und Schäden in Millionenhöhe verursachen. Sicherheitsverletzungen nehmen demnach zu, während die KI zugleich Lösung und neue Angriffsfläche sein kann. Unternehmen sollten laut OPSWAT daher auf einheitliche, mehrschichtige Sicherheitsplattformen für IT und OT setzen, um die Auswirkungen dateibasierter Bedrohungen zu minimieren. Für die der OPSWAT-Studie zugrundeliegenden Umfrage seien 18.602 mit den Sicherheitspraktiken ihrer Organisationen vertraute IT- und IT-Sicherheitsfachleute in den USA ausgewählt worden. Die finale Stichprobe habe dann aus 612 gültigen Antworten bestanden. 61 Prozent der Befragten seien in Organisationen mit mehr als 5.000 Mitarbeitern tätig.

Foto: OPSWAT

George Prichici adressiert Unternehmen: Einheitliche, mehrschichtige Plattformen zur resilienten Verteidigung werden immer wichtiger!

Unternehmen entstanden durchschnittliche Kosten von 2,7 Millionen US-Dollar pro Vorfall

Eine neue, von OPSWAT in Auftrag gegebene Studie zeige, dass Unternehmen zunehmend mit Sicherheitsrisiken durch Insider-Aktivitäten, veraltete „Tools“ und die wachsende Komplexität von KI konfrontiert seien.

• Die vom unabhängigen Ponemon Institute durchgeführte Studie habe ergeben, dass 61 Prozent der Unternehmen in den letzten zwei Jahren von Dateiverletzungen betroffen gewesen seien, „die entweder durch fahrlässige oder böswillige interne Akteure verursacht wurden“. Dadurch seien den Unternehmen Kosten von durchschnittlich 2,7 Millionen US-Dollar pro Vorfall entstanden.

Zudem verdeutliche diese Studie die insgesamt fragile Dateisicherheit. Viele Unternehmen setzten KI ein, um Sicherheitsvorfälle schneller zu erkennen und Kosten zu senken. Gleichzeitig nutzten Angreifer generative Modelle, etwa durch eingebettete Prompts in Makros oder das Auslesen versteckter Daten via KI-Parser. Nur 47 Prozent der Unternehmen vertrauten darauf, dass Dateien an kritischen Punkten wie Uploads, Übertragungen oder der Weitergabe an Dritte wirksam geschützt seien.

Die wichtigsten Aussagen der aktuellen Studie für Unternehmen:

• Insiderbedrohungen sind das größte Risiko
  61 Prozent der Unternehmen hätten in den letzten zwei Jahren Verstöße gegen Dateien erlebt. Das schwerwiegendste Risiko gehe von fahrlässigen oder böswilligen Insidern aus (45%), gefolgt von schlechter Transparenz / Kontrolle (39%) und von bereitgestellten bösartigen Dateien (33%).
• Dateifreigabe und Dateiübertragungen sind Schwachstellen
  Lediglich 39 Prozent der Befragten seien überzeugt, dass Dateiübertragungen an Dritte zuverlässig geschützt würden.
• Der Preis der Untätigkeit
  Durchschnittlich beliefen sich die Kosten pro Vorfall bei Dateisicherheitsvorfällen über einen Zeitraum von zwei Jahren auf 2,7 Millionen US-Dollar. Zu den Folgen gehörten der Verlust von Kundendaten (50%), unproduktive Mitarbeiter (50%) und Reputationsschäden (26%).
• Makro-basierte und „Zero Day“-Malware sind am besorgniserregendsten
  44 Prozent der Befragten hätten makro-basierte Malware als die größte Bedrohung benannt, dicht gefolgt von „Zero Day“-Malware (43%).
• Dateibasierte Bedrohungen werden zu spät erkannt
  Nur 40 Prozent der Unternehmen würden dateibasierte Bedrohungen innerhalb einer Woche erkennen. 20 Prozent gäben zu, dass sie nicht wüssten, wie schnell sie reagieren könnten.
• Weiterhin fragmentierte Sicherheitsansätze
  Das Vertrauen in verschiedene Dateiumgebungen unterscheide sich deutlich: Nur 42 Prozent der Befragten hätten Vertrauen in die Sicherheit ihrer Daten beim Upload von Dateien sowie beim Teilen per E-Mail oder per Link. Deutlich höher sei das Vertrauen, wenn Dateien in der „Cloud“, „on-premises“ oder in hypbriden Umgebungen gespeichert werden (54%), ebenso bei Backups (53%).
• Die Einführung von KI nimmt zu – die „Governance“ hinkt jedoch hinterher
  Von den befragten Unternehmen nutzten heute 33 Prozent KI-basierte Lösungen für die Dateisicherheit, 29 Prozent planten dies im Jahr 2026. Nur 25 Prozent hätten eine GenAI-Richtlinie, 29 Prozent würden GenAI vollständig verbieten.
• Unvollständige Sicherheit der KI-Workloads
  37 Prozent der befragten Unternehmen sicherten sensible Daten in KI-Workflows mit schnellen Sicherheitstools (41%), Maskierung (38%) oder innerhalb von Leitplanken (35%).
• Mehrschichtige Abwehrmechanismen werden zu wenig genutzt
  Technologien wie Multiscanning (41%), „Content Disarm and Reconstruction“ (CDR: 35%) und „Sandboxing“ (43%) würden an Bedeutung gewinnen, seien aber bei weitem nicht allgegenwärtig. Die Bewertungen von Dateischwachstellen und „Data Loss Prevention“ (DLP) würden ebenfalls zu wenig angewendet.
• Einheitliche Plattformen als Weg in die Zukunft
  Mehrschichtige Technologien einsetzende Unternehmen berichteten von einer besseren Erkennung, einer höheren Produktivität und geringeren Kosten. „Tools“ wie Multiscanning, CDR und adaptives „Sandboxing“ böten einen stärkeren Schutz vor ausweichenden und dateibasierten Bedrohungen.

73% der Unternehmen planen, mehrschichtige Plattformen bis 2026 einzusetzen

Die vorliegenden Ergebnisse zeigten außerdem eine deutlich sichtbare Verschiebung weg von veralteten Silolösungen hin zu einheitlichen, mehrschichtigen Plattformen, welche Technologien wie Multiscanning, „Content Disarm and Reconstruction“ und adaptives „Sandboxing“ beinhalteten: 73 Prozent der Unternehmen planten, diese fortschrittlichen Technologien bis zum Jahr 2026 einzusetzen.

• „Eine mehrschichtige Verteidigung, die ,Zero Trust’-Dateihandling mit fortschrittlichen Präventionstools kombiniert, ist heute kein optionaler Ansatz mehr, sondern unverzichtbarer Standard für Unternehmen, die im KI-Zeitalter eine belastbare und skalierbare Sicherheit gewährleisten wollen“, kommentiert George Prichici, „Vice President of Products“ bei OPSWAT.

Abschließend gibt er zu bedenken: „Einheitliche mehrschichtige Plattformen ermöglichen es, Dateisicherheitsarchitekturen flexibel an neue Bedrohungen anzupassen und moderne Arbeitsabläufe sowie komplexe Dateiökosysteme innerhalb und außerhalb des Perimeters wirksam zu schützen.“

Weitere Informationen zum Thema:

OPSWAT
Trust no file. Trust no device. / At OPSWAT, we have spent the last 20 years evolving our end-to-end IT/OT cybersecurity platform to establish a perimeter of defense around the world’s critical infrastructures

OPSWAT
Report: Ponemon State of File Security / Essential insights IT and cybersecurity leaders need to know

SC Media
George Prichici / OPSWAT Vice President – Products

datensicherheit.de, 02.09.2025
Noch immer unterschätztes Cyberrisiko: Insider als Bedrohungsakteure / Risiken durch Insider – also Bedrohungen, welche von Personen mit legitimen Zugriffsrechten ausgehen – gehören zu den größten und kostspieligsten Herausforderungen für Unternehmen

datensicherheit.de, 17.11.2023
Die interne Gefahr: Wie sich Unternehmen vor Insider-Bedrohungen schützen können / Cyberkriminelle konzentrieren sich auf den Diebstahl von Zugangsdaten

datensicherheit.de, 30.06.2020
Insider-Bedrohungen durch ausscheidende Mitarbeiter / Best Practices zum Schutz vor Datendiebstahl

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff / Abwehr mit User and Entity Behavior Analysis auf Basis von Machine Learning

[datensicherheit.de, 02.09.2025] „Viele Unternehmen übersehen beim Schutz ihrer IT-Ressourcen einen entscheidenden Aspekt: Sie richten ihren Fokus beinahe ausschließlich nach außen und übersehen die Bedrohung von innen“, so Matt Cooke, „Cybersecurity Strategist“ bei Proofpoint, in seiner aktuellen Stellungnahme. Dabei stellten Insider-Bedrohungen – also Risiken, die von Personen mit legitimen Zugriffsrechten ausgehen – eine der größten und kostspieligsten Herausforderungen für Unternehmen dar.

Foto: Proofpoint

Matt Cooke warnt: „Insider-Bedrohungen haben viele Facetten und lassen sich nicht leicht erkennen…  

Insider-Bedrohungen: Schadensummen bei 17,4 Millionen US-Dollar jährlich

Das Ponemon Institute berichtet in diesem Zusammenhang – auf Basis einer Befragung von Unternehmen aus Nordamerika, Europa, dem Nahen Osten, Afrika und der Asiatisch-Pazifischen Region – von durchschnittlichen Schadensummen durch Insider-Bedrohungen in Höhe von 17,4 Millionen US-Dollar pro Jahr.

• Allein Datenschutzverletzungen durch Insider kosten laut IBM weltweit im Schnitt fast fünf Millionen Dollar pro Vorfall und Unternehmen.

41 Prozent der deutschen CISOs erachteten Insider-Bedrohungen als das größte Cybersicherheitsrisiko für ihr Unternehmen im nächsten Jahr.

Privilegierte Zugriffsrechte verstärken Insider-Bedrohungen

„Insider-Bedrohungen haben viele Facetten und lassen sich nicht leicht erkennen. Sie entstehen sowohl durch absichtliches Fehlverhalten – etwa Sabotage, Datendiebstahl oder Wirtschaftsspionage – als auch durch fahrlässige Handlungen wie das versehentliche Versenden vertraulicher Informationen oder das unbeabsichtigte Herunterladen von Malware.“

• Hinzu komme die Kategorie der kompromittierten Insider: „Dabei übernehmen externe Angreifer legitime Benutzerkonten“, erläutert Cooke.

Besonders tückisch sei, dass Insider häufig über privilegierte Zugriffsrechte verfügten und sich daher unbemerkt innerhalb des Netzwerks bewegen können. Während klassische Sicherheitsmaßnahmen wie Firewalls oder Antiviren-Programme auf externe Bedrohungen abzielten, seien sie gegen diese Art von Gefahren machtlos.

Selbst Großunternehmen mit ausgefeilten Sicherheitsarchitekturen nicht gegen Insider-Bedrohungen immun

Die Folgen eines erfolgreichen Insider-Angriffs könnten schwerwiegend sein: Neben unmittelbaren finanziellen Schäden drohen Reputationsverlust, Unterbrechungen des Geschäftsbetriebs und unter Umständen rechtliche Konsequenzen.

• Cooke berichtet: „Ein aktuelles Beispiel aus der Praxis ist der Fall eines ehemaligen Google-Technikers, der Tausende streng vertraulicher Dateien gestohlen hat, um seinem Arbeitgeber zu schaden.“ Dieser Google-Mitarbeiter habe heimliche Beziehungen mit chinesischen Unternehmen aufgenommen und nach dem Diebstahl CTO eines dieser Unternehmen werden wollen. „Zwar wurde er vor seiner Ausreise verhaftet, hätte mit seiner Tat aber auch nationale Sicherheitsinteressen (der USA) schaden können.“

Solch ein Vorfall unterstreiche, „dass selbst Technologie-Giganten mit ausgefeilten Sicherheitsarchitekturen nicht gegen Insider-Bedrohungen immun sind“.

„Insider-Threat-Programme“ wichtiger denn je

Angesichts der Komplexität und Vielschichtigkeit der Insider-Bedrohungen reiche es nicht aus, auf einzelne technische Lösungen oder punktuelle Sensibilisierungsmaßnahmen zu setzen. Vielmehr bedürfe es eines ganzheitlichen Ansatzes, „der organisatorische, technische und menschliche Faktoren gleichermaßen berücksichtigt“.

• Ein effektives „Insider-Threat“-Programm verfolge mehrere Ziele: Es solle potenzielle Bedrohungen frühzeitig erkennen, präventive Maßnahmen etablieren, im Ernstfall eine schnelle und zielgerichtete Reaktion ermöglichen und die Balance zwischen Sicherheit und Datenschutz wahren.

„Zentraler Bestandteil eines solchen Programms ist die kontinuierliche Überwachung der Nutzeraktivitäten. Moderne ,Tools‘ zur Verhaltensanalyse können beispielsweise auffällige Muster erkennen, etwa wenn ein Mitarbeiter plötzlich ungewöhnlich große Datenmengen herunterlädt oder auf Systeme zugreift, die außerhalb seines Aufgabenbereichs liegen.“

Balance zwischen Reaktion und Prävention: „Insider-Threat-Programm“ sollte auch Untersuchung und Behebung von Vorfällen umfassen

„Doch Technik allein genügt nicht!“ Ebenso wichtig sei es, eine Unternehmenskultur zu schaffen, in der Mitarbeiter für die Risiken sensibilisiert werden, um zu wissen, wie sie verdächtiges Verhalten erkennen und melden können. „Schulungen zur ,Cyberhygiene’, regelmäßige ,Awareness’-Kampagnen und klare Richtlinien zur Nutzung von IT-Ressourcen bilden hierfür die Grundlage“, betont Cooke.

• Trotz aller Prävention ließen sich Zwischenfälle aber nie vollständig ausschließen. Deshalb müsse jedes „Insider-Threat-Programm“ auch Prozesse zur Untersuchung und Behebung von Vorfällen vorsehen. „Hierzu gehört ein klar definierter ,Incident-Response-Plan’, der Verantwortlichkeiten regelt, Meldewege definiert und Maßnahmen zur Eindämmung sowie zur forensischen Analyse umfasst.“

Nur so könne im Ernstfall eine schnelle und angemessene Reaktion gewährleistet werden, um Schäden zu minimieren und aus dem Vorfall Schlüsse für die Zukunft zu ziehen.

Datenschutz und „Compliance“ als integrale Bestandteile der „Insider-Threat-Programme“

Ein weiterer wichtiger Aspekt sei der Schutz sensibler Daten durch technische Maßnahmen wie Zugriffskontrollen, Verschlüsselung und Data-Loss-Prevention-(DLP)-Lösungen. Dabei sollte der Grundsatz der minimalen Rechtevergabe gelten: „Jeder Mitarbeiter erhält nur die Zugriffsrechte, die er für seine Tätigkeit tatsächlich benötigt. Diese werden regelmäßig überprüft und bei Bedarf angepasst. Insbesondere beim Ausscheiden aus dem Unternehmen gilt es, den Datenzugriff umgehend zu unterbinden.“

• „Insider-Threat-Programme“ sähen sich nicht nur mit technischen und organisatorischen Herausforderungen konfrontiert, sondern müssten auch strenge gesetzliche Vorgaben erfüllen. Die Einhaltung von Datenschutzgesetzen wie der europäischen Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) oder weiterer lokaler Vorschriften sei zwingend erforderlich.

„Das bedeutet, dass sämtliche Maßnahmen zum Schutz vor Insider-Bedrohungen stets im Einklang mit dem Recht auf Privatsphäre stehen müssen!“ Unternehmen seien daher gefordert, transparent darzulegen, wie Daten erhoben, genutzt und gelöscht werden, welche Kontrollmechanismen existieren und wie die Rechte der Betroffenen gewahrt bleiben. „Nur wenn dieser Spagat gelingt – innerhalb der Organisation und aufseiten der Belegschaft – kann ein ,Insider-Threat-Programm’ langfristig Akzeptanz finden und erfolgreich sein.“

Der Mensch als potenzielle Insider-Bedrohung gehört in den Mittelpunkt

Letztlich stehe und falle der Erfolg eines „Insider-Threat-Programms“ mit den Menschen im Unternehmen. Eine reine Fokussierung auf technische Kontrollen greife zu kurz, „wenn nicht gleichzeitig das Bewusstsein für die Problematik geschärft wird“.

• Mitarbeiter müssten verstehen, „dass sie Teil der Sicherheitsmaßnahmen sind und durch umsichtiges Verhalten einen entscheidenden Beitrag leisten können“. Dies erfordere regelmäßige Schulungen und eine offene Kommunikationskultur, „in der Fehler gemeldet werden dürfen, ohne Angst vor Sanktionen haben zu müssen“. Gleichzeitig sollten klare Konsequenzen für vorsätzliches Fehlverhalten definiert und kommuniziert werden.

Auch die Zusammenarbeit verschiedener Abteilungen sei unerlässlich. Ein schlagkräftiges „Insider-Threat-Management-Team“ vereine Kompetenzen aus IT-Sicherheit, Personalwesen, Rechtsabteilung und Führungsebene. Nur so ließen sich technische, rechtliche und menschliche Aspekte ganzheitlich berücksichtigen und wirksame Strategien entwickeln.

Proaktives Handeln: Sicherheit als gemeinsame Aufgabe verankern

Die Zeiten, in denen Insider-Bedrohungen ein Nischenthema für IT-Security-Experten waren, sind laut Cooke passé: „Unternehmen, die den Schutz ihrer sensiblen Daten und Geschäftsgeheimnisse ernst nehmen, kommen an einem professionellen ,Insider-Threat-Programm’ nicht mehr vorbei!“

• Der Schlüssel liege in einem ausgewogenen Zusammenspiel aus technischer Überwachung, klaren Prozessen, umfassender Sensibilisierung und einer Unternehmenskultur, „die Sicherheit als gemeinsame Aufgabe erachtet“.

Cookes Fazit: „Nur wer proaktiv handelt, kann die Risiken effektiv minimieren, die wertvollsten Ressourcen seines Unternehmens schützen und sich so nachhaltig gegen die wachsenden Herausforderungen in der digitalen Welt wappnen!“

Weitere Informationen zum Thema:

proofpoint
Guide Users / Simplify behavior change with automated, risk-based learning / Transform your high-risk employees. Change risky behaviors and foster a strong security culture

proofpoint
Matt Cooke / Cybersecurity Strategist

GlobeNewswire by notified, 25.02.2025
Ponemon Cybersecurity Report: Insider Risk Management Enabling Early Breach Detection and Mitigation / Insider risk management budgets have more than doubled and are projected to grow further in 2025, as the average annual cost of insider threats reaches $17.4M USD

IBM, 2025
Data Breach / Cost of a Data Breach Report 2025

datensicherheit.de, 17.11.2023
Die interne Gefahr: Wie sich Unternehmen vor Insider-Bedrohungen schützen können / Cyberkriminellen konzentrieren sich auf den Diebstahl von Zugangsdaten

datensicherheit.de, 15.02.2022
Fachkräftemangel, Insiderbedrohungen und Home-Office – Cyber-Risiken mit Wurzeln in den Unternehmen / Hendrik Schless kommentiert die von Unternehmen viel zu häufig unterschätzten Risiken

datensicherheit.de, 30.06.2020
Insider-Bedrohungen durch ausscheidende Mitarbeiter / Best Practices zum Schutz vor Datendiebstahl

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff / Abwehr mit User and Entity Behavior Analysis auf Basis von Machine Learning

datensicherheit.de, 23.12.2016
Insider – die immer noch unterschätzte Gefahr / David Lin erläutert, warum es nicht immer gleich der externe russische Hacker sein muss

Von unserem Gastautor Andrew Rose, Resident CISO bei Proofpoint

[datensicherheit.de, 17.11.2023] Bedrohungen durch Insider sind nicht erst seit dem Beginn des digitalen Zeitalters zu einem Problem geworden. Bereits im Jahr 480 v. Chr. verriet Ephialtes die spartanischen Krieger, indem er die persische Armee über einen versteckten Bergpfad informierte, der es dieser ermöglichte, die griechischen Verteidiger zu überlisten und zu besiegen. Und 1985 wurde Richard Miller, ein FBI-Agent, wegen Spionage verhaftet, nachdem er geheime Dokumente an russische Sicherheitsdienste weitergegeben und dafür Gold und Bargeld verlangt hatte. Wie diese Beispiele zeigen, haben Insider-Bedrohungen eine lange Tradition.

Andrew Rose, Resident CISO bei Proofpoint, Bild: Proofpoint

Der langen Tradition zum Trotz wird diese Gefahr meist toleriert. Wirklich böswillige Insider sind selten, und Arbeitsverträge enthalten rechtliche Klauseln, die gegen Insider verwendet werden können. Allerdings wird es immer Fahler nachlässiger Mitarbeiter geben, so viele Schulungen diese auch erhalten haben mögen. Sobald CISOs dieses Thema in der Vorstandsetage adressierten, ernteten sie allzu oft Erstaunen und wurden gefragt, woher ihr Misstrauen gegenüber den Kollegen rührt.

Was hat sich also geändert bzw. warum ist das Thema Insider-Bedrohungen nun auf der Tagesordnung der meisten Vorstands-Meetings? Dafür gibt es drei wesentliche Gründer, die miteinander verknüpft sind: Die Angreifer haben ihre Taktik verändert, die Arbeitgeber haben weniger Vertrauen in ihre Mitarbeiter und die bestehenden Kontrollen, mit denen Insider-Bedrohungen eingedämmt werden konnten, verlieren zunehmend ihre Wirksamkeit.

Weiterentwicklung der Angreifer

Der Hauptgrund für die Eskalation der Insider-Bedrohungen ist die Konzentration der Cyberkriminellen auf den Diebstahl von Zugangsdaten, weil gestohlene Zugangsdaten für sie zum primären Einfallstor geworden sind. Der Verizon Data Breach Investigations Report 2023 (DBIR) zeigt, dass 49 Prozent aller erfolgreichen Einbrüche auf gestohlene Zugangsdaten zurückzuführen sind.

Das Vorgehen ist simpel und einleuchtend: Wenn sich ein Angreifer mit existierenden Anmeldedaten einloggen kann, hat er Zugriff auf alle Systeme, Daten und Berechtigungen des Konto-Inhabers, ohne sich um Firewall-Konfigurationen, Patch-Levels oder Zero-Days kümmern zu müssen. Die Angriffsmethode ist stark vereinfacht und lässt sich flexibel anpassen.

Indem sie eine echte Identität für einen Angriff verwenden, können die Täter ihre Angriffskette erweitern, indem sie das Vertrauen, das der gehackten Identität entgegengebracht wird, als Waffe verwenden. Wenn Kollegen, Lieferanten und Familienangehörige E-Mails von dem kompromittierten Konto erhalten, nehmen sie diese für bare Münze, und die Wahrscheinlichkeit eines falschen Klicks, einer unbedachten Handlung oder einer irrtümlichen Zahlung steigt beträchtlich. Aus diesem Grund wird die meiste Malware auch an Orten gehostet, auf die sich Anwender regelmäßig verlassen – beispielsweise auf OneDrive, SharePoint oder Dropbox.

Mangelnde Verbindungen der Mitarbeiter untereinander

Seit der „Coronapandemie“ hat sich das Verhältnis zwischen Arbeit und Privatleben grundlegend verändert. Immer weniger Menschen gehen jeden Tag ins Büro, und die obligatorische persönliche Anwesenheit ist für Bewerber nicht selten zu einem Ausschlusskriterium geworden. Viele Mitarbeiter werden heute ausschließlich per Video-Telefonie rekrutiert und arbeiten aus der Ferne, sodass es immer seltener möglich ist, eine echte „Verbindung“ zu den Kollegen aufzubauen.

Das führt zu einer „Ausweitung“ der organisatorischen Grenzen. Häufig wird Mitarbeitern gestattet, ihre eigene Hardware für die Arbeit zu verwenden. Jede Schwachstelle in der privaten IT-Umgebung wird so zu einer Lücke in der IT-Sicherheit des Unternehmens. So kann lokale Malware unter Umständen Tastatureingaben aufzeichnen oder Screenshots erstellen. Auch der Datenzugriff von jedem Ort aus hat Folgen: Dadurch wächst die Herausforderung für die Security-Teams sicherzustellen, dass Daten nur an der richtigen Stelle gespeichert werden, und es steigt die Wahrscheinlichkeit von Datenlecks und -verlusten.

Wie viele Unternehmen im Zuge wachsender Fluktuation unter den Mitarbeitern in den letzten Jahren erfahren mussten, kommt es nicht selten vor, dass Angestellte bei ihrem Ausscheiden –unrechtmäßig – Unternehmensdaten mitnehmen. Dies bedroht das geistige Eigentum von Unternehmen ernsthaft. Laut Proofpoints Voice of the CISO Report 2023 mussten 85 Prozent der Sicherheitsverantwortlichen in Deutschland (63 Prozent international) in den letzten 12 Monaten vor der Studie einen erheblichen Verlust sensibler Daten konstatieren. 95 Prozent dieser Gruppe gehen davon aus, dass Mitarbeiter, die das Unternehmen verließen, zu diesem Verlust beigetragen haben. Die mangelnde Fähigkeit, Daten nachzuverfolgen und zu kontrollieren, die an immer neue Orte gelangen, ist eine der Hauptursachen für Datenverluste.

Bestehende Kontrollen reichen nicht aus

Viele dieser Probleme ließen sich lösen, aber technologische Richtungsentscheidungen und die stetige Weiterentwicklung der Cyberkriminellen haben die bestehenden Kontrollmöglichkeiten geschwächt.

Eine gängige Kontrollmöglichkeit gegen Insider-Bedrohungen ist beispielsweise eine Whistleblower-Hotline, bei der Mitarbeiter verdächtiges bzw. abweichendes Verhalten oder andere Bedenken melden können – z.B. wenn Max Mustermann plötzlich einen Ferrari vor dem Büro parkt. Das Homeoffice und das mobile Arbeiten haben diese Kontrollmöglichkeiten massiv eingeschränkt, weil die Mitarbeiter nur noch selten Zeit miteinander verbringen und lediglich über Videoanrufe und E-Mails miteinander kommunizieren. Auf diese Weise bleiben veränderte Verhaltensweisen und geänderte Meinungen oftmals verborgen.

Die Verlagerung wichtiger Geschäftsdaten in die Cloud und die Nutzung zahlreicher Echtzeit-Kommunikationsplattformen wie WhatsApp überfordern auch viele Tools zur Verhinderung von Datenlecks (Data Leak Prevention: DLP). Sensible Daten können umso leichter dupliziert und außerhalb des Blickfelds der bestehenden Kontrollen verschoben werden.

Schließlich ist auch der Multifaktor-Authentifizierung (MFA) nicht mehr zu vertrauen, die viele Jahre lang als wirksamer Schutz gegen die Kompromittierung von Identitäten bzw. Zugriffen galt. Leider haben Angreifer inzwischen Tools wie EvilProxy entwickelt, um MFA auszutricksen.

Insider Threat Management

Welche Modelle können also bei dieser Neubewertung von Insider-Bedrohungen helfen?

Trotz allem ist MFA nach wie vor ein wichtiges Kontrollinstrument, das nicht außer Acht gelassen werden sollte. Sie muss jedoch dynamischer angewendet werden, um für Angreifer eine größere Herausforderung darzustellen. Beispielsweise durch wiederholte MFA-Abfragen vor kritischen Transaktionen oder wenn der Benutzer als gefährdet eingestuft wird (z.B. sobald der Login von einem neuen Standort oder von einem neuen Gerät aus erfolgt usw.).

Flankiert werden sollte dies durch eine verstärkte Verhaltensüberwachung. Nun ist es schwierig, jede verdächtige Aktivität zu definieren, die ein Benutzer unternehmen kann. Es ist jedoch nicht allzu schwierig, in diesem Bereich Das Pareto-Prinzip bzw. die 80/20-Regel anzuwenden. (Das Pareto-Prinzip befasst sich mit der Beziehung zwischen Aufwand und Ergebnis. Es besagt, dass 80% der Wirkung durch 20% der beteiligten Faktoren erreicht werden können.). Es gibt zum Beispiel Schlüsselaktivitäten, die ein normaler Benutzer nicht durchführen würde, wie das Ändern einer Dateierweiterung oder das Erstellen einer kennwortgeschützten, verknüpften ZIP-Datei.

Hier anzufangen, lohnt sich also. Um darüber hinaus zu verhindern, dass SOC-Mitarbeiter sich wie aufgescheuchte Hühner verhalten, sollte die Sammlung verdächtiger Verhaltensweisen und Informationen über Bedrohungen automatisiert werden.

Und schließlich sollte eine DLP-Lösung implementiert werden, die für die Multi-Cloud-Umgebungen konzipiert ist, in denen Anwender heutzutage arbeiten. Die Daten haben die Grenzen der Organisationen verlassen und werden nie wieder zurückkehren. Daher ist die Verwendung veralteter DLP-Gateways zur Identifizierung unbefugter Kopien und Transfers von Daten nicht länger zielführend.

Resümee

Wie ebenfalls aus dem Verizon DBIR 2023 hervorgeht, wurden 83 Prozent aller Cyberangriffe von außen und nur 19 Prozent von innen initiiert – einige Vorkommnisse lassen sich auf beides zurückführen. Die meisten dieser Angriffe hatten ein finanzielles Motiv, und nur bei einer Handvoll ging es um Groll, Rache oder ideologische Differenzen.

Während sich also die Zahl der böswilligen und fahrlässigen Insider-Angriffe kaum verändert hat, hat sich das Ausmaß des Schadens, das durch einen entsprechenden Vorfall in einem Unternehmen verursacht werden kann, erheblich vergrößert. Allerdings sind es externe Täter, die legitime Anmeldedaten in industriellem Maßstab entwenden und dadurch das Spiel von Grund auf verändern. Dadurch sind Insider-Bedrohungen auf den Tagesordnungen der Vorstandsetagen ganz weit nach oben gerückt.

Eines sollte man grundsätzlich im Hinterkopf behalten: Angreifer kämpfen sich den Weg ins Unternehmen im digitalen Zeitalter nicht frei. Sie loggen sich einfach ein.

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

proofpoint
Insider Threat Management

[datensicherheit.de, 15.02.2022] Cyber-Attacken durch anonyme Angreifer von außen sind bei Weitem nicht die einzige Gefahr, mit denen Unternehmen konfrontiert sind. Nach Einschätzung von Hendrik Schless, „Senior Manager of Security Solutions“ bei Lookout, werde viel zu häufig das vom Fachkräftemangel sowie von Insider-Bedrohungen und Home-Office-Szenarien ausgehende Risiko unterschätzt. In seiner aktuellen Stellungnahme erläutert er die unterschiedlichen Aspekte und Akteure.

Hendrik Schless: Insider-Bedrohungen waren für Unternehmen schon immer ein Problem…

Ausweitung der Unternehmensinfrastruktur und zunehmende Abhängigkeit von der Cloud machen Problem nur noch komplexer

„Insider-Bedrohungen waren schon immer ein Problem. Angesichts der raschen Ausweitung der Unternehmensinfrastruktur und der zunehmenden Abhängigkeit von der ,Cloud‘ wird das Problem nur noch komplexer“, sagt Schless.

In der Vergangenheit seien herkömmliche „Data Loss Prevention“-Lösungen (DLP) an einem definierten Sicherheitsperimeter zum Einsatz gekommen, um den gesamten ein- und ausgehenden Datenverkehr zu überwachen. Die Schwierigkeit bestehe darin, dass diese „Tools“ keinen Einblick in die Interaktion der Benutzer mit den Daten innerhalb dieses Bereichs hätten. „Wenn also ein Benutzer eine Datei lokal herunterlädt oder bestimmte Änderungen vornimmt, wird das Sicherheitsteam möglicherweise nicht alarmiert.“

Einige Unternehmen hätten Lösungen zur Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) implementiert, welche Änderungen auf Dateiebene überwachten. Es gebe aber auch Möglichkeiten, dies zu umgehen.

Insider haben in Unternehmen oft Zugriff auf weit mehr Ressourcen als notwendig

Die „Cloud“ habe zwar enorme Fortschritte bei der Zusammenarbeit, der Skalierbarkeit und dem Datenzugriff von jedem Ort aus ermöglicht – sie habe aber auch mehr Risiken mit sich gebracht. Schless erläutert: „Insider haben oft Zugriff auf weit mehr Ressourcen, als sie eigentlich für ihre Arbeit benötigen. Angreifer haben sich daher zuletzt auf das Phishing von Zugangsdaten der Mitarbeiter konzentriert, um ihre Angriffe zu starten.“

Ein umfassender Zugriff auf die Infrastruktur bedeute auch, dass ein verärgerter, abtrünniger Mitarbeiter große Probleme für das Unternehmen verursachen könne.

Moderne DLP-Lösungen seien in der Lage, die Datennutzung zu überwachen – „unabhängig davon, wo sich die Daten in der Infrastruktur befinden und ob sie im Ruhezustand oder in Bewegung sind“. Die Kombination mit „User and Entity Behaviour Analytics“ (UEBA) als Teil einer größeren „Cloud Access Security Broker“-Lösung (CASB) sei der beste Weg, „um zu verhindern, dass Insider-Bedrohungen Daten gefährden“.

Fernarbeit macht es für Unternehmen nur noch schwieriger, den Überblick darüber zu behalten

Fernarbeit mache es für Unternehmen nur noch schwieriger, den Überblick darüber zu behalten, „wie ihre Benutzer auf Unternehmensdaten zugreifen, sie bearbeiten und verwalten“. Die notgedrungene Nutzung von nicht verwalteten Smartphones, Tablets, Laptops und PCs habe dazu geführt, dass viele Unternehmen die Kontrolle über ihre Daten verloren hätten.

„Sie konnten somit nicht sicherstellen, dass diese Geräte beim Umgang mit sensiblen Daten frei von Malware sind. Darüber hinaus gab es ohne die richtigen Tools keine Möglichkeit sicherzustellen, dass die Daten geschützt sind oder ordnungsgemäß behandelt wurden, sobald sie auf dem nicht verwalteten Gerät ankamen“, berichtet Schless.

Der Einsatz einer CASB-Lösung, welche den Benutzerzugriff und die Dateninteraktion sowohl von verwalteten als auch von nicht verwalteten Geräten überwachen könne, sei der Schlüssel, „um im Zeitalter der Fernarbeit die Datensicherheit zu gewährleisten“.

Sicherheits-Teams der Unternehmen müssen ausscheidende Mitarbeiter aus der Ferne ordnungsgemäß ausgliedern und gesamten Zugang sperren können

Die „Great Resignation“ setze die IT- und Sicherheitsteams aus zwei Gründen noch mehr unter Druck: „Erstens könnte ein Mitarbeiter, der kündigen will, versuchen, Daten zu stehlen – vor allem, wenn er zu einem Konkurrenten wechselt.“ Lookout habe dies im Jahr 2021 mehrfach in verschiedenen Branchen beobachtet, und es sei einer der häufigsten Anwendungsfälle für Insider-Bedrohungen. Zweitens müssten diese Teams die Mitarbeiter aus der Ferne ordnungsgemäß ausgliedern und ihren gesamten Zugang sperren. Außerdem müssten sie sicherstellen, „dass alles, was lokal auf dem Laptop gespeichert war, nicht auf ein persönliches Cloud-Konto oder einen Computer übertragen wurde“.

Im Sicherheitsbereich müsse ein gesundes Gleichgewicht zwischen dem Einsatz von Technologie und dem menschlichen Aspekt der Arbeit bestehen. Einige der erfolgreichsten Sicherheitsteams verließen sich auf „Tools“, um Risiken zu erkennen, „bevor sie auftreten“. Schless erklärt: „Genau dann, wenn ein Ereignis eine Regel auslöst, schalten sie jedoch einen Mitarbeiter ein, der die Situation beobachtet, um sicherzustellen, dass richtig gehandelt wird.“

Ein Beispiel hierfür sei der Schutz vor Datenverlust. Das „Tool“ fange eine sensible, freigegeben oder geänderte Datei ab, protokolliere die Aktion und stelle diese Datei vielleicht sogar unter Quarantäne. „Ein Mitglied des Sicherheitsteams kann dadurch die Situation bewerten, um dafür zu sorgen, dass keine längerfristigen Auswirkungen zu befürchten sind“, so Schless abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 31.03.2020
TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“

[datensicherheit.de, 21.05.2017] Über ein von einem eigenen Mitarbeiter verursachtes Datenleck sollen rund 17 Millionen E-Mail-Adressen und Passwörter des Online-Suchdienstes Zomato gestohlen worden sein. Monatlich nutzten rund 120 Millionen Menschen diese Suchmaschine für Restaurants, Cafés und Fast-Food-Ketten. Für Vectra Networks belegt dieser „massive Datendiebstahl“ nach eigenen Angaben einmal mehr, „dass viele Unternehmen gegen Cyber-Angriffe durch Insider relativ schlecht geschützt sind“.

Arglose „Foodies“ im Visier Cyber-Krimineller

Vectra Networks rät Unternehmen daher dringend, ihre Netzwerke nicht nur gegen Eindringlinge von außen zu schützen, sondern auch die Vorgänge innerhalb des Netzwerks effektiver zu überwachen. Hierfür eigneten sich vor allem Konzepte, „die Künstliche Intelligenz und Maschinelles Lernen integrieren“.
Nach Meinung von Gérard Bauer, „Vice President EMEA“ bei Vectra Networks, sollte diese jüngste erfolgreiche Cyber-Attacke Unternehmen aufrütteln, die sich zu sehr auf den Schutz am Perimeter, dem Übergang zwischen Firmennetzwerk und Internet, verlassen: Die Gruppe der „Foodies“ (Menschen, die sich in ihrer Freizeit intensiv mit Themen rund um Ernährung und Kochen beschäftigen) sei groß und wachse immer schneller. Dies mache sie zu einer attraktiven – und oft auch arglosen Zielgruppe für Cyber-Kriminelle.

Mangel an Sichtbarkeit der Vorgänge innerhalb des Netzwerks machten Attacke möglich

Hinter Bewertungswebsites und Diskussionsforen steckten meist eine große Menge an persönlichen Daten. Dies sei nicht ungewöhnlich, denn oft seien auch Bankdaten hinterlegt, um beispielsweise verbindlich Plätze in Restaurants zu buchen oder Tickets für Events zu bestellen.
Zomato bestehe zwar auf der Aussage, dass keine Bankdaten gestohlen worden seien, so seien aber die Folgen des Diebstahls von E-Mail-Adressen und Passwörtern nicht zu unterschätzen. Bauer: „Je nachdem, welche Art von Verschlüsselungsstandard Zomato im Einsatz hatte, wird es den Hackern mehr oder weniger leicht fallen die Passwörter durch Brute-Force-Techniken zu knacken.“
Es sei noch nicht bekannt, wann genau die Daten von den Angreifern entwendet wurden. Da es sich aber den Angaben nach um eine Insider-Attacke gehandelt habe, sei fast auszuschließen, dass konventionelle Schutzmechanismen am Perimeter in der Lage gewesen wären, diese Attacke zu entdecken oder zu stoppen.
Es sei offensichtlich, dass ein Mangel an Sichtbarkeit der Vorgänge innerhalb des Netzwerks die Attacke möglich gemacht hätten. Deshalb sei es auch schwer zu sagen, wann genau der Angriff stattfand. Somit werde es auch für die Nutzer schwierig einzuschätzen, ab wann ihre Passwörter, die sie möglicherweise auch für andere Online-Angebote genutzt hätten, nicht mehr sicher waren. Sie müssten nun also alle Accounts mit dem gleichen Passwort bei anderen Diensten prüfen.

Vorgänge im Netzwerk automatisch überwachen und verdächtige Aktivitäten entdecken!

„Dies war nicht das erste – und sicher nicht das letzte Mal, dass wir bei Unternehmen mangelnde Transparenz von Vorgängen im Netzwerk sehen“, so Bauer.
Außerdem werde einmal mehr deutlich, dass laufende Attacken nicht identifiziert würden und es somit Kriminellen möglich sei, lange Zeit unentdeckt zu bleiben. Aus diesen Gründen sollten Unternehmen mehr tun – sie müssten in der Lage sein, Vorgänge im Netzwerk automatisch zu überwachen, verdächtige Aktivitäten zu entdecken und somit auf Eindringlinge so schnell wie nur möglich zu reagieren. „Nur so kann man Sicherheitsvorfälle unterbinden, bevor Schaden entsteht“, betont Bauer.

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2016
Sicherheitslücke in Windows ermöglicht Malware-Ausbreitung via Netzwerkdrucker

[datensicherheit.de, 23.12.2016] Nach aktuellen Informationen des Nachrichtemagazins „DER SPIEGEL“ vermutet die Bundespolizei nach ihren Ermittlungen, dass im Bundestag möglicherweise ein sogenannter „Maulwurf“, also ein Insider, sitzt und die Daten aus dem NSA-Untersuchungsausschuss an die Enthüllungsplattform WikiLeaks weitergegeben hat. David Lin von Varonis befasst sich in einer aktuellen Stellungnahme u.a. damit, warum Innentäter noch immer unterschätzt werden.

Es muss nicht immer ein russischer Hacker sein…

Laut WikiLeaks sollen die rund 2.400 Dokumente zum NSA-Ausschuss aus verschiedenen Quellen stammen und nachweisen, dass die US-amerikanische National Security Agency (NSA) und der BND zusammengearbeitet haben.
Noch vor einigen Wochen habe die „Frankfurter Allgemeine Sonntagszeitung“ einen hohen Sicherheitsbeamten mit den Worten zitiert, „es gebe eine „hohe Plausibilität“ dafür, dass die von WikiLeaks veröffentlichten Geheimakten beim Cyber-Angriff auf den Bundestag erbeutet worden seien. Für den Angriff hatten Sicherheitskreise russische Hacker verantwortlich gemacht.
David Lin: „Das sieht im Licht der bundespolizeilichen Ermittlungen betrachtet nun anders aus. Wieder ein Insider?“

Innentäter als unterschätzte Gefahr

Dass unter bestimmten Umständen praktisch jeder zum Insider werden kann, hätten Studien ausreichend belegt. Die drei wesentlichen Komponenten von Motiv, Moral und Möglichkeit müssten nur in einem günstigen (oder besser: ungünstigen) Mischungsverhältnis aufeinandertreffen. Das gelte für die großpolitische Gemengelage, Geheimnisverrat oder Wirtschaftsspionage.
Potenzielle Innentäter seien neben den eigenen aktuellen und ehemaligen Mitarbeitern befristet im Unternehmen tätiges Personal und externe Dienstleister.
Dass dieses Phänomen nicht neu ist, habe Anfang 2016 eine Umfrage der „COMPUTERWOCHE“ bestätigt, bei der im Rahmen des „Vendor Vulnerability Survey 2016“ annähernd 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA befragt worden seien.

Deutsche Großzügigkeit bei Zugriffsberechtigungen

Die als besonders sicherheitsaffin geltenden Deutschen hegten zwar einerseits große Befürchtungen, Opfer eines Cyber-Angriffs zu werden, vergäben aber andererseits Zugriffsberechtigungen an Dienstleister ausgesprochen großzügig. Zutritts- und Zugangsberechtigungen seien oft viel weiter gefasst als es nach dem Prinzip der minimalen Rechtevergabe notwendig gewesen wäre.
Außerdem blieben diese Berechtigungen gerne selbst dann noch erhalten, wenn ein Projekt längst beendet ist oder der betreffende Mitarbeiter das Unternehmen bereits verlassen hat.

Innentäter verursachen potenziell den größten Schaden

Innentäter verursachten aufgrund ihrer physischen und virtuellen Zugangs- und Zugriffsmöglichkeiten potenziell den größten Schaden.
Laut einer aktuellen Studie des Ponemon Institute beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund vier Millionen US-Dollar. Trotz dieser erschreckenden Zahl seien bei Weitem nicht alle Vorstandsmitglieder, Geschäftsführer oder Hauptaktionäre ausreichend gewappnet, ihre finanziellen Interessen dahingehend zu schützen.
In Abwandlung eines alten Zitats aus der IT-Sicherheit gebe es nur zwei Sorten von Unternehmen – „diejenigen, die schon Opfer einer Datenschutzverletzung geworden sind und diejenigen, die es (noch) nicht wissen“.

Weitere Informationen zum Thema:

VARONIS, 25.11.2016
Der Inside-Out-Sicherheits Blog / David Lin: Insiderbedrohungen und E-spionage

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

[datensicherheit.de, 31.08.2016] In einer von Varonis gesponserten Studie des Ponemon Institute wird die wachsende Kluft zwischen Endnutzern und IT-Experten vor dem Hintergrund einer steigenden Zahl von Sicherheitsvorfällen untersucht. Ransomware und andere Angriffsmethoden, deren Erfolg nicht zuletzt auf der Fahrlässigkeit von Mitarbeitern beruht, greifen demnach weiter um sich. Dennoch gäben nur 39 Prozent der Endnutzer an, alle erforderlichen Maßnahmen zum Schutz der von ihnen benutzten Unternehmensdaten zu ergreifen. Laut der zugrunde liegenden aktuellen Umfrage unter mehr als 3.000 Mitarbeitern und IT-Fachleuten in den USA und Europa sei das ein deutlicher Rückgang, verglichen mit den Ergebnissen von 2014 mit noch 56 Prozent.

Fahrlässigkeit von Insidern derzeit größte Sorge von Unternehmen

Zwar seien 52 Prozent der befragten IT-Fachleute der Ansicht, dass die Richtlinien gegen Missbrauch von Unternehmensdaten sowie unbefugten Zugriff umgesetzt und eingehalten würden, aber nur 35 Prozent der befragten Endnutzer gäben an, „dass ihr Arbeitgeber diese Richtlinien tatsächlich rigoros umsetzt“. Die neue Analyse mit dem Titel „The Widening Gap Between End Users and IT” vergleicht laut Varonis Verhaltensweisen und Ansichten von Endnutzern mit denen ihrer Kollegen aus den Abteilungen IT und IT-Sicherheit. Sie beruhe auf Daten, die Varonis und das Ponemon Institute am 9. August 2016 im Rahmen des Reports „Closing Security Gaps to Protect Corporate Data: A Study of US and European Organizations“ veröffentlicht hätten. Laut dieser Studie sei die Zahl der Fälle von Datenverlusten und Datendiebstählen drastisch angestiegen. Gleichzeitig verfügten immer mehr Mitarbeiter über die nötigen Rechte, um auf sensible Daten zuzugreifen. Fahrlässigkeit von Insidern sei derzeit die größte Sorge von Unternehmen.
Die Ergebnisse gehen nach eigenen Angaben auf Befragungen zurück, die im April und Mai 2016 unter 3.027 Mitarbeitern in den USA, dem Vereinigten Königreich, Frankreich und Deutschland durchgeführt wurden. Zu den Studienteilnehmern gehörten 1.371 Endnutzer und 1.656 Mitarbeiter aus den Bereichen IT und IT-Sicherheit von Unternehmen mit einigen Dutzend bis hin zu mehreren zehntausend Mitarbeitern aus unterschiedlichen Branchen, darunter Finanzdienstleistungen, öffentlicher Sektor, Gesundheitswesen und Biowissenschaften, Handel, Industrie sowie Technologie und Software.

„Fahrlässige Insider“: Gefahr erkannt – noch lange nicht gebannt!

61 Prozent der Befragten aus den Abteilungen IT oder IT-Sicherheit räumten dem Schutz wichtiger Unternehmensdaten eine hohe oder sehr hohe Priorität ein. Demgegenüber hielten lediglich 38 Prozent der Endnutzer den Schutz dieser Daten für wichtig oder sehr wichtig.
Auf die Frage, welchen Stellenwert Produktivität und Datensicherheit in ihrem Unternehmen einnehmen, hätten 38 Prozent der IT-Fachleute und 48 Prozent der Endnutzer angegeben, dass ihr Arbeitgeber Sicherheitsrisiken zu Gunsten von mehr Produktivität in Kauf nehme.
Als den wahrscheinlichsten Grund für eine unbefugte Nutzung von Mitarbeiterkonten hätten 50 Prozent der IT-Experten und 58 Prozent der Endnutzer die Fahrlässigkeit von Mitarbeitern genannt. „Fahrlässige Insider“ sei die bei weitem häufigste Antwort sowohl unter IT-Spezialisten als auch unter Endnutzern und werde doppelt so oft genannt wie „externe Angreifer“ und mehr als dreimal so oft wie „böswillig agierende Mitarbeiter“. Endnutzer führten Sicherheitsvorfälle wesentlich häufiger auf Fehler von Insidern zurück als IT- und Sicherheitsexperten. 73 Prozent der Endnutzer hielten Fehler, Nachlässigkeit oder böse Absicht von Insidern für häufige oder sehr häufige Gründe von Sicherheitsvorfällen, während nur 46 Prozent der IT-Mitarbeiter diese Meinung verträten.

Trotz zunehmender Sensibilisierung alarmierende Rückschritte

Ausgerechnet jetzt, wo aufgrund der zunehmenden Sensibilisierung für Cyber-Angriffe und Sicherheitsvorfälle ein erhöhtes Sicherheitsbewusstsein zu erwarten wäre, würden im Rahmen der Umfrage alarmierende Rückschritte im Hinblick auf Einstellungen und Verhaltensweisen festgestellt, sagt Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute.
„Wenn die Unternehmensleitung den Schutz der Daten nicht zur Priorität erklärt, wird es auch weiterhin sehr mühsam sein, dass Endnutzer Richtlinien und Methoden zur Informationssicherheit einhalten und anwenden“ so Dr. Ponemon. Dass IT und Endnutzer so unterschiedliche Ansichten über erforderliche Zugriffsberechtigungen und eine angemessene Datennutzung hätten, erschwere es, Sicherheitsrisiken im Zusammenhang mit mobilen Endgeräten, der Cloud und der gemeinsamen Bearbeitung von Dokumenten einzudämmen.

*Menschliches Versagen immer das größte Sicherheitsrisiko

Menschliches Versagen werde immer das größte Sicherheitsrisiko bleiben, betont Yaki Faitelson, Mitgründer und CEO von Varonis. Ob aus böser Absicht, aus Versehen oder aufgrund gestohlener Anmeldeinformationen – Insider erleichterten Hackern weiterhin das Eindringen.
„Die einzige Möglichkeit, dem entgegenzuwirken, ist es, den Zugriff auf die Daten zu kontrollieren, Aktivitäten zu überwachen und hochentwickelte Alarmsysteme sowie Tools zur Analyse des Nutzerverhaltens im gesamten Unternehmen zu implementieren“, erläutert Faitelson.

Weitere Informationen zum Thema:

Ponemon INSTITUTE, August 2016
Closing Security Gaps to Protect Corporate Data: A Study of US and European Organizations / Release 2: The Widening Gap Between IT and End Users

[datensicherheit.de, 22.08.2016] Laut einer von Varonis in Auftrag gegebenen Umfrage des Ponemon Institute unter mehr als 3.000 Mitarbeitern und IT-Experten in den USA und Europa sollen bereits drei von vier Unternehmen in den vergangenen zwei Jahren von Datenverlust oder -diebstahl betroffen gewesen sein. Die Zahl sei gegenüber der Umfrage von 2014 dramatisch gestiegen.

Angriffe auf Konten von Insidern

Hauptursache für die zunehmenden Datenverluste und -diebstähle sind laut der Studie Angriffe auf Konten von Insidern. Die Situation verschärfe sich zusätzlich dadurch, dass Mitarbeiter und Dritte über weit großzügigere Zugriffsrechte verfügten als notwendig.
Ein weiterer Grund sei, dass zahlreiche Organisationen Zugriffe und Aktivitäten in ihren E-Mail- und Dateisystemen mit den meisten vertraulichen und sensiblen Daten nach wie vor unzureichend oder gar nicht überwachten.

Umfrage im April und Mai 2016

Der aktuelle Bericht „Closing Security Gaps to Protect Corporate Data: A Study of U.S. and European Organizations“ sei anhand von Interviews erstellt worden; diese seien im April und Mai 2016 mit 3.027 Mitarbeitern in Deutschland, Frankreich, dem Vereinigten Königreich und den USA geführt worden. Unter den Befragten hätten sich 1.371 Endanwender und 1.656 IT- und IT-Sicherheitsexperten aus Unternehmen mit einigen Dutzend bis zu mehreren Zehntausend Mitarbeitern aus unterschiedlichen Branchen wie Finanzdienstleistungen, Öffentlicher Sektor, Gesundheitswesen und Biowissenschaften, Handel, Industrie sowie Technologie und Software befunden.

Hauptproblem: fahrlässiges Verhalten von Mitarbeitern

• 76 Prozent der IT-Experten gäben an, dass ihre Organisation in den vergangenen zwei Jahren Daten verloren habe oder Daten gestohlen worden seien. Das sei ein deutlicher Anstieg im Vergleich zu der von Ponemon für Varonis durchgeführten Studie von 2014: Damals hätten nur 67 Prozent der IT-Experten diese Antwort gegeben.
  Laut IT-Experten sei die Gefahr, dass Insider-Konten gehackt werden, bei fahrlässigem Verhalten von Mitarbeitern mehr als doppelt so hoch wie bei anderen Risikofaktoren wie externen Angreifern, böswillig agierenden Mitarbeitern oder Lieferanten.
  Ransomware bereitet demnach 78 Prozent der IT-Experten große Sorgen. Dabei handelt es sich um eine Schadsoftware, die den Zugriff auf Dateien blockiert, bis eine bestimmte Geldsumme als „Lösegeld“ gezahlt wird. 15 Prozent der befragten Organisationen seien bereits Opfer von Ransomware geworden. Nur knapp die Hälfte davon habe den Angriff innerhalb der ersten 24 Stunden bemerkt.
• 88 Prozent der Endanwender sagten, dass sie für ihre Tätigkeit Zugriff auf geschützte Informationen wie Kundendaten, Kontaktlisten, Mitarbeiterdaten, Finanzberichte, vertrauliche Unternehmensdokumente oder andere sensible Informationen benötigten. 2014 sei diese Zahl mit 76 Prozent deutlich niedriger gewesen.
  62 Prozent der Endanwender gäben zusätzlich an, auf Unternehmensdaten zugreifen zu können, die wahrscheinlich nicht für ihre Augen bestimmt seien.
• Nur 29 Prozent der IT-Experten bestätigten, dass ihr Unternehmen das Prinzip der minimalen Rechtevergabe rigoros umsetze, um sicherzustellen, dass Insider ausschließlich auf die Unternehmensdaten zugreifen könnten, die sie wirklich benötigten.
  Lediglich 25 Prozent der Firmen überwachten sämtliche E-Mail- und Dateiaktivitäten von Mitarbeitern und Dritten. 38 Prozent überwachten diese Aktivitäten hingegen überhaupt nicht.
• 35 Prozent der Organisationen verfügten über keine durchsuchbaren Daten zu Aktivitäten im Dateisystem. Somit seien sie beispielsweise nicht in der Lage, die von Ransomware verschlüsselten Dateien herauszufinden.

Datenschutzvorfälle weiterhin auf dem Vormarsch

Trotz aller verfügbaren Technologien und der enormen Zunahme von Medienberichten über Hacking-Angriffe seien Datenschutzvorfälle weiterhin auf dem Vormarsch, erläutert Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute. Die wertvollsten Informationen, um die es in den meisten Fällen gehe, seien unstrukturierte Daten wie E-Mails und firmeninterne Dokumente. Wenn E-Mails und Dateien veröffentlicht würden, sei das zumeist ein Vorkommnis, durch den der Ruf eines Unternehmens dauerhaft geschädigt werde.
Diese Studie zeige auf, warum Hacker so großen Schaden anrichten könnten: „Zu viele Mitarbeiter können auf weitaus mehr Daten zugreifen, als das für ihre Tätigkeit erforderlich wäre. Wenn darüber hinaus Aktivitäten von Mitarbeitern, die wertvolle Daten nutzen, nicht dokumentiert oder überwacht werden, macht man es Hackern und böswillig agierenden Insidern allzu leicht, unbemerkt Daten zu stehlen“, warnt Ponemon.

Technologiewettlauf mit Hackern und bei Insider-Bedrohungen

„Wir befinden uns derzeit in einem Technologiewettlauf mit Hackern und bei Insider-Bedrohungen. Wenn Organisationen ihren Mitarbeitern allzu großzügige Zugriffsrechte erteilen und darüber hinaus Aktivitäten in ihren Systemen nicht überwachen, laufen sie quasi ins offene Messer“, sagt Yaki Faitelson, Mitgründer und CEO von Varonis.
Bei Sony Pictures, den „Panama Papers“ und dem Datenklau beim US-amerikanischen Democratic National Committee seien stets Dateien und E-Mails gestohlen worden, die nicht ausreichend vor Insider-Bedrohungen und Angreifern von außen geschützt gewesen seien, die Zugangsdaten von Insidern missbrauchten. In allen Fällen, so Faitelson, sei eine immense Rufschädigung die Folge gewesen. Die Ergebnisse ihrer Studie und die Auswirkungen dieser Sicherheitsvorfälle sollten Manager dringend aufhorchen lassen.

Weitere Informationen zum Thema:

VARONIS
Data Theft Rising Sharply, Insider Threats Cited as Leading Cause

[datensicherheit.de, 29.06.2016] Naive Mitarbeiter stellen laut einer Studie von Splunk und IDC eine größere IT-Sicherheitsbedrohung für Unternehmen dar als böswillige. Diese Studie zeigt demnach, dass die meisten europäischen Unternehmen durch Insider verursachte Sicherheitsverstöße kaum wahrnehmen, da sie nicht wissen, woran sie diese erkennen.

Europäische Unternehmen blind gegenüber Bedrohungen aus eigenen Reihen

Splunk hat gemeinsam mit IDC eine europäische Studie mit dem Titel “Detecting and Responding to the Accidental Breach: The Impact of the Hapless User” („Unbeabsichtigte Sicherheitsverstöße erkennen und mit Gegenmaßnahmen reagieren: Die Auswirkungen unbeabsichtigter Handlungen von Benutzern“) veröffentlicht.
Die von Splunk in Auftrag gegebene Erhebung zeige, dass europäische Unternehmen Bedrohungen aus den eigenen Reihen nicht wirklich begriffen. Sie seien einer der Hauptgründe für Sicherheitsverstöße und könnten sowohl von böswilligen Mitarbeitern als auch von unbedachten Nutzern stammen.

Mangelhafte Früherkennung

Acht von zehn Unternehmen verließen sich zu sehr auf Sicherheitsmaßnahmen, die auf Systemschutz ausgelegt seien. Die Technologien würden allerdings keine zu einem Sicherheitsverstoß führenden Nutzeraktivitäten erkennen. Dementsprechend könnten Unternehmen nicht reagieren.
Fast ein Drittel der Befragten nutze keine grundlegenden Methoden der Bedrohungserkennung, und weniger als ein Fünftel verlasse sich auf eine Security-Analytics-Lösung.

Falscher Gefahren-Fokus

Unbedachte Nutzer stellten eine größere Bedrohung dar als böswillige Mitarbeiter. Nur zwölf Prozent der Befragten stuften sogenannte „Insider Threats“ als sehr besorgniserregend ein. Die meisten Unternehmen sähen ein größeres Risiko in Viren (67 Prozent), hochentwickelten, andauernden Bedrohungen (Advanced Persistent Threats) (42 Prozent), Phishing-Attacken (28 Prozent) und fahrlässig handelnden Nutzern (27 Prozent).
Die meisten dieser Attacken könnten auch von einer anderen Art der unternehmensinternen Bedrohung stammen – dem „naiven“ Nutzer, dessen persönliche Zugangsdaten entwendet würden. Dadurch, dass Unternehmen diese Art von Nutzer nicht im Blick hätten, hielten sie an den falschen Stellen Ausschau nach Attacken und Datenschutzverletzungen.

Durch Insider verursachte Sicherheitsverstöße kaum erkannt

Unternehmen würden durch Insider verursachte Sicherheitsverstöße kaum erkennen. Die Umfrageteilnehmer nennen demnach drei Hürden bei der Untersuchung von Sicherheitsverletzungen im eigenen Unternehmen:

• Unwissenheit darüber, wonach Ausschau gehalten werden muss (40 Prozent),
• mangelndes Training (39 Prozent) und
• fehlende Kenntnis, was in den verschiedenen Abteilungen des

Unternehmens als „normales Nutzerverhalten“ erachtet wird (36 Prozent).
Den meisten Unternehmen fehlten die Technologien, das Verständnis und die Konzepte dafür, Sicherheitsverstöße rechtzeitig zu erkennen. Ein Großteil der europäischen Unternehmen verlasse sich noch auf für den traditionellen Netzwerk-Perimeterschutz entwickelte Technologien. Fast alle Befragten würden den Mehrwert von Firewalls (98 Prozent) und Antiviren-Software (96 Prozent) erkennen – jedoch halte es kaum jemand für nötig, diese durch „Security Analytics“ (15 Prozent) oder „User Behavior Analytics“ und Anomalieerkennung (12 Prozent) abzusichern. Damit würden sich Sicherheitsverletzungen jedoch erkennen lassen, sobald sie stattfinden. Hinzu komme, dass weniger als die Hälfte der Teilnehmer ein internes „Computer Emergency Reponse Team“ (CERT) (41 Prozent) oder ein „Security Operations Center“ (SOC) (34 Prozent) habe.

Datenschutzverletzungen unvermeidbar

Europäische Unternehmen müssten sich eine „Detect-and-Respond“-Mentalität aneignen, betont Haiyan Song, „Senior Vice President of Security Markets“ bei Splunk. Da sich Bedrohungsmuster stets änderten, sollten Sicherheitsteams datengetriebenes „Security Information and Event Management“ (SIEM) sowie maschinelles Lernen nutzen, um verdächtige und böswillige Nutzeraktivitäten frühzeitig zu identifizieren. „Mit diesen Lösungen erkennen, erforschen und reagieren Unternehmen automatisiert und angemessen auf Datenschutzverstöße“, erläutert Song. So vermieden sie einen Reputationsverlust und finanzielle Schäden durch solche Vorfälle.
Sicherheitsverstöße ließen sich auf Dauer nie ganz vermeiden – Sicherheitsexperten falle es allerdings schwer, das zu akzeptieren. Nicht umsonst verwendeten sie große Budgets dafür, Verstöße zu verhindern, so Duncan Brown, „Research Director, European Security Practice“ bei IDC. Der Großteil der Unternehmen habe in den vergangenen zwei Jahren einen Sicherheitsverstoß erlebt. Im Durchschnitt brauchten Firmen aber acht Monate, um solche Sicherheitslecks überhaupt zu erkennen. „Es ist aber wichtig, dass Unternehmen Sicherheitsverletzungen genau dann bemerken, wenn sie passieren“, unterstreicht Brown. Mit einem datengetriebenen Ansatz könnten sie Bedrohungen frühzeitig erkennen und angemessen darauf reagieren. So könnten Unternehmen mit allen Arten von Bedrohungen umgehen – vom Hacker über den Unbedachten bis hin zum böswilligen Mitarbeiter.

Weitere Informationen zum Thema:

IDC
DETECTING AND RESPONDING TO THE ACCIDENTAL BREACH: THE IMPACT OF THE HAPLESS USER

[datensicherheit.de, 23.06.2016] Die Zugangsverwaltung stellt nach Erkenntnissen des NIFIS e.V. eine der größten Sicherheitslücken dar: 60 Prozent aller Cyber-Attacken weltweit würden von Personen ausgeführt, die eine Zugriffsberechtigung zum angegriffenen IT-System besäßen.

Technische Sicherheit allein nicht ausreichend

Es genüge nicht, sich um die Technische Sicherheit zu kümmern, wenn das Gros der Angriffe von Personen komme, die technisch sozusagen dazu berechtigt seien, so der NIFIS-Vorsitzende, Rechtsanwalt Dr. Thomas Lapp.
NIFIS beruft sich dabei nach eigenen Angaben auf Zahlen aus dem Jahr 2015 des Statistik-Portals „Statista“, denen zufolge 60 Prozent der Cyber-Angriffe entweder durch Angestellte des Unternehmens oder Externe mit Systemzugriff erfolgten, also „Insider-Jobs“ seien.

70 Prozent der Industrieunternehmen in Deutschland angegriffen

In 16 Prozent aller Fälle erfolge der „Angriff“ demnach „aus Versehen“, weil derjenige seine Berechtigungen missverstehe oder schlichtweg zu Zugriffen berechtigt sei, die eigentlich für ihn gar nicht vorgesehen seien.
Wie drängend die Problematik ist, zeigt laut NIFIS eine „Statista“-Umfrage, der zufolge knapp 70 Prozent der Industrieunternehmen in Deutschland in den letzten zwei Jahren Opfer von digitalen Angriffen gewesen seien – vom Datendiebstahl bis zur digitalen Sabotage.
Weitere 20 Prozent seien „vermutlich betroffen“. Lediglich elf Prozent der Firmen seien der festen Überzeugung, nicht angegriffen worden zu sein.
Bei einem technisch berechtigten Zugriff, also in 60 Prozent aller Fälle, sei es nicht so leicht, überhaupt einen Angriff festzustellen, so Dr. Lapp und warnt vor „trügerischer Sicherheit“.

Abbildung: Statista

Interne Täter: 60 Prozent der Cyber-Attacken durch Insider