Insider-Bedrohungsprogramme: 8 Tipps zum Aufbau eines erfolgreichen Programms
- 6 minutes to read
Inhaltsverzeichnis
Was ist ein Insider-Threat-Programm?
Insider-Threat-Programme sind Strategien, die Unternehmen dabei helfen sollen, potenzielle Schwachstellen zu identifizieren, die privilegierte Informationen oder Zugriffe ausnutzen. Im Idealfall können diese Programme Unternehmen dabei unterstützen, Berechtigungen oder Zugriffe auf Ressourcen aufzudecken und zu beheben, die von verärgerten oder böswilligen Mitarbeitern, Angreifern mit kompromittierten Anmeldeinformationen oder menschlichen Fehlern ausgenutzt werden können.
Erfolgreich implementierte Programme können das Risiko von Systemkompromittierungen oder -verletzungen deutlich reduzieren. Unternehmen können dadurch erhebliche Kosten sparen und Reputationsverluste sowie Vertrauensverluste bei ihren Kunden vermeiden. Laut einer aktuellen Studie des Ponemon Institute zu Insider-Bedrohungen können diese Programme durchschnittlich rund 11,5 Millionen US-Dollar kosten, die sonst für Bußgelder, Sanierungsmaßnahmen oder Umsatzeinbußen aufgewendet werden müssten.
Dieser Inhalt ist Teil einer Reihe über Insider-Bedrohungen.
8 Tipps zum Aufbau Ihres eigenen Insider-Threat-Programms
Wenn Sie noch kein Insider-Threat-Programm haben, ist es jetzt an der Zeit, eines zu entwickeln. Diese Tipps helfen Ihnen dabei, einen umfassenden Plan zu erstellen und ihn effektiv umzusetzen.
1. Bilden Sie ein Planungsteam
Um ein effektives Programm zu entwickeln, benötigen Sie ein Team, das umfassendes Wissen über Ihre Abläufe, Ziele und Schwachstellen mitbringt. Dieses Team sollte Vertreter aus den Bereichen Sicherheit, IT, Recht, Personalwesen und Geschäftsführung umfassen. Mit diesem Team können Sie fundierte Richtlinien entwickeln und praktikable Verfahren entwickeln, die den gesetzlichen Vorgaben entsprechen.
2. Kritische Vermögenswerte bestimmen
Sobald Ihr Team zusammengestellt ist, müssen Sie eine Übersicht Ihrer Vermögenswerte erstellen und die Bedrohungsprioritäten bestimmen. Dazu gehören sowohl virtuelle als auch physische Vermögenswerte wie interne Dokumentationen, Schlüsselkarten, Produktprototypen und Mitarbeiterdaten. Ihr Programm sollte die sensibelsten Vermögenswerte optimal abdecken und gleichzeitig auch diejenigen mit niedriger Priorität berücksichtigen.
Um zu bestimmen, welche Informationen oder Zugriffe wichtig sind, können Sie sich auf Ihr Planungsteam verlassen. Durch die Auswahl von Mitgliedern aus allen Geschäftsbereichen erhalten Sie einen umfassenden Überblick darüber, was Sie haben und was andere möglicherweise benötigen.
3. Führen Sie eine Bedrohungsrisikobewertung durch
Durch die Bewertung des aktuellen Status und der Compliance Ihrer Betriebsabläufe können Sie bestehende Sicherheitslücken identifizieren, die behoben werden müssen. Dies kann bedeuten, Systemkonfigurationen anhand bekannter Benchmarks zu prüfen, Einstellungen gemäß etablierten Richtlinien zu bestätigen oder Penetrationstests durchzuführen, um die Wirksamkeit der Tools zu überprüfen.
Insbesondere sollten Sie Ihre Systeme und Schutzmaßnahmen im Hinblick auf ihre Fähigkeit bewerten, Bedrohungen durch autorisierte Benutzer zu erkennen. Dies bedeutet, dass Sie Ihre Fähigkeit testen, verdächtige Verhaltensmuster zu erkennen, wie z. B. den plötzlichen Zugriff auf oder das Kopieren großer Datenmengen.
Lesen Sie unsere ausführliche Erklärung zu Insider-Bedrohungsindikatoren.
4. Führen Sie Hintergrundüberprüfungen Ihrer Mitarbeiter durch
Um Ihr Bedrohungsrisiko zu kennen, müssen Sie sich darüber im Klaren sein, wer in Ihrem Team ist. Eine Möglichkeit hierfür sind Hintergrundüberprüfungen. Wenn jemand bereits aufgrund von Unternehmensmissbrauch entlassen wurde, sollten Sie das wissen und ihn meiden. Ebenso kann jemand, der erhebliche finanzielle Probleme hat, ein Risiko darstellen.
Sie müssen mit diesen Informationen vorsichtig umgehen und sie fair einsetzen. Hintergrundüberprüfungen sind nicht narrensicher und können zu falschen Angaben führen. Darüber hinaus können Überprüfungen nicht die ganze Geschichte einer Person erzählen, und Arbeitnehmer sollten nicht für vergangene Ereignisse in ihrem Privatleben bestraft werden, die ihre Arbeitsfähigkeit nicht beeinträchtigen.
Lesen Sie unsere ausführliche Erklärung zu böswilligen Insidern.
5. Implementieren und pflegen Sie Informationssicherheitskontrollen
Einer der wirksamsten Schutzmechanismen für Ihre Daten ist die Möglichkeit, den Zugriff auch für Insider zu beschränken. Gewähren Sie Benutzern nur Zugriff auf die Daten, die sie für ihre Arbeit benötigen. Sollten vorübergehend zusätzliche Zugriffe erforderlich sein, können Sie diese nach Bedarf bereitstellen.
Indem Sie den Zugriff auf Daten durch Zugriffsrichtlinien und Verschlüsselung einschränken, verringern Sie die Möglichkeiten der Mitarbeiter, ihre Berechtigungen zu missbrauchen. Sie verringern auch den Schaden, den Angreifer potenziell anrichten können, wenn sie an kompromittierte Anmeldeinformationen gelangen.
6. Erstellen Sie Anwendungsfälle für Insider-Bedrohungen
Anwendungsfälle geben Hinweise darauf, wann Ihre Programmverfahren implementiert werden sollten. Beispielsweise, wenn ein Benutzer nicht genehmigten Cloud-Speicher verwendet oder eingeschränkten Zugriff angefordert hat. Indem Sie Anwendungsfälle für die am häufigsten auftretenden Probleme erstellen, können Sie Ihren Sicherheitsteams helfen, potenzielle Bedrohungen zuverlässig zu überwachen und Maßnahmen zur Behebung von Schwachstellen zu ergreifen.
Zu diesen Anwendungsfällen sollten Verfahren zur Schutzüberwachung gehören (z. B. erhöhte Sicherheit bei Kündigungen oder Entlassungen von Mitarbeitern). In diesen Situationen sind die Bedrohungen durch Insider am größten und sollten mit Vorsicht behandelt werden. Diese Art der Überwachung ist häufig eine Anforderung der Compliance oder branchenüblicher Best Practices.
7. Testen, bewerten und wählen Sie Tools zur Insider-Bedrohung aus
Möglicherweise verfügen Sie bereits über alle erforderlichen Sicherheitstools, oder Sie stellen fest, dass Ihre Tools unzureichend sind. Im letzteren Fall sollten Sie nach Tools suchen, die diese Lücken schließen können. In der Regel bedeutet dies, umfassendere Überwachungstools einzusetzen, insbesondere solche mit Funktionen zur Verhaltensanalyse.
Sie sollten Tools bevorzugen, die eine durchgängige Verfolgung der Benutzeraktivität ermöglichen und Echtzeit-Transparenz bieten. Suchen Sie außerdem nach Tools, die Ihre Abläufe zentralisieren und nach Möglichkeit Überwachungs-, Protokollierungs-, Untersuchungs- und Warnfunktionen integrieren. Diese Zentralisierung ermöglicht Ihnen eine gründlichere Analyse der Systembedingungen und erhöht die Wahrscheinlichkeit, verdächtige Aktivitäten frühzeitig zu erkennen.
8. Überarbeiten Sie Ihr Insider-Bedrohungsprogramm
Als Teil Ihres Programms sollten Sie regelmäßige Audits Ihrer Werkzeuge, Berechtigungen und Verfahren einbauen. Systeme, Personal und Bedrohungen sind dynamisch, und Sie müssen sicherstellen, dass Sie Änderungen bei Bedarf berücksichtigen.
Achten Sie bei der Prüfung auf veraltete oder anfällige Bereiche und passen Sie Ihr Programm entsprechend an. Nutzen Sie bei Vorfällen außerdem das Feedback aus Ihrem Incident-Response-Workflow, um Ihr aktuelles Programm zu verbessern. Wenn Sie Ihre Verfahren nach einem Vorfall nicht aktualisieren, riskieren Sie eine erneute Bedrohung.
Tipps vom Experten
Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.
Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, ein robustes Insider-Threat-Programm zu etablieren:
Verwenden Sie Verhaltens-Baselining, um Anomalien zu erkennen
Implementieren Sie Tools zur Analyse des Benutzer- und Entitätsverhaltens (UEBA), die das typische Verhalten von Mitarbeitern erfassen. Anhand dieser Basisdaten können Sie subtile Abweichungen erkennen, z. B. den Zugriff auf ungewöhnliche Dateien oder die Anmeldung zu ungewöhnlichen Zeiten, und so potenzielle Insider-Bedrohungen erkennen.
Entwickeln Sie Echtzeit-Warnungen für Aktivitäten mit hohem Risiko
Richten Sie Echtzeitwarnungen für Aktivitäten wie Datenexfiltration, Rechteerweiterung oder die Verwendung nicht autorisierter Geräte ein. Automatisierte Warnmeldungen gewährleisten schnelle Reaktionen, bevor ernsthafter Schaden entsteht.
Planen Sie das Offboarding mit verstärkter Überwachung
Das Risiko interner Bedrohungen ist beim Offboarding oder bei der Entlassung von Mitarbeitern am höchsten. Sorgen Sie in diesen Phasen für eine verstärkte Überwachung und entziehen Sie den Zugriff sofort nach der Kündigung.
Integrieren Sie Tools zur Erkennung von Insiderbedrohungen in SOAR um die Reaktionsautomatisierung zu ermöglichen.
Nutzen Sie SOAR-Tools (Security Orchestration, Automation and Response), um Ihre Arbeitsabläufe bei der Reaktion auf Sicherheitsvorfälle zu optimieren. Durch die Automatisierung von Eindämmungsmaßnahmen bei verdächtigem Verhalten (z. B. Deaktivierung eines Kontos oder Einschränkung des Zugriffs) lassen sich Schäden in Echtzeit minimieren.
Fördern Sie eine positive Arbeitskultur, um Insiderrisiken zu reduzieren
Fördern Sie eine offene und transparente Arbeitskultur, um die Wahrscheinlichkeit böswilliger Insider-Bedrohungen zu verringern. Bieten Sie Mitarbeitern, die unter persönlichem oder finanziellem Stress leiden, Unterstützung an und fördern Sie Whistleblowing-Kanäle für die Meldung verdächtiger Aktivitäten.
Legen Sie Anwendungsfälle für Insider-Bedrohungen für bestimmte Rollen fest
Entwickeln Sie spezifische Anwendungsfälle für unterschiedliche Aufgabenbereiche, basierend auf den jeweiligen Zugriffsrechten. Verfolgen Sie beispielsweise, wie Administratoren sensible Daten anders verwalten als Marketingmitarbeiter, und kennzeichnen Sie Verhaltensabweichungen entsprechend.
Erweiterte Best Practices für Insider-Threat-Programme
Berücksichtigen Sie beim Erstellen und Prüfen Ihres Insider-Bedrohungsprogramms diese Best Practices. Die unten empfohlenen Vorgehensweisen helfen Ihnen dabei, sicherzustellen, dass Ihr Programm optimal auf Ihre Bedürfnisse zugeschnitten ist und die Produktivität Ihrer Mitarbeiter fördert.
Passen Sie die Terminologie an die Kultur an
Die Terminologie Ihres Programms kann Sie als Verbündeten Ihrer Mitarbeiter darstellen oder ein „Wir gegen die“-Klima schaffen. Um dies zu vermeiden, sollten Sie sorgfältig auf die Bezeichnung Ihres Programms und die Formulierung von Zielen und Verfahren achten. Nennen Sie es beispielsweise nicht „Insider-Bedrohungs-Programm“, sondern „Mitarbeiterschutzprogramm“.
Durch die Verwendung einer neutralen oder freundlichen Terminologie zeigen Sie Ihren Mitarbeitern Wohlwollen und vermeiden Unmut. Eine kollaborative Sprache kann Ihnen auch dabei helfen, Mitarbeiter für die Sicherheit Ihrer Anlagen zu gewinnen. Wenn sie das Gefühl haben, einen wichtigen Teil Ihrer Ziele zu leisten, sind sie eher bereit, Verantwortung zu übernehmen.
Seien Sie transparent und bauen Sie Vertrauen auf
In Bezug auf die von Ihnen verwendete Sprache müssen Sie sicherstellen, dass Ihre Mitarbeiter verstehen, warum Ihr Programm vorhanden ist und welche Absicht dahinter steckt. Das bedeutet, dass Sie erklären müssen, was das Programm überwacht und warum. Sie müssen nicht detailliert darlegen, wie die Systeme überwacht werden, aber Sie sollten die wichtigsten Informationen nicht verbergen.
Wenn Mitarbeiter wissen, dass Überwachung stattfindet und sich nicht persönlich angegriffen fühlen, vertrauen und schätzen sie Ihr Unternehmen möglicherweise stärker. Dies verringert das Risiko böswilliger Aktivitäten und erhöht die Wahrscheinlichkeit, dass Mitarbeiter Ihnen verdächtige Aktivitäten melden.
Fokus auf automatisierte Überwachung
Die manuelle Überwachung Ihrer Systeme bietet Ihnen nicht die erforderliche Abdeckung oder Tiefe, um Ihre Anlagen erfolgreich zu schützen. Die Lösung hierfür ist automatisiertes Monitoring. Automatisiertes Monitoring unterstützt Sie bei der Verarbeitung und Analyse von Informationen aus Ihren Systemen und ermöglicht es Sicherheitsteams, sich auf die Behebung und Prävention von Bedrohungen zu konzentrieren.
Lesen Sie unsere ausführliche Erklärung zum Erkennen von Insider-Bedrohungen mithilfe der Datenwissenschaft.
Schutz vor Insider-Bedrohungen mit Exabeam
Der Schutz Ihres Unternehmens vor Insider-Bedrohungen ist ebenso wichtig wie traditionelle Cybersicherheitsmaßnahmen, die sich auf externe Bedrohungen konzentrieren. Insider-Bedrohungen sind jedoch oft viel schwieriger zu erkennen als Bedrohungen von außerhalb des Unternehmens, da sie nicht durch Antivirenprogramme und Firewalls blockiert werden können.
Im Bereich der Bedrohungsabwehr bietet Exabeam Sicherheitstools wie SOAR und UEBA an, die verdächtiges Mitarbeiterverhalten erkennen können, das auf böswillige Absichten hindeuten könnte.
Lesen Sie unser Whitepaper zum Erkennen von Insider-Bedrohungen mithilfe von Data Science.
Weitere Erläuterungen zu Insider-Bedrohungen
Mehr über Exabeam erfahren
Vertiefen Sie Ihr Wissen mit Webinaren, Leitfäden und Analystenberichten.
