Insider-Bedrohungen werden unterschätzt

Gefahr von Innen: Imperva, Inc., hat eine neue Studie vorgestellt. Daraus geht hervor, dass Unternehmen in einer Zeit, in der das Risiko am größten ist, daran scheitern, das Problem von Insider-Bedrohungen anzugehen.

Die von Imperva in Auftrag gegebene und von Forrester durchgeführte Studie hat ergeben, dass die Mehrheit der Sicherheitsvorfälle (59 %), die sich in Unternehmen in der EMEA-Region in den letzten zwölf Monaten negativ auf sensible Daten ausgewirkt haben, durch Insider-Bedrohungen verursacht worden sind. Dennoch räumen die meisten (59 %) diesen nicht die gleiche Priorität ein wie Gefahren von außen. Obwohl Bedrohungen durch Insider häufiger vorkommen als durch Externe, wird weniger investiert, um sie zu stoppen.

Dieses Vorgehen steht im Widerspruch zur aktuellen Bedrohungslage, in der das Risiko durch böswillige Insider höher ist als jemals zuvor. Die rasche Umstellung auf Telearbeit hat dazu geführt, dass sich viele Mitarbeitende außerhalb der typischen Sicherheitssysteme von Unternehmen befinden, was es erschwert, Insider-Bedrohungen zu erkennen und zu verhindern. Darüber hinaus schafft „The Great Resignation“ – die große Kündigungswelle, die hauptsächlich die USA betrifft, aber auch in anderen Märkten auftritt – ein Klima, in dem ein höheres Risiko besteht, dass Mitarbeitende Daten entwenden. Personen könnten Informationen absichtlich stehlen, um sich selbst bei einer zukünftigen Beschäftigung zu helfen, weil sie verärgert sind und sich rächen wollen. Ein unvorsichtiger Mitarbeiter könnte wichtige Informationen aber auch unbeabsichtigt entwenden, wenn er das Unternehmen mit ihnen verlässt.

Doch warum räumen Unternehmen Insider-Bedrohungen keine Priorität ein? Die Mehrheit der Befragten macht fehlendes Budget (39 %) und mangelndes internes Fachwissen (38 %) dafür verantwortlich, aber es gibt noch weitere Probleme. Fast ein Drittel (29 %) der Unternehmen nimmt Insider nicht als ernsthafte Bedrohung wahr, und 33 Prozent geben an, dass ihre Gleichgültigkeit gegenüber Insider-Bedrohungen auf interne Hindernisse wie fehlende Unterstützung durch die Geschäftsleitung zurückzuführen ist. Tatsächlich verfügen fast drei Viertel (70 %) der Unternehmen über keine Strategie oder Richtlinie für das Management von Insider-Risiken, und die Mehrheit (58 %) verfügt über kein spezialisiertes Team für Insider-Bedrohungen.

Die Ergebnisse zeigen, dass Unternehmen das Ausmaß von Insider-Bedrohungen in erheblichem Maße unterschätzen. Eine frühere Analyse von Imperva zu den größten Datenschutzverletzungen der vergangenen fünf Jahre hat ergeben, dass ein Viertel (24 %) davon durch menschliches Versagen (definiert als versehentliche oder böswillige Verwendung von Zugangsdaten für Betrug, Diebstahl, Lösegelderpressung oder Datenverlust) oder kompromittierte Zugangsdaten verursacht wurden.

„Trotz erhöhter Investitionen in die Cybersicherheit konzentrieren sich Unternehmen mehr auf den Schutz vor externen Bedrohungen als auf die Risiken, die im eigenen Netzwerk lauern könnten“, sagt Kai Zobel, Area Vice President EMEA Central von Imperva. „Insider-Bedrohungen sind schwer zu erkennen, weil interne Nutzer legitimen Zugang zu kritischen Systemen haben, was sie für herkömmliche Sicherheitslösungen wie Firewalls und Intrusion Detection Systeme unsichtbar macht. Die mangelnde Übersicht über Insider-Bedrohungen stellt ein erhebliches Risiko für die Sicherheit der Unternehmensdaten dar.“

Die wichtigsten Strategien, die Unternehmen in der EMEA-Region derzeit zum Schutz vor Insider-Bedrohungen und der unbefugten Nutzung von Zugangsdaten einsetzen, sind die regelmäßige manuelle Prüfung/Überwachung der Mitarbeiteraktivitäten (50 %) und Verschlüsselung (47 %). Viele schulen ihre Mitarbeiter auch, um sicherzustellen, dass sie die Richtlinien zum Datenschutz und zur Vermeidung von Datenverlusten einhalten (65 %). Trotz dieser Bemühungen kommt es immer noch zu Sicherheitsverstößen und anderen Datenschutzverletzungen, und mehr als die Hälfte (56 %) der Befragten gab an, dass Endnutzer Wege gefunden haben, ihre Datenschutzrichtlinien zu umgehen.

„Es ist zwingend erforderlich, dass Unternehmen Insider-Risiken in ihre allgemeine Datenschutzstrategie aufnehmen. Ein effektives System zur Erkennung von Insider-Bedrohungen muss vielschichtig sein und mehrere Lösungen kombinieren, um nicht nur das Verhalten von Insidern zu überwachen, sondern auch die große Anzahl von Warnmeldungen zu sichten und Fehlalarme herauszufiltern. Da der Schutz des geistigen Eigentums eines Unternehmens auf der Datenschicht beginnt, muss ein umfassender Datenschutzplan auch ein Sicherheitstool enthalten, das die Datenschicht schützt“, sagt Kai Zobel, Area Vice President EMEA Central von Imperva.

Unternehmen, die sich besser gegen Insider-Bedrohungen schützen wollen, sollten folgende Maßnahmen ergreifen:

• Die Zustimmung aller Interessensgruppen zur Investition in ein Insider-Risikoprogramm gewinnen: Das Insider-Risiko ist ein von Menschen ausgehendes Problem, kein technologisches Problem, und muss als solches behandelt werden. Außerdem ist es ein Risiko, das alle Bereiche des Unternehmens betrifft. Daher ist es für den Erfolg des Insider-Risiko-Programms wichtig, dass es von Führungskräften aus dem gesamten Unternehmen befürwortet und unterstützt wird. Deshalb ist es sinnvoll, an der Spitze damit zu beginnen, Zustimmung und Unterstützung zu gewinnen, und dann Führungskräfte aus der Personalabteilung, der Rechtsabteilung, der IT-Abteilung und anderen Bereichen des Unternehmens einzubeziehen.
• Für den Umgang mit Insider-Risiken Zero-Trust-Prinzipien befolgen: Ein Zero-Trust-Ansatz trägt zum Schutz von Daten und Anwendern bei und schränkt die Möglichkeiten von Insidern ein, sensible Ressourcen zu nutzen, die für ihre Funktion nicht erforderlich sind.
• Eine spezielle Stelle für den Umgang mit Insider-Risiken einrichten: Da die Insider-Bedrohung ein menschliches Phänomen und von Natur aus sehr sensibel ist, sind dafür spezielle Ressourcen erforderlich. Diese können in das Sicherheitsteam integriert sein oder, besser noch, eine eigene dedizierte Abteilung sein. In jedem Fall benötigt dieses Team ein spezielles Mandat für Insider-Risiken und Schulungen, um Insider-Bedrohungen zu erkennen und darauf zu reagieren.
• Prozesse für das Insider-Risiko-Programm schaffen und befolgen: Die Brisanz von Insider-Risiken und die damit verbundenen Datenschutzbedenken erfordern, dass strenge Richtlinien eingeführt und befolgt werden. Jede Überprüfung ist so zu behandeln, als ob sie vor Gericht enden würde, und die Richtlinien sind konsequent anzuwenden.
• Eine umfassende Datensicherheitslösung implementieren: Eine vollständige Lösung geht über DLP (Data Loss Prevention) hinaus und bietet Monitoring, fortschrittliche Analysen und automatische Reaktionen, um unbefugten, versehentlichen oder böswilligen Datenzugriff zu verhindern. Die eingesetzten Technologien sollten die geschaffenen Prozesse und den Auftrag der Abteilung für Insider-Risiken unterstützen. So kann das Unternehmen Kosten sparen und das Risiko von geschäftsschädigenden Sicherheitsvorfällen senken.

Untersuchungsmethodik

Forrester hat im September 2021 eine Online-Umfrage unter 464 Sicherheits-/IT-Fachleuten durchgeführt, die in Unternehmen in APAC (Asien-Pazifik), EMEA (Europa, Naher Osten, Afrika) und Nordamerika für die Verwaltung von Insider-Bedrohungen beziehungsweise die Reaktion darauf zuständig sind. 153 Befragte waren in EMEA ansässig.