Laut einer Umfrage von Forrester Research waren Insider für fast die Hälfte aller Datenschutzverletzungen im vergangenen Jahr verantwortlich, unabhängig davon, ob diese absichtlich oder durch Missbrauch verursacht wurden. Von den befragten Unternehmen waren 46 % von Vorfällen betroffen, in die Mitarbeiter oder externe Geschäftspartner verwickelt waren.
Im Rahmen des Nationalen Monats zur Sensibilisierung für Insider-Bedrohungen haben wir böswillige und fahrlässige Insider sowie den Unterschied zwischen einer Insider-Bedrohung und einem Whistleblower definiert. Sie werden feststellen, dass der entscheidende Faktor in allen Fällen die Absicht ist. Dies hilft zwar bei der Abgrenzung zwischen den verschiedenen Arten von Insider-Bedrohungen, doch die Folgen können verheerend sein.
Accenture und das Ponemon Institute haben eine gemeinsame Studie veröffentlicht, aus der hervorgeht, dass die Kosten für Insider-Bedrohungen stetig steigen. Laut einer Studie des Ponemon Institute aus dem Jahr 2018 liegen sie derzeit bei 1.621.075 US-Dollar pro Vorfall, wobei einige Fälle sogar 8,76 Millionen US-Dollar pro Jahr erreichen.
Risikofaktoren durch Insider-Bedrohungen
Warum steigt die Zahl der Insider-Bedrohungen? Ein Grund ist das häufige Job-Hopping. Die Zeiten, in denen Arbeitnehmer ihre gesamte Karriere bei einem Unternehmen verbrachten, sind vorbei. Mangelnde Loyalität gegenüber dem Arbeitgeber und höhere Wechselraten erhöhen das Risiko des Diebstahls von geistigem Eigentum und vertraulichen Informationen. Eine beträchtliche Mehrheit aller Büroangestellten nimmt Daten mit, wenn sie den Arbeitsplatz wechseln. Neben der höheren Wahrscheinlichkeit der Datenexfiltration ist auch der eigentliche Datendiebstahl viel einfacher geworden. Dank COVID-19 arbeiten die Mitarbeiter von heute von zu Hause aus und können auf Unternehmensdaten zugreifen, wo auch immer sie sich gerade befinden.
Die Zunahme der Fernarbeit aufgrund von COVID-19, mit der die Sicherheit der Mitarbeiter gewährleistet und die Produktivität aufrechterhalten werden sollte, erwies sich als Bedrohung für die Cybersicherheit. Neben der Infizierung des Unternehmensnetzwerks mit Malware erleichtert die Nutzung privater Geräte für geschäftliche Zwecke auch das Kopieren von Unternehmensdaten. Wenn ein Mitarbeiter beschließt zu kündigen, verbleiben Kopien von Unternehmensdaten oft auf externen Laufwerken und Geräten, was bedeutet, dass der Datenverlust oft unbeabsichtigt und ohne erkennbare Exfiltration erfolgt.
Der Fall Michael Mitchell ist ein hervorragendes Beispiel dafür. Der ehemalige DuPont-Ingenieur speicherte während seiner Tätigkeit für das Unternehmen zahlreiche DuPont-Computerdateien mit vertraulichen und geschützten Informationen auf seinem Heimcomputer. Nach seiner Kündigung blieben diese Dateien auf seinem Heimcomputer, ohne entdeckt zu werden. Als Mitchell Beratungsverträge mit einem koreanischen Konkurrenten abschloss, stellte er diesem die Daten zur Verfügung, was DuPont Verluste in Millionenhöhe einbrachte. Viele Fälle, darunter auch der Fall Mitchell, hätten verhindert oder zumindest eingeschränkt werden können, wenn die Entdeckungs- und Reaktionszeiten verkürzt und die Unternehmensrichtlinien auf dem neuesten Stand wären.
Wie man auf Insider-Bedrohungen reagiert
Der erste Schritt einer angemessenen Reaktion auf eine Insider-Bedrohung besteht darin, das Bewusstsein für das Problem zu schärfen. Während einige Fälle zu Hollywood-Blockbustern werden, wie z. B. Breach nach Robert P. Hanssen, kommen Insider-Bedrohungen überall vor. Die Zuständigkeiten für die Erkennung, das Eingreifen und die Vorbeugung von Insider-Bedrohungen werden häufig zwischen den Abteilungen für Informationssicherheit, Recht und Personal (HR) aufgeteilt. Eine klare Definition von Maßnahmen und Zuständigkeiten ist für die Umsetzung eines effektiven Insider-Bedrohungsprogramms von entscheidender Bedeutung.
Eine wichtige Frage, die es zu beantworten gilt, lautet: "Wenn ein Insider Ihrem Unternehmen Schaden zufügen wollte, was würde er angreifen und welchen Schaden könnte er anrichten?" Definieren Sie die kritischen Werte, die geschützt werden müssen, sowie die Toleranz Ihres Unternehmens für Verluste oder Schäden, wenn diese nach außen dringen.
Um einer solchen Bedrohung vorzubeugen, sollten Sie sich fragen, welche Verhaltensweisen in den verschiedenen Abteilungen des Unternehmens erkannt und gestoppt werden können, bevor wichtige Vermögenswerte gestohlen oder beschädigt werden.
Auf welche Verhaltensweisen sollten Sie achten?
Beispiele für Vorläuferstoffe sind:
- Missbrauch von Computerressourcen, z. B. eine große Anzahl von Downloads oder Ausdrucken
- HR-Berichte über feindseliges Verhalten am Arbeitsplatz
- Informationen über laufende rechtliche Ermittlungen gegen Mitarbeiter
Am wichtigsten ist, dass Sie in der Lage sind, die Punkte miteinander zu verbinden, indem Sie Vorläufer aus verschiedenen Abteilungen miteinander in Beziehung setzen, um Einblicke in Trends hinsichtlich der größten Risiken für Ihr Unternehmen zu erhalten.
Vectra Cognito ist eine Netzwerkerkennungs- und Reaktionsplattform, die künstliche Intelligenz einsetzt, um das Verhalten von Angreifern in der gesamten Angriffskette zu erkennen, einschließlich der Phasen, in denen ein Insider typischerweise entdeckt wird: Command & Control Erkundung und Aufklärung. Wenn Sie sehen möchten, wie das geht, vereinbaren Sie hier einen Termin für eine Demo.