Cybersicherheit. Keine Sache des Vertrauens.

Business Email Compromise (BEC, auch Chefmasche genannt) und Malware sind nur zwei Beispiele eines ganzen Arsenals an Taktiken für Cyberangriffe. Sie können im Unternehmen grossen Schaden anrichten, sobald sie die äusseren Sicherheitsbarrieren erst einmal überwunden haben. So überrascht es wenig, wenn sich Abwehrmechanismen oftmals primär gegen den Feind von aussen richten.

Doch auch im Unternehmen selbst existieren Cybergefahren, die zu Datenverlust, hohen Kosten und Reputationsschäden führen können. Laut einer kürzlich veröffentlichten Studie, die das Ponemon Institute gemeinsam mit ObserveIT, einem Tochterunternehmen von Proofpoint, und IBM durchgeführt hat, stieg die Anzahl von durch Insider verursachte Zwischenfälle in nur zwei Jahren um ganze 47 Prozent – mit Mehrkosten von 31 Prozent im gleichen Zeitraum.

Dabei sind die Gefahren von Innen – die sogenannten Insider Threats – keineswegs alle böswilligen Ursprungs. Auch unbedachtes und fahrlässiges Verhalten sind reale Gefahrenquellen. Beispiele dafür sind die Installation nicht autorisierter Applikationen oder die Verwendung schwacher Passwörter, die man schon seit Jahren immer wieder benutzt. So breit das Spektrum der Insider Threats ist, so schwierig ist auch die effektive Abwehr dieser Gefahrenquelle. Denn nicht nur, dass sich der «Angreifer» innerhalb der nach aussen gerichteten Abwehrmechanismen befindet; gerade im Fall böswilliger Insider verfügen diese oft über privilegierten Zugang. Darüber hinaus werden sie alles nur Erdenkliche versuchen, ihr Tun zu verschleiern, um einer Enttarnung zu entgehen. Generell lassen sich drei unterschiedliche Gefahrenquellen definieren:

Dabei können Bedrohungen durch Insider auf jeder Hierarchieebene des Unternehmens vorkommen. Sie zu enttarnen gestaltet sich umso schwieriger, je «weiter unten» die Rolle des Insiders in der Unternehmenshierarchie angesiedelt ist. Denn Nutzer mit umfassenden Privilegien werden oftmals engmaschig kontrolliert. Demgegenüber können andere Mitarbeiter, die nur Zugriff auf bestimmte sensible Daten haben, die sie für die Erledigung ihrer Aufgabe benötigen, in der Regel ohne detailliertes Monitoring schalten und walten. Hinzu kommt, dass finanzielle Anreize, die ihnen durch kriminelle Akteure in Aussicht gestellt werden, bei dieser Personengruppe vermutlich mehr Erfolg versprechen.

Während externe Angriffe vielfach bereits in den ersten Stunden oder gar Minuten entdeckt werden, dauert die Erkennung von Insider Threats oftmals sehr lange. In nur 10 Prozent aller Fälle kommt es innerhalb weniger Tage zu einer Entdeckung des Zwischenfalls; 40 Prozent hingegen bleiben laut des aktuellen Insider Threat Reports von Verizon bis zu fünf Jahre unerkannt.

So ist es für Unternehmen von extremer Bedeutung, die Gefahr eines Insider Threats zu erkennen, noch bevor es überhaupt zu einem Sicherheitsvorfall kommt. Von einer Trefferquote von 100 Prozent auszugehen wäre selbstverständlich utopisch; doch gibt es bestimmte Verhaltensauffälligkeiten, auf die Cybersicherheitsexperten in Unternehmen achten sollten.

Im Fall unabsichtlicher Bedrohungen heisst es achtsam zu sein, beispielsweise im fahrlässigen Umgang mit Sicherheitsvorgeben im Unternehmen. Dazu gehört unter anderem das Notieren von Passwörtern, die Installation ungenehmigter Anwendungen oder einer anderweitigen Umgehung von Sicherheitsvorgaben, die vielleicht auch nur aus Gründen der eigenen Bequemlichkeit erfolgen.

Böswillige Insider Bedrohungen zu erkennen ist dagegen deutlich schwieriger, da hier die Insider alles daransetzen dürften, ihre Spuren zu verwischen. Ungewöhnliche Zugriffsversuche auf interne Systeme, insbesondere wenn es hierfür keinen guten Grund gibt oder die Daten ausserhalb des Verantwortungsbereichs des Mitarbeiters liegen, sind aber ein Indiz. Auch wenn sich Arbeitszeiten plötzlich und ohne offensichtlichen Grund ändern, kann das ein Hinweis sein. Wird ein solches Verhalten von einem Mitarbeiter gezeigt, der bekanntermassen verärgert ist, so müssen alle Alarmglocken läuten.

Doch stehen Unternehmen Insider Threats nicht komplett hilflos gegenüber. Moderne Tools helfen, diese Bedrohungen zu erkennen und die Organisation davor zu schützen. Diese Werkzeuge bilden eine breit angelegte und sehr robuste Verteidigung. Ergänzt werden sollten sie durch weitere Massnahmen wie die Sensibilisierung der Mitarbeiter für Cyberbedrohungen. Denn nur durch das Zusammenspiel von geeigneten Tools, Richtlinien und Schulungen lässt sich der Bereich des Insider Threat Managements umfassend beherrschen.

So gilt es die Mitarbeiter regelmässig und kontinuierlich für Cybergefahren zu sensibilisieren, so dass die Gefahr unabsichtlicher Bedrohungen für das Unternehmen minimiert wird. Schulungsinhalte sollten sich nicht auf die gängigsten Fehler der Passwort-Vergabe beschränken, sondern auch externe Bedrohungen wie Phishing und BEC beinhalten.

Software Tools können dabei wertvolle Hilfe leisten und Hinweise über ungewöhnliche Aktivitäten liefern. Wiederholte oder ungewöhnliche Anfragen bezüglich einer Erweiterung des Systemzugriffs könnten Hinweise auf einen geplanten, potenziellen Missbrauch von Privilegien sein.

Entsprechend empfehlenswert ist das Beschränken von Rechten, was beispielsweise das Drucken oder Kopieren sensibler Daten anbelangt. Ausserdem sollte Zugriff nur für die Informationen möglich sein, die der Mitarbeiter für die Ausführung seiner Tätigkeit tatsächlich benötigt. Für Unternehmen gilt es sicherzustellen, dass die Organisation Richtlinien definiert, wie der Umgang mit privaten E-Mail-Accounts, das Speichern von Daten auf externen Speichergeräten und auch die Nutzung von eigenen Geräten (BYOD) für Unternehmenszwecke erfolgt. Diese Richtlinien müssen für alle Personen zutreffen, die auf die Systeme zugreifen, die eigenen User aber auch Drittparteien wie Lieferanten und Auftragnehmer.

Die Abwehr von Insider Threats ist eine Herausforderung. Die wichtige Schlussfolgerung muss aber lauten: Mit Wachsamkeit – der eigenen und der eines Insider-Threat-Management-Tools als Unterstützung – ist es durchaus machbar, dieser Herausforderung erfolgreich zu begegnen. Denn für umfassende Cybersicherheit reicht es nicht aus, Bedrohungen von aussen zu erkennen und unschädlich zu machen. Man muss auch wissen, wer auf die Daten des Unternehmens zugreifen kann, warum dieser Zugriff nötig ist und wie er vollzogen wird. Dies sind wesentliche Bestandteile einer umfassenden Cybersicherheitsstrategie.