Was ist eine Insider-Bedrohung?

Bei einer Insider-Bedrohung geht es um die Offenlegung oder den Missbrauch von Daten – versehentlich oder mutwillig, die dann auf schädliche Weise genutzt oder von Personen ohne legitimen Zugriff eingesehen werden können. 

Insider-Bedrohungen gehören zu den häufigsten Sicherheitsbedrohungen für Unternehmen und werden meistens von gewöhnlichen Mitarbeitenden durch einfache Fehler ausgelöst.

Keine Lust zu lesen? Dann sehen Sie sich dieses kurze Video zu Insider-Bedrohungen an.

Manchmal sind die Risiken gering. Manchmal geht es um sehr viel. Grund für diese vage Antwort ist, dass selbst ein einzelnes Betriebsgeheimnis oder das unbemerkte Wiederholen vieler kleiner Fehler über ein großes Schadenspotenzial verfügen.

Einige Insider-Bedrohungen können ganze Unternehmen ruinieren, Menschen bloßstellen, die Sicherheit von Kunden oder Geschäftspartnern gefährden, viel Geld kosten oder eine Gefahr für die nationale Sicherheit eines Landes oder geschäftskritische Infrastrukturen darstellen. Wenn Sie den englischen Begriff „insider threat“ in eine Suchmaschine eingeben, werden Ihnen gleich Dutzende von Informationen verschiedener US-Bundesbehörden zu Insider-Bedrohungen angezeigt:

• Cybersecurity and Infrastructure Security Agency (CISA)
• Department of Homeland Security (DHS)
• Computer Security Resource Center (CSRC) des National Institute of Science and Technology (NIST)
• Federal Bureau of Investigation (FBI)

Sogar Red Hat — führender Anbieter von Open Source-Software für Unternehmen und überzeugt davon, dass ein offener Ansatz zu mehr Erfolg führt – wird beim Thema Insider-Bedrohungen nervös. Unser Open Source-Entwicklungsmodell für Red Hat® Enterprise Linux® wird durch die Open Source Community CentOS Stream veröffentlicht, aber erst nach mehreren Überprüfungen, Tests und Qualitätskontrollen.

Weil die meisten – entgegen der allgemeinen Auffassung – nicht von ehemaligen Beschäftigten in böswilliger Absicht verübt werden. Meistens handelt es sich um Fehler, die von gewöhnlichen Mitarbeitenden verursacht wurden. Von jemandem wie Ihnen.

Sie planen vermutlich nicht, eine Insider-Bedrohung zu verursachen. Vermutlich betrachten Sie sich selbst nicht einmal als Insider. Aber denken Sie nur an all die wertvollen Informationen, zu denen Sie jeden Tag rechtmäßigen Zugang haben: geistiges Eigentum, Softwareengineering-Prozesse, Zugangsdaten zum Unternehmensnetzwerk und Informationen über die Unternehmens-Performance.

Das ist der Grund, warum Sie den Fragen am Ende des Kurses zu Unternehmensethik unbedingt Beachtung schenken sollten. Überfliegen Sie diese Fragen nicht einfach. Denken Sie gut über sie nach. Denken Sie ernsthaft über sie nach. Die Fragen werden Ihnen dabei helfen, Insider-Bedrohungen in Zukunft besser zu erkennen.

• Was sind Indikatoren für potenzielle Insider-Bedrohungen?
• Welche Szenarien könnten auf meldepflichtige Insider-Bedrohungen hinweisen?
• Wie viele Indikatoren für potenzielle Insider-Bedrohungen können Sie erkennen?

Im Allgemeinen gibt es drei Arten von Insider-Bedrohungen:

• Durch böswillige Insiderinnen und Insider: Jemand versucht aktiv, durch das Stehlen oder Schädigen von Daten oder Services Schaden zu verursachen oder davon zu profitieren.
• Durch Whistleblowerinnen und Whistleblower: Jemand glaubt, dass das Unternehmen etwas Unrechtes tut.
• Durch Fehler von Nutzerinnen und Nutzern: Jemand hat einfach einen Fehler gemacht.

Und dann gibt es noch Phishing. Phishing bezeichnet eine Art des Social Engineerings, bei der Angreifer versuchen, jemanden durch betrügerische Anfragen zur Herausgabe von vertraulichen Daten oder persönlichen Informationen zu bringen, etwa durch Spoofing-E-Mails oder betrügerische Angebote. Wenn ein Insider oder eine Insiderin einen Phishing-Angriff in die Wege leitet, spricht man von einer Insider-Bedrohung. Wenn der Anstifter oder die Anstifterin sich außerhalb des Unternehmens befindet und etwa Malware kopiert, handelt es sich um eine andere Art von Sicherheitsbedrohung.

Sicherheit liegt in der Verantwortung aller. Sicherheitsteams können zwar Sicherheitsrichtlinien verwalten und alle dabei unterstützen, Sicherheitsprotokolle zu beachten. Verlässt sich das ganze Unternehmen aber bei der Kontrolle sämtlicher Aspekte der Sicherheit nur auf diese Spezialisten, ist alle Mühe umsonst.

Schutzsysteme sind immer vorhanden – unabhängig davon, ob es innerhalb Ihres eigenen Unternehmens Sicherheitskontrollen, CERTs (Computer Emergency Response Teams) oder Insider-Bedrohungsprogramme gibt. Denken Sie an all die Lokal-, Regional- und Bundesbehörden sowie diejenigen auf internationaler Ebene, gegen die Cybersicherheits- und Kartellklagen vorliegen.

Beim Schutz vor Insider-Bedrohungen sind gut verwaltete Berechtigungen und Firewalls zwar die naheliegendste Möglichkeit, Datenverlust vorzubeugen. Wichtig ist aber auch, über ein effizientes Sicherheitsteam zu verfügen. Dabei sind die folgenden drei Komponenten von Bedeutung:

• Schulung und Information: Sicherheitsteams können die Chancen von externen Bedrohungen und Insider-Angriffen allein dadurch senken, dass sie das Personal darin unterweisen, wie sie ihre Arbeit in puncto Sicherheit richtig ausführen, oder betonen, wie viel Macht gewöhnliche Beschäftigte tatsächlich haben. Wenn Insiderinnen und Insider davon erfahren, dass viele gekennzeichnete Berichte keine Bedrohung darstellen, kann das Gefühl einer Community entstehen, in der das Sicherheitsteam als Partner statt als Richter angesehen wird.
• Standardmäßiges Absichern: Der einfachste Weg zu mehr Sicherheit – alles „absperren“ und den Zugriff zur Ausnahme von der Regel machen. Es ist einfacher, von vornherein das Richtige zu tun, wenn der einfachste Weg zugleich der sicherste ist. Standardmäßiges Absichern kann beispielsweise RBAC (Role-based Access Control) bedeuten. Eine andere Möglichkeit ist, Nutzerinnen und Nutzern genau das bereitzustellen, was sie benötigen – gemäß dem Least Privilege-Prinzip.
• Gute Kommunikation: Sorgen Sie dafür, dass sich die Beschäftigten dabei sicher fühlen, mit Ihnen zu sprechen. So werden sich mehr Mitarbeitende trauen, Ihnen die Wahrheit zu sagen – die ganze Wahrheit, und idealerweise von sich aus. Stellen Sie sich als Partner dar, also als jemand, mit dem Mitarbeiterinnen und Mitarbeiter zusammen prüfen, dass Jobs unter Berücksichtigung der Sicherheit ausgeführt wurden.
• Bescheidenheit: Vergessen Sie nicht, dass es in der Natur des Menschen liegt, Fehler zu machen. Sie urteilen nicht wie bei Gericht. Sie sind die Feuerwehr. Sie beheben das Problem. Versuchen Sie, sich nicht darüber zu ärgern, dass jemand einen Fehler gemacht hat. Fehler standardmäßig zu bestrafen führt zu einer Kultur der Angst und Widerwilligkeit, in der Menschen erst in letzter Minute auf Probleme aufmerksam machen.

Wir beginnen bei Upstream Open Source Communities, um unternehmensgerechte Software zu entwickeln, die gehärtet, getestet, geprüft und sicher verteilt wird. Das Ergebnis: Open Source-Produkte für Unternehmen zur Entwicklung, Verwaltung und Automatisierung von Sicherheit in Hybrid Clouds, Lieferketten, Anwendungen und Teams.