Als sei es nicht Herausforderung genug, sich gegen Cyberangriffe jedweder Art zu verteidigen, müssen Unternehmen mittlerweile auch um Gefahren aus den eigenen Reihen fürchten. Immer häufiger hört man von „Insider Threats“ und abtrünnigen Mitarbeitern, die sensible Firmeninformationen gegen Geld veräußern.
IT-verantwortlich zu sein, ist derzeit nicht der leichteste Beruf. Überall hört man von einer „sich ständig verschärfenden Sicherheitslage“ und dass Unternehmen sich in alle Richtungen gegen jede erdenkliche Bedrohung absichern müssen. Wenn neben der stetigen Warnung vor externen Angriffen und dem Gebot von Zero-Trust-Prinzipien auch noch der Mahnruf vor internen Bedrohungen hinzukommt, kann man sich als CISO durchaus fragen, wem man überhaupt noch vertrauen soll.
Sogenannte Insider-Threats sind ein reales Problem für Firmen aller Art und Größe. Ein aktuelles Beispiel ist der E-Autoproduzent Tesla: In der Gigafactory Berlin-Brandenburg gelangten im vergangenen Jahr über 100 Gigabyte an sensiblen Daten und Gehaltsinformationen von zehntausenden Beschäftigten in ganz Europa sowie Berichte über Fehlfunktionen und Probleme der Produkte an die Öffentlichkeit – im Verdacht standen zwei ehemalige Mitarbeiter Teslas. Zwar taten sie dies nicht, um sich an den Daten zu bereichern, sondern um auf Missstände und Sicherheitsprobleme innerhalb des Unternehmens hinzuweisen. Trotzdem handelt es sich beim Whistleblowing um eine Datenschutzverletzung, bei der die Informationen der Mitarbeiter auch für Identitätsraub oder Schlimmeres hätten missbraucht werden können.
Datenlecks sind existenzbedrohend, aber vermeidbar
Derartige Fälle stehen immer in Zusammenhang mit bestehenden Sicherheitsvorkehrungen und können durch die engmaschige Verwaltung von Zugriffsrechten verhindert werden. Andernfalls reicht ein verprellter Angestellter mit einem Hauch krimineller Energie und der Bereitschaft, sensible Informationen oder seine Zugangsdaten an Cyber-Kriminelle zu veräußern, aus, um Firmengeheimnisse, Kundendaten und womöglich die Existenz des gesamten Unternehmens zu gefährden. Zu allem Übel gehört zu den Strategien der Drahtzieher auch das Anwerben von Komplizen im Darknet. Im Austausch für sensible Login-Daten bieten sie abtrünnigen oder leichtfertigen Angestellten hohe Geldsummen an.
Der Gefahren nicht genug, können Datenlecks zudem unsagbar teuer werden. Es besteht nicht nur das Risiko einer Infiltration des Unternehmensnetzwerks und einem anschließenden Ransomware-Angriff samt horrender Lösegeldforderungen. Bei Datenschutzverletzungen schaltet sich obendrein auch der Gesetzgeber ein. Denn den Behörden ist es egal, ob ein Innentäter, ein unachtsamer Mitarbeiter oder ein sonstiges Datenleck für den Schaden verantwortlich ist: Wer Daten verliert, wird zur Kasse gebeten. Das kann Unternehmen gemäß der EU DS-GVO bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes kosten. Auch das Bundesamt für Verfassungsschutz warnt deshalb explizit vor der Bedrohung durch Innentäter.
Hier gilt es, nicht den Mut zu verlieren und sich der Gefahr von Innentätern, die digitale Identitäten für den Missbrauch der Zugriffsrechte kapern wollen, zu stellen und dabei differenziert vorzugehen, denn: Nicht jede Insider-Bedrohung ist das Ergebnis vorsätzlicher, böswilliger Handlungen und nicht jeder Mitarbeiter, der einen Fehltritt begeht, ist direkt ein Täter. Oft sind es unbeabsichtigte Fehler oder Unkenntnis, die Zwischenfälle verursachen. Lösungen für dieses Problem erfordern dabei nicht nur technische, sondern auch zwischenmenschliche Ansätze.
Um möglichst viele Szenarien abzudecken, sind die folgenden Maßnahmen empfehlenswert:
1. Role-based Access Control (RBAC)
Ein Kernstück des Identitäts-Managements: Mitarbeiter erhalten beim Antrifft ihres neuen Jobs oder einer neuen Position automatisiert die Zugriffsrechte, die sie basierend auf ihrer Rolle und Tätigkeit im Unternehmen benötigen. So wird sichergestellt, dass alle Angestellten und Führungskräfte nur auf die Informationen und Systeme zugreifen können, die sie für ihre Arbeit benötigen. Indem man die Menge an Zugriffsrechten der Mitarbeiter rollenbasiert auf das Notwendige reduziert, wird im Falle eines unbefugten Zugriffs die Bewegungsfreiheit – der sogenannte Blast-Radius – des Angreifers wesentlich eingeschränkt. Das schränkt abtrünnige Mitarbeiter in jedem Szenario ein – egal, ob sie ihre Zugangsdaten innerhalb oder außerhalb des Unternehmens zu missbrauchen versuchen. KI-gestützte Lösungen können RBAC-Systeme obendrein mit intelligenter, kontextbasierter Zuweisung und Automatisierung in neue Höhen treiben und effizient verwalten.
2. Privileged Access Management (PAM)
Ähnlich der RBAC hilft PAM dabei, den Zugriff auf kritische Systeme und Daten zu kontrollieren. Durch die Vergabe, Verwaltung und Überwachung von privilegierten Berechtigungen wird sichergestellt, dass nur autorisierte Personen, wie CEOs, Entwickler und Netzwerkadministratoren, Zugriff auf hochsensible Informationen haben. Mit PAM und RBAC lässt sich außerdem umgehend feststellen, ob die Zugriffsrechte mehrerer Benutzer plötzlich erweitert wurden – beispielweise, weil ein Hacker mit einem gestohlenen Benutzerkonto auch seinen Komplizen Zugriff auf das Netzwerk der Zielorganisation verschaffen will.
3. Joiner-Mover-Leaver-Systeme
Dieses System steuert den Lebenszyklus von Mitarbeiteridentitäten im Unternehmen. Es gewährleistet, dass Zugriffsrechte bei Eintritt, Versetzung oder Ausscheiden eines Mitarbeiters entsprechend angepasst werden, um unnötige Sicherheitsrisiken zu vermeiden. Der Clou: Man schützt sich, wie auch bei RBAC und PAM, sowohl vor externen als auch vor internen Angriffen. Zum einen werden sogenannte Verwaiste Konten vermieden. Das sind Benutzerkonten, die eigentlich keinem Mitarbeiter mehr zugeordnet werden, aber durch das Raster fallen und immer noch mit Zugriffsrechten ausgestattet sind, manchmal hochrangigen. Solche sind unter Hackern beliebt, weil sie dann mit einem gut ausgestatteten, legitimen Benutzerkonto unter dem Radar der IT-Abwehr fliegen können.
Lösungen für Identity Governance and Administration (IGA) automatisieren die daher wichtigen Anpassungen und liefern obendrein besagte RBAC- und PAM-Funktionen, die Compliance gewährleisten und IT-Teams entlasten. Zum anderen wird so der Fall vermieden, dass ein verärgerter Mitarbeiter nach Ausscheiden aus dem Unternehmen seine Zugangsdaten zum Schaden des alten Arbeitgebers missbrauchen oder diese sogar im Darknet lukrativ an organisierte Kriminelle verkaufen kann.
4. Black- und Whitelisting von Software
Durch das Festlegen von genehmigter (Whitelist) und unerwünschter (Blacklist) Software wird die Wahrscheinlichkeit verringert, dass Malware eingeschleust oder unerlaubte Anwendungen im Unternehmensnetzwerk verwendet werden. So wird sogenannter Schatten-IT und der unkontrollierten Erstellung von Nutzerkonten ein Riegel vorgeschoben. Dennoch sollten die Mitarbeiter dazu eingeladen werden, Vorschläge für die Beschaffung neuer Tools vorzubringen, um ihre tägliche Arbeit zu erleichtern. Wer die eigene Belegschaft zudem sensibilisiert, dass eigenmächtig heruntergeladene Software einen Schadcode enthalten könnte, der verhindert unbeabsichtigte Innentäterschaft.
5. Schulungen und Workshops
Um Gefahren im Keim zu ersticken, muss man sie kennen und erkennen können. Die Taktiken Cyber-Krimineller werden so schnell weiterentwickelt, dass man von keinem Angestellten verlangen kann, stets über die jüngsten Maschen im Bilde zu sein. Phishing-Mails sind nicht zuletzt durch die Möglichkeiten von GenKI mittlerweile solch authentische Imitate von E-Mails vertrauenswürdiger großer Marken geworden, dass man sehr leicht versehentlich auf einen verseuchten Link klickt und so aus Versehen zum Hacker-Komplizen wird. Regelmäßige Fortbildungen zu modernen Phishing-und Social-Engineering-Methoden, wie Voice-Phishing per KI-Nachbildung von Stimmen, und der Erkennung von Bedrohungsindikatoren stärken das Bewusstsein der Mitarbeiter für diese Risiken und lehren sie, diese zu erkennen. Sie sind dazu eine nützliche Teambuilding-Maßnahme, die das Vertrauen der Mitarbeiter untereinander stärken kann.
6. Überwachung der Benutzeraktivität und Zero Trust
Der Zero-Trust-Ansatz ist zum fundamentalen Grundprinzip jeder modernen IT-Sicherheitslösung geworden und das mit gutem Grund: Er ist nämlich die Antithese zu jeder Art von Zugangsmissbrauch. ‘Vertraue niemandem und wenn, dann erst nach ausreichender Prüfung’, so lautet die Devise. Dabei kann es jedoch schwierig sein, gewöhnliches von verdächtigem Nutzungsverhalten zu unterscheiden. Die Überwachung von Login-Verhalten und die Nutzung von IAM-Systemen (Identity Access Management) und Multi-Faktor-Authentifizierung (MFA) sind daher entscheidend, um ungewöhnliche oder unbefugte Zugriffsversuche frühzeitig zu erkennen. Solche Systeme tragen dazu bei, Insider-Bedrohungen zu identifizieren, bevor sie Schaden anrichten können und verkleinern die Angriffsfläche jeder Organisation enorm.
7. Mitarbeiter-Wohlbefinden
Ein oft übersehener Aspekt der Sicherheitskultur ist das Wohlbefinden der Mitarbeiter. Regelmäßige Check-ins und das Vermitteln des Gefühls, dass ihre Meinungen und Bedenken ernst genommen werden, können dazu beitragen, das Risiko zu verringern, dass Mitarbeiter wissentlich oder unwissentlich zu einer Insider-Bedrohung werden. Gleichzeitig erhöhen das die Motivation in der Belegschaft, Sicherheitsmaßnahmen ernst zu nehmen, und vorsichtig zu sein, um sich selbst und ihr Arbeitsumfeld zu schützen. Auch innerbetriebliche Konflikte zwischen dem Personal können ausschlaggebend für Sabotage-Akte sein. Diese durch offene Kommunikation, Mediation und Schlichtung zu unterbinden, hilft letztlich nicht nur dem Arbeitsklima, sondern auch der Compliance. Denn warum sollten sich Mitarbeiter gegen den Arbeitgeber wenden, wenn sie wertschätzend behandelt und gehört werden?
Mit Menschlichkeit und Technik gegen Insider Threats
Insider-Bedrohungen sind eine wachsende Bedrohung, doch das heißt nicht, dass aus einer vertrauensvollen Unternehmenskultur nun ein Spionage-Thriller werden muss, in dem alle gemeinsam den Maulwurf suchen und niemand niemandem mehr vertraut. Die Prävention gegen Insider-Bedrohungen erfordert schlicht einen umfassenden Ansatz, der sowohl technische Maßnahmen für das Zugriffs-Management als auch die Förderung einer positiven Unternehmenskultur umfasst. Unter dem Dach von Identity Management vereinen sich zudem alle Werkzeuge, die CISOs und IT-Verantwortliche brauchen, um Risiko-Quellen im Inneren schnell erkennen und bannen zu können. Das wirksamste Mittel gegen unabsichtliche oder geplante Insider-Gefahren sind jedoch immer noch Mitarbeiter, die ihrem Arbeitgeber wohlgesonnen sind und obendrein noch ein geschultes Auge für Betrugsmaschen besitzen.