Podium Insider Threats

Wie man gemäss Infinigate "den Wolf im Businesshemd" erkennt

Uhr
von Coen Kaat

Wer sich vor Cyberbedrohungen schützen will, blickt in der Regel über seine Festungsmauern nach draussen. Aber nicht alle ­Gefahren ­drohen von ausserhalb - manche lauern im eigenen Netzwerk. Wie man mit diesen umgeht, sagt Christopher Cantieni, Head of ­Technical Services bei ­Infinigate Schweiz.

Christopher Cantieni, Head of ­Technical Services bei ­Infinigate Schweiz. (Source: zVg)
Christopher Cantieni, Head of ­Technical Services bei ­Infinigate Schweiz. (Source: zVg)

Was macht Insider Threats zu einer so grossen Bedrohung?

Christopher Cantieni: Ein Insider ist in den meisten Fällen keine Person mit bösen Absichten, die sich Zugang zu einem Unternehmen verschafft, sondern Mitarbeitende, die bereits Zugang zum Unternehmen haben. Aufgrund einer Unachtsamkeit werden unbewusst vertrauliche Informa­tionen preisgegeben oder ein Mitarbeiter wird Opfer eines Social-Engineering-Angriffs. Solche Angriffe bleiben meist über längere Zeit unbemerkt, da der Mitarbeiter es entweder selbst nicht bemerkt oder Angst hat, den Vorfall zu melden. Zeit ist bei Cyberangriffen ein kritischer Faktor. Je länger ein Angriff unbemerkt bleibt, desto grösser ist der Schaden.

Wie gross ist das Risiko für Schweizer Unternehmen?

Das kann man so nicht generell beantworten. Die Schweiz ist jedoch ein KMU-Land, und die Erfahrungen zeigen, dass KMUs weniger als Grossunternehmen gewillt sind, Geld für IT-Security und die Sensibilisierung ihrer Mitarbeitenden auszugeben. Somit lässt sich annehmen, dass das Risiko für Schweizer Unternehmen relativ hoch ist.

Wie unterscheidet man beabsichtigte von unbeabsichtigten Vor­fällen? Packt man beide Fälle gleich an?

Wie gesagt, geschehen die meisten Vorfälle unbeabsichtigt. Also sprechen wir eigentlich von einem Unfall, den man nicht oder nur schwer voraussehen kann. Beabsichtigte Vorfälle können mit den entsprechenden Monitoring-Tools und EDR-Lösungen frühzeitig erkannt und auch verhindert werden. Die Mitarbeitenden sind das wichtigste Werkzeug im Kampf gegen Cyberbedrohungen. Ein geschulter und sensibilisierter Mitarbeiter kann einen Phishing-Angriff erkennen und richtig reagieren. So wird ein unbeabsichtigter Vorfall zu einer beabsichtigten Abwehr.

Wie erkennt man den Wolf im Schafspelz beziehungsweise im Businesshemd?

Wenn wir hier auch wieder von einem geplanten Angriff oder einem unbeabsichtigten Unfall ausgehen, haben wir verschiedene Möglichkeiten. Ein unachtsamer Benutzer oder eine Mitarbeiterin, die fahrlässig handelt, wird auf Phishing-Kampagnen hereinfallen und auch in den Reports auftauchen, da die Person vermutlich einige Alarme ausgelöst hat. Dort ist es Aufgabe des Unternehmens, proaktiv auf die Person zuzugehen, sie auf ihr Verhalten aufmerksam zu machen und gegebenenfalls in eine Awareness-Schulung zu schicken. Ein geplanter Angriff wird schwieriger zu erkennen sein. Ein Insider stellt eventuell Fragen über Geschäftsprozesse und versucht im Gespräch mit anderen Mitarbeitenden, Informationen einzuholen, die ausserhalb seiner Kompetenz liegen.

Wie können Channelpartner ihre Kunden dabei unterstützen und sie vor Insider Threats schützen?

Das Wichtigste ist, Awareness zu schaffen. Die Technik der IT-Security-Lösungen tut, was sie muss, und sie tut dies auch gut. Das grösste Risiko ist der Mensch. Weitere Möglichkeiten, um es einem Angreifer zu erschweren, ist etwa Zero Trust: Kenne ich wirklich alle Assets in meinem Netzwerk? Dann die Zugriffsrechte regelmässig zu überprüfen. Hat der Mitarbeiter wirklich nur auf das Zugriff, was er für seine tägliche Arbeit benötigt? Monitoring und Alarmierung und der Einsatz von EDR- oder MDR-Lösungen, bei denen eine automatische Remediation durchgeführt wird, sind ebenfalls empfehlenswert. Bei Infinigate bieten wir für unsere Partner und deren Kunden unsere IT-Security-Awareness-Kurse an, um Mitarbeitende auf den neuesten Cybersecurity-Stand zu bringen und somit derartige Risiken zu minimieren.

Die Antworten der weiteren Teilnehmenden des Podiums

    Webcode
    waaCpsyv