Startseite > Security > Die unterschätzte Gefahr von innen

FireEye: Schutz vor Insider Threats

Die unterschätzte Gefahr von innen

12. August 2021, 8:30 Uhr | Anna Molder

Die meisten Unternehmen fokussieren sich im Kampf gegen Cyberkriminalität auf externe Angreifer. Doch auch in den eigenen Reihen lauert eine wachsende Bedrohung. 33 Prozent aller Sicherheitsvorfälle sollen 2021 auf Insider Threats zurückgehen, prognostizieren die IT-Sicherheitsexperten von FireEye Mandiant. Jon Ford, Managing Director of Global Government Services & Insider Threat Security Solutions bei Mandiant, erklärt nachfolgend, wie sich Insider Threats äußern und gibt Tipps zur Minimierung von Risiken.

Ein legitimer Zugang ist das A und O – die Beschäftigten haben ihn, und die Angreifer wollen ihn. Das beste Sicherheitsschloss an der Tür bringt nichts, wenn der Kriminelle bereits im Haus ist. Das weiß jeder Krimi-Fan. Ähnlich verhält es sich mit Cyberangriffen, die aus den eigenen Reihen kommen. Sie sind besonders gefährlich, weil die Täter Menschen sind, denen man eigentlich vertraut. Umso besorgniserregender ist es, dass die Zahl der Insider Threats signifikant steigt. 2019 und 2020 verzeichneten die Mandiant-Teams mehr Fälle denn je, bei denen Insider geschäftskritische Systeme kompromittierten, vertrauliche Daten preisgaben oder ihre Arbeitgeber erpressten. Solche Vorfälle können erheblichen finanziellen Schaden anrichten und die Reputation gefährden.

Die meisten Insider Threats sind auf fahrlässige Angestellte zurückzuführen, die nichts Böses im Sinn haben, sondern aus Unachtsamkeit Hackern ein Einfallstor bieten. Es kommt jedoch auch zu gezielten Angriffen von Insidern. Genau wie Angriffe von externen Akteuren verlaufen diese häufig über einen längeren Zeitraum hinweg.

Längst steckt hinter Insider-Angriffen nicht mehr nur der verärgerte Ex-Angestellte, der sich an seinem ehemaligen Arbeitgeber rächen oder ihn bestehlen will. Im Grunde stellt jeder, der Zugang zu Netzwerken, System und Daten hat, ein potenzielles Risiko dar. Das kann der eigene Mitarbeitende sein, ebenso wie der Geschäfts- oder Lieferkettenpartner. Organisationen mit bedeutendem geistigem Eigentum oder Unternehmen, die fusionieren oder wichtige Veränderungen und Herausforderungen durchlaufen, tragen ein erhöhtes Risiko Opfer böswilliger Insider zu werden.

Anders als vielleicht vermutet, handeln Akteure heutzutage oft nicht alleine, sondern in Gruppen, zu denen auch IT-Administratoren und Insider-Threat-Team-Mitglieder gehören, die Warnungen und Ermittlungen verhindern. Teilweise sind Mitglieder dieser Gruppe außerhalb der Unternehmen, wie kriminelle und sogar regierungsnahe Organisationen, die technische Aktivitäten durchführen, um Datenzugang und -diebstahl zu ermöglichen.

Die Mandiant-Ermittler haben in der Praxis verschiedene Arten von Insider-Angriffen untersucht. Dabei zeichnen sich die vier Trends digitale Erpressung, Wirtschaftsspionage, Asset-Destruction und Stalking ab.

Gerade bei Erpressungsversuchen stehen Unternehmen unter enormen Druck: Sollten sie den Forderungen nachkommen oder lieber versuchen, den Insider schnellstmöglich zu identifizieren? Was, wenn das nicht rechtzeitig gelingt? Die Hauptherausforderungen für Sicherheitsteams bei einem Erpressungsversuch sind die Feststellung, ob tatsächlich Daten gestohlen sind, und die Unterscheidung zwischen einem Insider-Vorfall und einem Angriff durch eine böswillige dritte Partei. Das erfordert eine Kombination aus technischer Forensik, Threat Intelligence und traditionellen Ermittlungsmethoden.