Warnung vor unbeabsichtigten Insidern

Gemäss Studie des SANS-Instituts gaben 76 Prozent der befragten Sicherheits- und IT-Experten an, dass der grösste potenzielle Schaden von einem Sicherheitsvorfall entstehen könnte, der von einem eigenen oder externen Mitarbeiter mit entsprechenden Zugriffsrechten herbeigeführt wird. Die Bedrohung wächst stetig, 40 Prozent der Befragten gaben an, dass sie eine Insider-Attacke als sehr gefährlich einstufen. Weitere 36 Prozent sehen auch unbeabsichtigte Insider-Angriffe kritisch für die eigenen Sicherheitsmassnahmen. Nur 23 Prozent sagten, dass der grösste Schaden durch Angriffe von aussen herbeigeführt wurde. Trotzdem haben nur lediglich 18 Prozent einen Incident-Response-Plan für Insider-Bedrohungen in der Schublade und 49 Prozent gaben an, dass sie derzeit daran arbeiten. Die Gefahr wurde anscheinend lange unterschätzt.

Schlupfloch kommt vom Insider

Da der Schutz von Unternehmen gegen Attacken von aussen immer wirksamer wird, sehen sich Angreifer nach einfacheren Zielen um. Dazu zählen beispielsweise Benutzer, die bereits Zugang zu hochsensiblen Unternehmensinformationen besitzen und sich leichter täuschen lassen als Sicherheitssysteme. Unternehmen reagieren nur langsam darauf. Obwohl der Ursprung des Anschlags ausserhalb liegt, kann das entscheidende Schlupfloch für den Angreifer ein Insider gewesen sein. Vielleicht verfolgte dieser sogar keine böse Absicht und wurde schlicht von einem Aussenstehenden überlistet und dazu verführt, Schaden zu verursachen (Daten zu kopieren, Transaktionen vorzunehmen).

Nur ein kleiner Teil scheint zu ahnen, um wie viel Schaden es dabei geht. 45 Prozent der Befragten konnten die Kosten für einen potenziellen Verlust nicht beziffern. Gleichzeitig antworteten 33 Prozent damit, keine Angaben darüber machen zu können. Die anderen Angaben liegen zwischen 100‘000 und 5 Mio. US-Dollar. Das wirkt zunächst überraschend. Allerdings berichteten nur einzelne Unternehmen, über Insider-Erkennungsprogramme zu verfügen, die gründlich genug seien, um interne Bedrohungen zuverlässig aufzuspüren. Das gleiche Sichtbarkeitsdefizit würde es erschweren, das Ausmass eines möglichen Insider-Angriffs zu bestimmen oder die anschliessenden Wiederherstellungskosten einzuschätzen.

Insider mit bösartigen Absichten als Gefahr

Die Umfrageergebnisse zeigen, dass 62 Prozent der Studienteilnehmer noch nie einen internen Angriff erlebt haben. Unter Umständen verweist dies auf eine geringe Sichtbarkeit, aber nicht automatisch auch auf ein geringes Risiko. 38 Prozent der Befragten bezeichneten die von ihnen verwendeten Systeme und Methoden als ineffektiv. Das macht es noch unwahrscheinlicher, dass sie einen sich ereignenden Insider-Angriff identifizieren könnten.

Mangelnde Sichtbarkeit ist eine Sache, fehlende Vorbereitung eine andere. Denn fast ein Drittel (31%) der Studienteilnehmer gab an, kein formelles Programm oder Vorbereitungen für den Umgang mit Bedrohungen von innen umzusetzen.

„Während vorsätzliche und mit krimineller Absicht agierende Insider immer ein gewisses Risiko darstellen, vergessen viele Unternehmen, dass ein externer Angriff oft auf einen legitimen Insider abzielt und dazu verleitet, Schaden anzurichten“, erklärt SANS-Instructor und Studienautor Eric Cole. „Dieser zufällige Insider könnte als ein Weg vom Angreifer genutzt werden, um aus einem Unternehmen die sensibelsten Daten mitzunehmen, ohne dass es jemandem auffällt. Und nur wenige Unternehmen wissen überhaupt, dass ein solcher Vorfall passiert ist.“

„Insider mit bösartigen Absichten waren schon immer eine Gefahr, jedoch wächst das Risiko, wenn unabsichtlich eigentlich unauffällige Insider Informationen an ein falsches Help-Desk herausgeben oder auf Anhänge klicken, die Schadsoftware zum Stehlen von Passwörtern herunterladen.“