Viele Unternehmen richten ihre Cybersecurity-Strategie vor allem auf externe Angreifer aus und lassen dabei die Gefahren außer Acht, die von internen Personen ausgehen. Diese sind in verschiedenen Ausprägungen anzutreffen: Es gibt einerseits Mitarbeiter, die über eigenes IT-Wissen verfügen und damit unbeabsichtigt Risiken innerhalb einer Organisation schaffen. Andere hingegen richten aus persönlichem Unmut oder Profitgründen Schaden an. Diese Insider-Bedrohungen können wie folgt klassifiziert werden:
- „Versehentliche“ Insider sind Personen innerhalb einer Organisation, die unwissentlich potenziell gefährliche Handlungen vornehmen.
- Fahrlässig handelnde Insider sind Teammitglieder, die dem Unternehmen nicht aktiv schaden wollen, aber riskant und unangemessen handeln.
- Böswillige Insider handeln vorsätzlich und mit der Absicht, dem Unternehmen zu schaden.
Aus dem Data Breach Report 2022 von Verizon geht hervor, dass sich 20 Prozent der weltweiten Datenschutzverletzungen auf Insider zurückführen lassen. In einer Studie des Ponemon Institute wurde zudem festgestellt, dass es im Durchschnitt 85 Tage dauert, einen internen Sicherheitsvorfall zu entschärfen. Unternehmen sollten diesen Angriffsvektor nicht außer Acht lassen und mehr Ressourcen in die Prävention, Erkennung sowie Behebung von Insider-Attacken investieren.
Böswillige Insider
Laut Verizon-Bericht gab es in diesem Jahr 275 Vorfälle, die durch den absichtlichen Missbrauch von internen Privilegien verursacht wurden. Die Folgen sind nicht zu unterschätzen: 216 davon führten zu einer bestätigten Offenlegung von Daten – das sind mehr als 75 Prozent. Der Vorfall bei General Electric ist ein Paradebeispiel für einen solchen Fall: Dort entwendeten ein ehemaliger sowie ein aktueller Mitarbeiter des Unternehmens vertrauliche Aufzeichnungen über ein Computerprogramm und ein mathematisches Modell zur Kalibrierung von Kraftwerken. Außerdem luden sie Tausende von Dateien aus dem IT-System herunter, darunter auch einige Geschäftsgeheimnisse. Das Ziel: die Gründung ihres eigenen Unternehmens, um dem ehemaligen Arbeitgeber Konkurrenz zu machen.
Das Hauptmotiv für interne Datenverstöße ist finanzieller Natur (78 Prozent). Weitere Gründe sind Frust (9 Prozent), Spionage (8 Prozent) und Bequemlichkeit (6 Prozent). Die hauptsächlich finanziell motivierten Akteure stehlen vor allem persönliche Daten (70 Prozent), gefolgt von medizinischen Informationen (22 Prozent), die sich beide leicht zu Geld machen lassen.
Die Rolle von MSP-Partnern im Rahmen einer proaktiven Verteidigung
Managed Service Provider (MSP) im Bereich Cyber Security sind immer dann gut aufgestellt, wenn sie mit diesen Arten von Angriffen entsprechend umgehen können. Um den Kunden den gewünschten Nutzen zu bieten, muss ihr Portfolio eine leistungsfähige Endpunktschutzlösung enthalten. Damit lässt sich die notwendige Transparenz herstellen: Sämtliche Geräte im Netzwerk werden sichtbar und Bedrohungen frühzeitig erkannt, bekämpft und dadurch verhindert. Darüber hinaus wird auf anomales Verhalten von Benutzern aufmerksam gemacht. Um diese Anforderungen zu erfüllen, muss eine solche Lösung die folgenden Funktionen umfassen:
- Endpoint Detection and Response (EDR)-Funktionen sorgen für eine kontinuierliche Überwachung. Die Ausführung unbekannter Prozesse wird blockiert und die Erkennung, Eindämmung sowie Reaktion auf fortschrittliche Bedrohungen automatisiert.
- Endpoint Protection Platform (EPP)-Funktionen bieten Schutz vor Viren, Malware, Spyware und Phishing.
- Die Verhaltensanalyse und Erkennung von Skripten, Makros usw. zeigen Indikatoren für Angriffe (Indicator of Attacks, IoAs).
- URL-Filterung, Gerätekontrolle und eine Managed Firewall
Eine entsprechende Endpunktschutzlösung muss durch Funktionen zur Überwachung sensibler und persönlicher Daten ergänzt werden. Diese helfen bei der Einrichtung von Präventions- und Kontrollmechanismen und bewerten gleichzeitig den Ursprung sowie die Auswirkungen einer potenziellen Datenschutzverletzung.
Datenverschlüsselungstools sind der effektivste Weg zur Vermeidung hoher Kosten, die nach dem Verlust oder Diebstahl von Laptops und USB-Speicherdatenträgern auftreten. MSPs sollten die integrierte Endpunktlösung daher mit Verschlüsselungs– und Datenkontrollprodukten kombinieren.
Für einen Managed Security Service Provider ist die Transparenz bei der Reaktion auf Warnmeldungen entscheidend. Die Verwaltung verschiedener Lösungen in einem einzigen Dashboard, das über die Cloud administriert wird, verschafft einen klaren Wettbewerbsvorteil. Laut einer Pulse-Umfrage glauben 95 Prozent der MSP, dass sie weniger effizient sind, wenn sie zwischen verschiedenen Produkten und Schnittstellen unterschiedlicher Anbieter wechseln müssen. Aus diesem Grund liegt es in ihrem Eigeninteresse, alle in ihrem Portfolio befindlichen Lösungen zu integrieren. Nur dann können Aufgaben vereinfacht und der notwendige Level an Sicherheit bereitgestellt werden, der angesichts einer immer komplexer werdenden Bedrohungslandschaft notwendig ist. Es ist höchste Zeit, die Verteidigung proaktiv zu organisieren und eine moderne Cybersecurity-Strategie umzusetzen.
Quelle: WatchGuard-Blog
Fachartikel
Studien
Studie: Sicherheitsbedenken bremsen Tech-Innovation aus
Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit
Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos
BSI will Sicherheit von Open-Source-Software erhöhen
Von Cyber Security zur Cyber Resilience: So begegnen Finanzdienstleister und Unternehmen der wachsenden Bedrohung im Netz
Whitepaper
Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen
IBM X-Force Report: „Freifahrtschein“ zum Datendiebstahl – Angreifer verwenden gültige Anmeldedaten, um Cloud-Umgebungen zu kompromittieren
Trotz gutem Gehalt: Drei viertel aller IT-Fachkräfte sind wechselbereit
Verizon Business 2023 Payment Security Report: Neue Erkenntnisse zur Optimierung der Zahlungssicherheit
