Wie man gemäss Eset "den Wolf im Businesshemd" erkennt
Wer sich vor Cyberbedrohungen schützen will, blickt in der Regel über seine Festungsmauern nach draussen. Aber nicht alle Gefahren drohen von ausserhalb – manche lauern im eigenen Netzwerk. Wie man mit diesen umgeht, sagt Michael Schröder, Manager of Security Business Strategy bei Eset Deutschland.
Was macht Insider Threats zu einer so grossen Bedrohung?
Michael Schröder: Insider haben bereits Zugang zu den Systemen und in der Regel einen umfassenden Einblick in die internen Prozesse und Daten der Organisation. Da ihre Aktivitäten den normalen Arbeitstätigkeiten ähneln, ist es schwierig, zwischen legitimen und böswilligen Aktivitäten zu unterscheiden. So können vermeintlich kleine (un)beabsichtigte Handlungen, wie die Weitergabe von Kundendaten, Betriebsgeheimnissen oder Sicherheitsvorkehrungen, zu erheblichen Schäden führen. Insider Threats verursachen nicht nur finanzielle Verluste, sondern auch erhebliche Reputations- und Vertrauensschäden.
Wie gross ist das Risiko für Schweizer Unternehmen
Grundsätzlich handelt es sich um eine globale Herausforderung für alle Organisationen. Das Gefährdungspotenzial hängt weniger vom Standort als vielmehr vom eigenen Umgang mit den Risiken ab. Wer eine klare Strategie verfolgt, Zugriffsrechte auf sensible Daten vergibt oder proaktive Massnahmen ergreift, wie etwa Security-Awareness-Programme, Zugangskontrollen, Monitoring und regelmässige Überprüfung der Sicherheitsrichtlinien und -verfahren, ist wahrscheinlich weniger betroffen. Aber auch die beste Strategie nützt nichts, wenn sie nicht gelebt und ständig hinterfragt oder überarbeitet wird.
Wie unterscheidet man beabsichtigte von unbeabsichtigten Vorfällen? Packt man beide Fälle gleich an?
Beide Arten von Vorfällen sollten nicht gleichbehandelt werden. Die Motivation, die Mechanismen und auch die Personengruppen dahinter sind sehr unterschiedlich. Untersuchungen haben gezeigt, dass bis zu 80 Prozent der vorsätzlich herbeigeführten Sicherheitsvorfälle auf betrügerische Administratoren zurückzuführen sind. Die Abwehr geplanter Vorfälle erfordert robuste Sicherheitsmassnahmen wie Firewalls, Intrusion-Detection-Systeme, Verschlüsselung, Zugangskontrollen und Systeme zur Anomalieerkennung (EDR/MDR). Die Verhinderung unbeabsichtigter Vorfälle erfordert die Schulung und Sensibilisierung des Personals, um menschliche Fehler zu minimieren. Technische Massnahmen wie Datensicherung und die Implementierung von Sicherheitsrichtlinien können ebenfalls dazu beitragen, unbeabsichtigte Vorfälle zu verhindern. Hierzu gehört zum Beispiel auch die Kontrolle externer Medien wie USB-Sticks oder andere Geräte, die einen undokumentierten Datenabfluss erst ermöglichen.
Wie erkennt man den Wolf im Schafspelz beziehungsweise im Businesshemd?
Endpoint Detection & Response (EDR) ist eine wichtige Technologie zur Erkennung und Reaktion auf Insider-Bedrohungen. EDR-Systeme können legitime, aber auch versteckte Prozesse auf Endgeräten überwachen und Muster abnormalen Verhaltens erkennen, selbst wenn der Insider über Zugriffsrechte verfügt. EDR-Systeme erkennen ungewöhnliche Aktivitäten auf Endgeräten, wie das massenhafte Kopieren von Daten, den Zugriff auf ungewöhnliche Dateien oder den Versuch, auf sensible Ressourcen zuzugreifen, die normalerweise nicht benötigt werden. Darüber hinaus kann EDR sensible Daten auf Endpunkten identifizieren und überwachen. Dies ermöglicht die Erkennung von Datenexfiltration durch Insider.
Wie können Channelpartner ihre Kunden dabei unterstützen und sie vor Insider Threats schützen?
Fachhändler bieten ihren Kunden ausser EDR eine Reihe weiterer Möglichkeiten. Es beginnt mit einer umfassende Risikoanalyse, um die spezifischen Bedrohungen und Schwachstellen zu identifizieren. Dies kann auch dazu führen, dass der Fachhändler als Managed Service Provider die Security unterstützt oder komplett übernimmt. Ebenso bieten sich alternative Technologien wie User & Entity Behavior Analytics, Security Information & Event Management und Security Orchestration, Automation & Response an. Auch Cybersecurity-Awareness-Trainings fördern das Bewusstsein für Insider Threats und die Identifizierung verdächtigen Verhaltens. Letztlich ist eine Absicherung nach dem Zero-Trust-Security-Ansatz empfehlenswert.
Die Antworten der weiteren Teilnehmenden des Podiums
- Christopher Cantieni, Infinigate: "Das Wichtigste ist, Awareness zu schaffen."
- Marco Eggerling, Check Point: "Ein 'silver bullet' kann jedoch keine Technologie allein liefern."
- Patrick Michel, Boll Engineering: "Mitarbeitende haben per se einen ‘Pre-Trust’ und Zugriff auf schützenswerte Daten. Dies öffnet dem Missbrauch Tür und Tor."
- Cornelia Lehle, G Data: "Jährlich wird wohl jedes zehnte Unternehmen von eigenen Mitarbeitenden betrogen - absichtlich oder unabsichtlich."
- Stefan Rothenbühler, Infoguard: "Oft erstreckt sich der Zugriff im Gegensatz zu vielen externen Angriffen über längere Zeit, was die Detektion erschwert."
- Michael Unterschweiger, Trend Micro: "Gegen böswillige Insider helfen vor allem ein Rechtemanagement nach dem Least-Access-Prinzip und DLP."
- Gregor Wegberg, Oneconsult: "Eine vertrauens- und respektvolle Unternehmenskultur ist wichtiger, als viele wahrhaben möchten."