Insider Threat Report
Verizon stellt Insider Threat Report vor – Fokus auf Insiderbedrohungen
Cyberkriminalitäts-Analyse auf Bedrohungen durch Insider
Verizon hat in dieser Woche den Verizon Insider Threat Report vorgestellt. Der Report basiert auf Analysen des jährlich erscheinenden Verizon Data Breach Investigation Reports (DBIR) und fokussiert sich in der Analyse auf die Rolle von Insidern.
Der Report bietet Unternehmen eine datengestützte Sichtweise darauf, wie sich Risikopotenziale unter den Mitarbeitern identifizieren lassen. Außerdem werden reale Fallbeispiele und Strategien für Gegenmaßnahmen aufgezeigt, die Unternehmen bei der Entwicklung eines umfassenden Programms zur Bekämpfung von Insiderbedrohungen berücksichtigen sollten.
20 Prozent der im Rahmen des Verizon 2018 DBIR erfassten Cybersicherheitsvorfälle und 15 Prozent der untersuchten Datenverletzungen gingen von Personen innerhalb der Organisation aus. Finanzielle Interessen (47,8 Prozent) sowie „purer Spaß“ (23,4 Prozent) führen die Liste der Motive an. Bei diesen Angriffen wurden interne Berechtigungen verwendet, um auf Daten oder Systeme zuzugreifen. Häufig werden diese Angriffe erst Monate oder Jahre später aufgedeckt, wodurch sich beträchtliche potenzielle Auswirkungen für ein Unternehmen ergeben können.
Organisationen behandeln Insiderbedrohungen jedoch häufig als Tabuthema. Nur zögerlich werden Mitarbeiter, die zu einer Bedrohung für das Unternehmen geworden sind, als solche wahrgenommen. Auch Meldungen und Maßnahmen gegen diese Personen erfolgen zögerlich. Es scheint beinahe so, als ob Insiderbedrohungen ein blinder Fleck innerhalb von Prozessen im Management seien.
Der Verizon Insider Threat Report zielt darauf ab, diese Wahrnehmung zu ändern. Die Analyse bietet Unternehmen eine datengestützte Sichtweise darauf, wie sich Risikopotenziale unter den Mitarbeitern identifizieren lassen. Außerdem werden reale Fallbeispiele und Strategien für Gegenmaßnahmen aufgezeigt, die Unternehmen bei der Entwicklung eines umfassenden Programms zur Bekämpfung von Insiderbedrohungen berücksichtigen sollten.
Viel zu lang sind Datenschutzverletzungen und Cybersicherheitsvorfälle durch Insider beiseitegeschoben und nicht ernst genommen worden. Oft werden sie schlicht als peinlich abgetan oder als ein Problem der Personalabteilung eingestuft“, sagt Bryan Sartin, Executive Director Security Professional Services, Verizon. „Das muss sich ändern, denn Cyberbedrohungen kommen nicht nur von externen Quellen. Um Cyberkriminalität in ihrer Gesamtheit zu bekämpfen, müssen wir uns auch auf Bedrohungen konzentrieren, die innerhalb eines Unternehmens auftreten.
Merkmale einer internen Bedrohung
Besonderes Augenmerk legt der Report darauf, welchen Arten von Insiderbedrohungen ein Unternehmen ausgesetzt sein kann. Aus spezifischen Fallszenarien der von Verizon untersuchten Fälle – von Vorfallregistrierung (und -bewertung) über Reaktion und Untersuchung bis hin zu gewonnen Erkenntnissen und Gegenmaßnahmen – ließen sich fünf Insiderpersönlichkeiten identifizieren:
- Der fahrlässige Mitarbeiter kann ein Angestellter oder ein Unternehmens-Partner sein. Die Person dahinter missbraucht Ressourcen, verstößt gegen Nutzungsrichtlinien, geht in unzulässiger Weise mit Daten um, installiert nicht zugelassene Anwendungen und verwendet nicht genehmigte Behelfslösungen. Die Person verhält sich unangemessen, im Gegensatz zu einem böswilligen Vorsatz. Viele dieser Handlungen fallen in die Kategorie Schatten-IT (d. h. jenseits der Kenntnisse von IT und Management).
- Der Inside-Agent ist ein Insider, der von externen Parteien rekrutiert, angeworben oder bestochen wurde, um Daten zu filtrieren.
- Der verärgerte Mitarbeiter ist ebenfalls ein Insider, der versucht, seinem Unternehmen durch Datenvernichtung oder Unterbrechung der Geschäftstätigkeit Schaden zuzufügen.
- Der böswillige Insider: Dies sind Mitarbeiter oder Partner mit Zugängen zu Unternehmenswerten, die Berechtigungen zu Informationen zum persönlichen Vorteil nutzen.
- Die nichtsnutzigen Dritten sind Geschäftspartner, die die Sicherheit durch Fahrlässigkeit, Missbrauch oder böswilligen Zugriff auf Unternehmenswerte oder durch die Nutzung dieser gefährden.
Elf Bausteine für ein wirksames Programm zur Bekämpfung von Insiderbedrohungen
Der Bericht „Verizon Insider Threat Report“ enthält praktische Ratschläge und Gegenmaßnahmen, die Unternehmen bei der Umsetzung eines umfassenden Programms zur Bekämpfung von Insiderbedrohungen unterstützen. Eine solche Initiative sollte unbedingt auf enger Koordination sämtlicher Abteilungen aufbauen – von IT-Sicherheit über die Rechts- und Personalabteilung bis hin zu Incident-Response-Teams und digitalen Forensikern.
Zwei Faktoren sind entscheidend für den Erfolg: die Vermögenswerte präzise identifizieren zu können und zu wissen, wer Zugang zu ihnen hat. „Insiderbedrohungen zu erkennen und abzuschwächen erfordert einen anderen Ansatz als die Jagd auf externe Bedrohungen“, sagt Sartin. „Unser Ziel ist es, ein Rahmenwerk für Unternehmen bereitzustellen, um diesen Prozess proaktiver zu gestalten und die Ängste, Unsicherheiten und Unannehmlichkeiten, die diese Form der Insider-Cyberkriminalität umgeben, zu überwinden. Verizon hat tagtäglich mit Verursachern und Opfern von Cyberkriminalität zu tun. Wir informieren über reale Fälle und hoffen, dass Unternehmen die von uns empfohlenen Gegenmaßnahmen nutzen und in eigene Initiativen umsetzen.“
Diese elf Gegenmaßnahmen können Risiken reduzieren und die Reaktionsfähigkeit bei Vorfällen verbessern:
Sicherheitsstrategien und -richtlinien integrieren
Durch Integration der nachfolgend aufgeführten zehn Gegenmaßnahmen lassen sich Effizienz, Kohäsion und Kurzfristigkeit bei der Bewältigung von Insiderbedrohungen intensivieren. Ideal ist ein umfassendes Programm zur Bekämpfung von Bedrohungen durch Insider, kombiniert mit anderen vorhandenen Strategien wie Risk Management Framework, Human Resources Management und Intellectual Property Management.
Bedrohungen aufspüren
Verfeinerung von Funktionen der Bedrohungssuche wie etwa Bedrohungsaufklärung, Dark-Web-Überwachung, Verhaltensanalyse sowie EDR-Lösungen (Endpoint Detection and Response), um so verdächtige Aktivitäten bei Benutzern und Anwenderkonten innerhalb und außerhalb des Unternehmens aufzuspüren, zu überwachen, zu erkennen und zu untersuchen.
Schwachstellen-Scanning und Penetrationstests durchführen
Nutzung der Ergebnisse von Schwachstellenanalysen und Penetrationstests, um Lücken innerhalb einer Sicherheitsstrategie zu identifizieren. Unternehmen sollten herausfinden wie sich Insider-Bedrohungen möglicherweise durch das Unternehmen bewegen.
Maßnahmen zur Personalsicherheit implementieren
Kontrollen im Personalbereich (z. B. Prozesse beim Ausscheiden von Mitarbeitern), Grundsätze für einen sicheren Zugang und Schulung des Sicherheitsbewusstseins der Mitarbeiter können die Anzahl der Cybersicherheitsvorfälle im Zusammenhang mit unbefugtem Zugriff auf Unternehmenssysteme reduzieren.
Maßnahmen zur physischen Sicherheit umsetzen
Verwenden Sie Zugangskontrollen wie Identitätsausweise, Sicherheitstüren und Wachpersonal zur Einschränkung des physischen Zugangs, ebenso digitale Zugangskontrollen, beispielsweise das Durchziehen von Karten sowie Bewegungsmelder und Kameras, um Zugangsmuster und -aktivitäten zu überwachen, zu melden und aufzuzeichnen.
Netzwerksicherheitslösungen implementieren
Nutzung von Netzwerk-Perimeter- und Segment-Sicherheitslösungen wie Firewalls, Systeme zur Erkennung und Verhinderung von unbefugtem Eindringen sowie Gateways und Lösungen zur Verhinderung von Datenverlusten. So kann verdächtiger Datenverkehr, der möglicherweise eine Insider-Bedrohung bedeutet, erkannt werden und Informationen dazu analysiert werden. Dadurch können ungewöhnliche Aktivitäten außerhalb der Geschäftszeiten, auffällige Volumina ausgehender Aktivitäten sowie die Nutzung von Remote-Verbindungen leichter erkannt werden.
Lösungen für Endpunktsicherheit umsetzen
Einsatz etablierter Endpoint-Sicherheitslösungen wie z. B. wichtige Bestandsinventuren, Richtlinien für Wechselmedien, Geräteverschlüsselungs- und FIM-Tools (File Integrity Monitoring), um nutzerbezogene Aktivitäten abzuwehren, zu überwachen, zu verfolgen, zu sammeln und zu analysieren.
Maßnahmen für Datensicherheit anwenden
Eigentumsverhältnisse, Klassifizierung und Schutz von Daten sowie ihre fachgerechte Entsorgung sicherstellen, den Datenlebenszyklus verwalten und Vertraulichkeit, Integrität und Verfügbarkeit unter Berücksichtigung von Insiderbedrohungen aufrechterhalten.
Maßnahmen für Identitäts- und Zugangsmanagement anwenden
Implementierung von Identitäts-, Zugangs- und Authentifizierungs-Management, um den Zugriff auf die Unternehmensumgebung einzuschränken und diese zu schützen. Dies kann durch den Einsatz einer PAM-Lösung (Privileged Access Management) für privilegierten Zugriff noch eine Stufe weitergeführt werden.
Incident-Management einrichten
Entwicklung von Prozessen für das Incident-Management einschließlich eines Insider Threat Playbooks mit geschulten Experten zur Behandlung des Vorfalls, gestalten das Bewältigen von Insider-Bedrohungsaktivitäten effizienter und effektiver.
Digitale Forensik-Dienste aufrechterhalten
Unternehmen sollten ein Investigative Response Team bereithalten, das in der Lage ist, in heiklen und persönlichen (oder Benutzerkonto-bezogenen) Cybersicherheitsvorfällen das komplette Spektrum an tiefgreifenden Untersuchungen durchzuführen, also die Analyse von Protokollen, Dateien, Endpunkten und Netzwerkverkehr.
Über Security-Services und -Lösungen von Verizon
Verizon ist führend in der Bereitstellung globaler Managed-Security-Lösungen in den Bereichen Finanzdienstleistungen, Einzelhandel, Behörden, Technologie, Gesundheitswesen, Fertigung, Energie und Transport. Verizon verbindet leistungsfähige Informationsbeschaffung und Analytik mit einem breiten Angebot an Professional und Managed Services. Diese reichen von maßgeschneidertem Lösungen für weiterentwickelten Sicherheitsbetrieb und gemanagten Bedrohungsschutz über Überwachung und Analytik der nächsten Generation, Bedrohungsermittlungs- und -reaktionsdienste bis hin zu Vorfallsforensik und Identitätsmanagement. Verizon nutzt die solide fachliche Expertise von mehr als 550 über den Globus verteilten Beratern, um vorauseilend Sicherheitsbedrohungen zu verringern und Informationen in Organisationen besser zu schützen.