5 Dinge, die bei einem Insider Threat Audit zu beachten sind

In der Welt der Informationstechnologie sind Insider-Bedrohungen einer der Hauptgründe für Sicherheitsvorfälle. Die Definition von Insider-Bedrohungen umfasst nicht nur vorsätzliche böswillige Handlungen, sondern auch versehentliche Vorfälle und Fahrlässigkeit. Laut dem Ponemon Institute’s 2022 Cost of Insider Threats Global Report sind Insider-Bedrohungsvorfälle in den letzten zwei Jahren um 44 % gestiegen, wobei die Kosten pro Vorfall um mehr als ein Drittel auf 15,38 Millionen US-Dollar gestiegen sind. Dieser Aufwärtstrend bei Insider-Bedrohungen wurde auch in den vergangenen Jahren von verschiedenen Interessengruppen beobachtet.

Um diese steigende Bedrohung der Informationssicherheit einzudämmen, müssen Unternehmen Möglichkeiten zur Vermeidung von Insider-Bedrohungen finden. Eine Möglichkeit zur Abwehr von Insider-Bedrohungen wird vom National Institute of Standards and Technology (NIST) definiert als „eine koordinierte Sammlung von Fähigkeiten, die von der Organisation autorisiert sind und dazu dienen, die unbefugte Offenlegung von Informationen zu verhindern, aufzudecken und einzuschränken“.

Außerdem sollten Organisationen auch regelmäßige Audits durchführen – sowohl intern als auch mit Hilfe von Dritten. Ansätze zur Reduzierung von Insider-Bedrohungen werden bei den meisten Compliance-Audits ebenfalls geprüft. Eine effiziente Prüfung Ihrer Sicherheitsrichtlinien zur Risikobewertung und zum Risikomanagement ist für den Unternehmenserfolg von entscheidender Bedeutung und ermöglicht es Ihnen, etwaige Schwachstellen in Ihrem Sicherheitsprogramm und Ihren Strategien zur Gefahrenabwehr zu finden.

Leitfaden zur Eindämmung von Insider-Bedrohungen

Die United States Cybersecurity and Infrastructure Security Agency (CISA.gov) veröffentlicht einen frei zugänglichen, umfassenden Leitfaden zu Insider-Bedrohungen, den Insider Threat Mitigation Guide. Die jüngste Ausgabe dieses Leitfadens wurde vor weniger als zwei Jahren veröffentlicht und enthält eine Vielzahl von Informationen und Vorschlägen, die jedem Unternehmen, unabhängig von seiner Größe oder Branche, beim Aufbau eines erfolgreichen Programms zur Abwehr von Insider-Bedrohungen helfen.

Der CISA-Leitfaden enthält Empfehlungen für Maßnahmen, die Sie in Ihrem Programm zur Gefahrenabwehr einsetzen sollten. Es ist erwähnenswert, dass Lösungen zur Vermeidung von Datenverlusten (Data Loss Prevention, DLP) als zweithäufigste Maßnahme aufgeführt werden, gleich nach Awareness Schulungen zur Sensibilisierung der Benutzer. Daher kann Data Loss Prevention als Basistechnologie angesehen werden, die Unternehmen dabei hilft, Sicherheitsvorfälle als Folge von Insider-Aktivitäten zu vermeiden.

Hier sind 5 wichtige Punkte, die im Insider Threat Mitigation Guide erwähnt werden und die Sie für ein internes Insider Threat Audit in Betracht ziehen sollten, um zu überprüfen, wie gut Ihr Insider Threat Mitigation Programm in der Praxis funktioniert, vor allem unter dem Gesichtspunkt der Data Loss Prevention.

1. Gute Praktiken sind nicht genug

   Viele Programme zur Abwehr von Insider-Bedrohungen konzentrieren sich auf das Sicherheitsbewusstsein, die Aufklärung, die Überwachung der Arbeitsbedingungen und andere Aufgaben, die in erster Linie den Personalabteilungen obliegen. Es ist eine sehr gute Annahme, dass, wenn Mitarbeiter gut geschult und gut behandelt werden, das Risiko potenzieller Insider-Bedrohungen, ob versehentlich, vorsätzlich oder durch Fahrlässigkeit verursacht, stark reduziert wird.
   Diese bewährten Praktiken sollten zwar die Grundlage zur Bekämpfung von Insider-Bedrohungen bilden, sie reichen jedoch nicht aus, um alle potenziellen Bedrohungen zu beseitigen. Auch der bestgeschulte Mitarbeiter macht Fehler. Selbst wenn Ihr gesamtes Personal sehr gut bezahlt und gut behandelt wird, kann es durch eine hohe Summe dazu verleitet werden, Geschäftsgeheimnisse zu stehlen und sie an die Konkurrenz zu verkaufen, wie im Fall AMSC/Sinovel 2011  
   Im CISA-Leitfaden heißt es: „Es sollten Praktiken und Systeme eingesetzt werden, die den Zugriff auf alle Unternehmensfunktionen beschränken oder überwachen. Diese Praktiken und Systeme wiederum begrenzen den Schaden, den ein Insider anrichten kann, unabhängig davon, ob es sich um eine beabsichtigte oder unbeabsichtigte Handlung handelt. Im Rahmen Ihrer internen Prüfung sollten Sie sicherstellen, dass alle Elemente des Programms gleichermaßen wirksam sind.

2. Prävention erfordert eine sorgfältige Überwachung

   Nicht alle Mitarbeiter stellen das Risiko dar, zu böswilligen Insidern zu werden. Nach Angaben von PricewaterhouseCoopers zeigen nur 10 % der Mitarbeiter ein störendes Verhalten. Daher besteht eines der wichtigsten Ziele bei der Vermeidung von Insider-Bedrohungen darin, Mitarbeiter mit hohem Risiko ausfindig zu machen und sicherzustellen, dass ihre Handlungen gut überwacht werden.
   Störendes Verhalten beginnt oft mit böswilligen Aktivitäten mit geringem Risiko, die ähnlichen Mustern folgen wie solche mit hohem Risiko. Wenn ein Mitarbeiter beispielsweise dazu neigt, potenziell vertrauliche Informationen per E-Mail oder über Messaging-Plattformen an Kollegen oder Geschäftspartner zu senden, sind diese Versuche zunächst vielleicht von geringer Tragweite. Dann können sie sich zu größeren Problemen ausweiten, indem sie kritische Daten an Außenstehende wie ehemalige Mitarbeiter senden. Aus diesem Grund müssen die Mechanismen, die als Teil des Schutzprogramms eingesetzt werden, die Überwachung aller Informationssysteme, auf die potenziell böswillige Insider zugreifen, und Schritte zur Verbesserung der Zugangskontrollen umfassen, um den Schutz für diejenigen zu verbessern, die ein verdächtiges Verhalten an den Tag gelegt haben.
   Bei der Prüfung von Insider-Bedrohungen sollte daher darauf geachtet werden, ob es Mechanismen zur wirksamen Überwachung von potenziell störendem Verhalten gibt, sobald dieses einsetzt, und ob von automatischen Systemen ausgegebene Warnungen zu Zugangsbeschränkungen oder verstärkter Überwachung führen.

3. Maßnahmen sollten vor der Eskalation ergriffen werden

   Wie bereits erwähnt, ist das Eskalationsmanagement ein sehr wichtiger Aspekt der Erkennung von Insider-Bedrohungen und der Sensibilisierung für Insider-Bedrohungen. Potenziell böswillige Insider, die böswillige Absichten haben, können mit Aktionen beginnen, die offensichtlich erscheinen und leicht zu blockieren sind. Sie könnten beispielsweise versuchen, das geistige Eigentum des Unternehmens auf einen USB-Stick zu kopieren oder es an ihre eigene private E-Mail zu senden. Wenn das nicht gelingt, kann er auch einfach versuchen, mit seinem privaten Mobilgerät ein Foto vom Bildschirm des Endgeräts zu machen, was sich nur schwer verhindern lässt.
   Wenn aufgrund von Benutzeraktivitäten Alarme ausgelöst werden und die IT-Sicherheitssystemadministratoren in Echtzeit darauf reagieren, könnten solche Eskalationen zu einer wirksamen Reaktion auf Vorfälle führen, indem Kameras eingesetzt und private Geräte beim Versuch, das Firmengelände zu verlassen, untersucht werden, was natürlich die Strafverfolgungsbehörden einbeziehen müsste. Damit solche Reaktionen möglich sind, bedarf es jedoch einer frühzeitigen Erkennung und eines wirksamen Alarmsystems.

4. Die Identifizierung sensibler Daten sollte automatisiert werden

   Böswillige Insider-Aktivitäten können verschiedene Formen annehmen. Im CISA-Leitfaden werden fünf Begriffe genannt: Gewalt, Spionage, Diebstahl, Sabotage und Cyberangriffe – wobei der letzte Begriff alle vier anderen umfasst, allerdings im Zusammenhang mit Computersystemen und nicht mit der physischen Sicherheit. Während es sich bei den Folgen von Gewalt und Sabotage in erster Linie um Insider-Angriffe handelt, die zu einer Unterbrechung kritischer Infrastrukturen führen, stehen sowohl Diebstahl als auch Spionage im Zusammenhang mit dem unbefugten Zugriff auf sensible Informationen.
   Je größer die Organisation ist, desto mehr unterschiedliche Informationen werden verarbeitet, und desto größer ist die Wahrscheinlichkeit, dass es sich bei einigen dieser Informationen um sensible Daten handelt. Je mehr Systeme den Mitarbeitern zur Verfügung stehen, desto größer ist die Wahrscheinlichkeit, dass sie Zugang zu sensiblen Daten haben. Selbst die gründlichsten Datenidentifizierungsprogramme können versehentlich einige sensible Daten auslassen.
   Um sicherzustellen, dass Insider-Bedrohungen nur begrenzten Zugang haben und keine sensiblen Daten stehlen können, müssen die Schutzlösungen in der Lage sein, solche Daten automatisch zu identifizieren, anstatt sich auf manuelle Tätigkeiten zu verlassen. Daher sollte bei Ihrem Audit geprüft werden, ob die zur Eindämmung von Datenverlusten eingesetzten Maßnahmen eine solche automatische Identifizierung wirksam durchführen können.

5. Mehr als Datenverlustprävention

   Obwohl Lösungen zur Verhinderung von Datenverlusten im CISA-Leitfaden als wichtigstes technologisches Instrument zur Eindämmung von Insider-Bedrohungen für IT-Systeme genannt werden, gibt es noch weitere Technologien, die empfohlen werden. Dazu gehören die Analyse des Benutzerverhaltens, die Überwachung von Mitarbeitern, das Management von Sicherheitsvorfällen und Ereignissen (SIEM), das Management von Vorfällen und Reaktionen (IRM), der Austausch von Bedrohungsdaten, die Verwaltung von privilegiertem Zugriff (PAM) und die Überwachung des Netzwerkverkehrs.
   Bei der Prüfung von Insider-Bedrohungen sollte untersucht werden, ob solche Maßnahmen auch eingesetzt werden und, falls nicht, ob die Bereiche, die von diesen Lösungen abgedeckt werden, wie z. B. Netzwerkzugang und -konnektivität, Authentifizierung und privilegierte Benutzer, durch den Einsatz verschiedener Tools, Systeme oder Verfahren geschützt sind. Vollständigkeit ist einer der wichtigsten Aspekte eines Schutzprogramms, denn es reicht schon eine kleine undichte Stelle, um das Unternehmen in Mitleidenschaft zu ziehen.