Insider Threats sind Bedrohungen, die aus dem IT-bezogenen Verhalten von Personen aus dem Inneren des Unternehmens entstehen. Zu diesen Personen gehören neben eigentlichen Mitarbeitenden (regulär angestellte Personen, Praktikanten, Verwaltungsräte) auch weitere Personen mit Zugang zu internen Systemen oder Daten wie externe Mitarbeiter, Freelancer, Lieferanten oder Partnerfirmen. Auch von Personen im Umfeld eines Mitarbeitenden können Insider Threats ausgehen, z.B. Familienmitglieder, die Apps auf dem geschäftlich genutzten Telefon verwenden oder auch Personen im Co-Working-Space, die in gewissen Momenten Zugriff auf das nicht gelockte Notebook haben könnten.

Welche Arten von Bedrohungen gibt es?

Bedrohungen von Insidern sind nicht per se auf absichtlich böswilliges Verhalten zurückzuführen. Im Gegenteil: nur 20% der Insider Incidents entstehen durch kriminelle Energie des Insiders selber. Der grösste Teil entsteht durch Nachlässigkeit, Fehler oder durch externe Attacken, bei denen die Rechte des Insiders missbraucht werden.

Absichtlich schädigendes Verhalten ist in der Regel getrieben durch kommerzielle Interessen (Diebstahl von vertraulichen Informationen und deren Verkauf), berufliche Treiber (Kundendaten entwenden, um diese beim nächsten Arbeitgeber zu verwerten) oder persönliche/emotionale Gründe (Löschen von Informationen aus Frustration).

Unter Nachlässigkeit fallen typischerweise das Nicht-Einhalten von IT-Richtlinien: der Mitarbeitende vergisst, den Bildschirm zu sperren; der Administrator hat das Default-Passwort nicht neu gesetzt oder immer wieder vergessen, einen Security-Patch einzuspielen.

Das häufigste Szenario von Insider-Bedrohung entsteht jedoch unabsichtlich durch externe Angreifer, indem interne Mitarbeitende kompromittiert werden. Die häufigsten Kanäle dafür sind Phishing-Attacken (Mail mit bösartigem Anhang oder Link), die zu Malware-Infizierung oder Credential Theft führen.

Wie schütze ich mich vor Insider Threats?

Folgende technische Massnahmen sind wichtige Bausteine für die Reduktion von Insider Bedrohungen:

    • Mitarbeiter-Trainings
      Phishing-Awareness Kampagnen und generelle «IT-Security-Hygiene» Trainings helfen, das Bewusstsein und Verhalten der Mitarbeitenden bzgl. IT-Risiken zu schärfen. Bei nicht Security-affinen Mitarbeitergruppen sind regelmässige und wiederholte Trainings sinnvoll, um Verhaltensweisen langfristig zu verankern.
    • Mehrschichtiger Malware-Schutz
      Die Erkennung von Schadsoftware auf den Arbeitsgeräten wie auch auf den Einfallskanälen (Web, Mail, portable Speichermedien) ist Pflicht in jedem Unternehmen.
    • Detection und Response
      Im Gegensatz zu klassischen Anti-Malware-Lösungen sind Detection und Response Lösungen auf dem Endpoint (EDR) oder im Netzwerk (NDR) in der Lage, verdächtige Verhaltensmuster aus ggf. verteilten Einzelevents zu erkennen und vordefinierte Massnahmen einzuleiten (z.B. Isolation des auffälligen Geräts).
    • Least Privilege
      Für das Ausführen ihrer Aufgabe sollten Mitarbeitende und die entsprechenden Software-Tools nur die dafür unbedingt nötigen Rechte hinsichtlich Privilegienstufe und Zeitdauer erhalten. Dies gilt auch für Administratoren, Entwickler und Zulieferer, die von aussen ins Firmennetzwerk gelangen.
    • Zero Trust
      Das Zero Trust Prinzip basiert darauf, dass egal aus welchem Netzwerk ein Gerät oder User agiert, diese als nicht vertrauenswürdig eingestuft werden. Für Netzwerk oder Applikations-Zugriffe sind explizit Authentisierung und Autorisierungen nötig.
    • MFA
      Sichere Mehrfach-Authentisierung, welche neben Benutzername und Passwort einen (oder mehrere) weitere Faktoren zur Anmeldung verlangen, verhindern das Risiko von Credential Theft deutlich.
    • Monitoring/Logs
      Die regelmässige automatische Analyse der Logs von geschäftskritischen Applikationen oder Datenspeichern mit sensitiven Informationen können als aufdeckende Massnahme verdächtige Verhaltensweisen identifizieren.

 

Die Umsetzung und Priorisierung dieser Massnahmen geschieht am besten basierend auf einer vorgängigen Analyse und Modellierung der Firmen-spezifischen Insider-Risiken. Häufig können bereits sehr einfache Modelle (z.B. basierend auf Akteuren, deren Motive, möglichen Handlungen und Ziele) gute Entscheidungsgrundlagen liefern.