In der Cybersicherheit wird eine Bedrohung oft übersehen, die direkt aus dem Inneren der eigenen Organisation kommt: Insider Threats. Diese Gefahren, die von Mitarbeitern, Auftragnehmern oder Partnern ausgehen, sind besonders heimtückisch, weil Insider nicht nur Zugang zu sensiblen Daten haben, sondern auch das Vertrauen des Unternehmens genießen. [...]
Gerade in einer Zeit, in der Unternehmen zunehmend auf digitale Technologien und cloudbasierte Lösungen setzen, um ihre Prozesse zu optimieren und ihren Mitarbeitern flexiblere Arbeitsmöglichkeiten zu bieten, werden Insider Threats eine immer größere Cybergefahr.
Der Wandel der Arbeitswelt und seine Folgen
Die letzten Jahre haben den Arbeitsalltag grundlegend verändert. Remote- und Hybrid-Arbeitsmodelle haben sich als gängige Praxis etabliert. Mitarbeiter nutzen private Geräte für berufliche Zwecke, greifen von unterschiedlichen Standorten auf Unternehmensressourcen zu und bewegen sich in einem digitalen Ökosystem, das durch Cloud-Dienste und Software-as-a-Service (SaaS)-Plattformen geprägt ist. Während diese Entwicklungen zweifellos viele Vorteile mit sich bringen, insbesondere in Bezug auf Flexibilität und Produktivität, schaffen sie auch neue Schwachstellen, die die Sicherheitsverantwortlichen vor immense Herausforderungen stellen.
Ein Entwickler kann beispielsweise vertraulichen Quellcode in eine KI-Plattform wie ChatGPT eingeben, um Fehler zu finden. Obwohl er möglicherweise gute Absichten verfolgt und eine Effizienzsteigerung anstrebt, kann es schwerwiegende Konsequenzen nach sich ziehen, wenn diese Daten ungeschützt bleiben und potenziell von Dritten eingesehen werden können. Laut einer Untersuchung von Proofpoint bereiten gerade generative KI-Tools wie ChatGPT oder Google Bard Security-Verantwortlichen zunehmend Kopfzerbrechen, weil Nutzer immer häufiger sensible Daten in diese Anwendungen eingeben. Solche Vorfälle belegen, wie wichtig es ist, klare Richtlinien vorzugeben und Schulungen anzubieten, um Mitarbeiter für die Risiken zu sensibilisieren, die mit der Nutzung moderner Technologien verbunden sind.
Insider Threats: Mehr als böswillige Absichten
Insider Threats lassen sich grob in drei Kategorien unterteilen, die jeweils unterschiedliche Herausforderungen darstellen und unterschiedliche Ansätze zur Prävention erfordern: böswillige, fahrlässige und kompromittierte Nutzer.
Böswillige Insider handeln absichtlich und verfolgen persönliche oder finanzielle Motive, die von Rachegelüsten bis hin zum Verkauf sensibler Daten an Wettbewerber reichen können. In 15 Prozent der Fälle von Datenverlust in Deutschland waren böswillige Insider, wie Mitarbeiter oder Auftragnehmer für die Vorfälle verantwortlich. Fahrlässige Insider hingegen begehen Fehler aus Unachtsamkeit oder mangelndem Bewusstsein für IT-Sicherheit, sei es durch das versehentliche Versenden von E-Mails an falsche Empfänger oder das Hochladen von Dateien auf unsichere Plattformen. Im vergangenen Jahr erlebten Organisationen hierzulande im Durchschnitt mehr als einen Vorfall pro Monat (15 Vorfälle pro Organisation), wobei 78 Prozent angaben, dass die Hauptursache nachlässige Nutzer waren. Kompromittierte Insider schließlich sind Mitarbeiter, deren Konten durch externe Angreifer übernommen wurden, die dann die legitimen Zugriffsrechte des Mitarbeiters nutzen, um Daten zu erbeuten oder Systeme zu sabotieren.
Der Umstand, dass Insider Threats so vielfältig sind, macht es schwierig, sie mit traditionellen Sicherheitslösungen zu bekämpfen. Herkömmliche Data Loss Prevention (DLP)-Tools konzentrieren sich auf den Schutz von Daten, ohne den Kontext des Benutzerverhaltens zu berücksichtigen. Dies führt dazu, dass die IT-Security-verantwortlichen böswillige Aktionen übersehen und legitime Aktivitäten unnötig blockieren, was der Produktivität abträglich ist.
Traditionelle Ansätze reichen nicht aus
Klassische DLP-Lösungen basieren auf statischen Regeln und Richtlinien, die nicht flexibel genug sind, um mit den dynamischen Anforderungen moderner Arbeitsumgebungen Schritt zu halten. Sie erfordern detaillierte Konfigurationen, die viel Zeit und Ressourcen in Anspruch nehmen, und erzeugen dennoch häufig Fehlalarme. Laut einer Studie geben ganze 81 Prozent der befragten Sicherheitsverantwortlichen an, dass ein Fünftel ihrer Warnmeldungen falsch positiv ist. Dies führt zu einer sogenannten „Alert Fatigue“, bei der wichtige Vorfälle übersehen werden, weil die Teams mit irrelevanten Meldungen überlastet sind.
Ein weiteres Problem besteht darin, dass traditionelle DLP-Tools oft nicht alle Kanäle abdecken. In einer Zeit, in der Daten nahtlos zwischen E-Mail, Cloud-Speichern und Endgeräten übertragen werden, ist ein fragmentierter Ansatz unzureichend. Ohne eine ganzheitliche Sicht auf die Datenbewegungen und das Benutzerverhalten können Sicherheitslücken entstehen, die Angreifer ausnutzen.
Der Weg zu einem modernen Insider Threat Management
Um Insider Threats effektiv zu bekämpfen, müssen Unternehmen ihre Sicherheitsstrategien neu denken. Ein moderner Ansatz sollte auf den Menschen zugeschnitten sein und sowohl die Daten als auch das Verhalten der Benutzer in den Fokus rücken. Dies erfordert eine Kombination aus fortschrittlicher Technologie und aktiver Überwachung.
Eine moderne DLP-Lösung sollte beispielsweise in der Lage sein, nicht nur zu erkennen, welche Daten bewegt werden, sondern auch, wer sie bewegt und warum. Durch die Integration von Verhaltensanalysen können Sicherheitsteams ungewöhnliche Aktivitäten schnell identifizieren und entsprechend reagieren. Wenn ein Mitarbeiter beispielsweise plötzlich große Mengen sensibler Daten herunterlädt, kann dies ein Hinweis auf böswillige Absichten oder ein kompromittiertes Konto sein.
Darüber hinaus sollten moderne Lösungen adaptiv sein und sich an die individuellen Risiken anpassen. Ein Mitarbeiter, der Zugriff auf hochsensible Daten hat, sollte stärker überwacht werden als jemand, der nur begrenzte Berechtigungen besitzt. Ebenso sollten Maßnahmen wie Coaching und Schulungen eingesetzt werden, um fahrlässiges Verhalten zu minimieren. Denn, wie sich zeigt, ist lediglich ein Prozent der Nutzer für 88 Prozent der Datenverluste verantwortlich.
Resümee
Insider Threats sind eine der größten Herausforderungen für die Cybersicherheit moderner Unternehmen. Sie erfordern einen ganzheitlichen Ansatz, der sowohl die technischen als auch die menschlichen Aspekte berücksichtigt. Durch den Einsatz moderner, menschenzentrierter Sicherheitslösungen können Unternehmen nicht nur ihre sensiblen Daten besser schützen, sondern auch das Vertrauen ihrer Mitarbeiter und Kunden stärken. In einer zunehmend vernetzten Welt ist dies kein Luxus, sondern eine Notwendigkeit.
*Miro Mitrovic ist Area Vice President DACH bei Proofpoint.
Be the first to comment