Quelle: Pixabay
In einer zunehmend digitalisierten Welt spielen Cyber-Bedrohungen eine immer größere Rolle. Die Pandemie und die Arbeit im Homeoffice begünstigen diese Bedrohungen. In den letzten zwei Jahren hat die Anzahl an Cyber-Angriffen stark zugenommen. Das bestätigt auch eine Studie von EY. Dabei spielt der Faktor Mensch eine große Rolle. Doch was, wenn die Gefahr selbst aus den eigenen Reihen kommt? Sogenannte Insider-Bedrohungen werden von vielen Unternehmen und Organisationen unterschätzt. Dabei können die Auswirkungen einer solchen Bedrohung gravierend sein.
Was ist eine Insider-Bedrohung?
Die Insider-Bedrohung ist eine besondere Form der Bedrohung von Datensicherheit und IT-Systemen bei der die Bedrohung nicht von externen Hacker*innen, sondern von Personen mit legitimen Zugangsberechtigungen ausgehen. Grundsätzlich kann jede*r Mitarbeitende oder jede Person mit Zugang zu Daten, Servern oder Systemen, eine Insider-Bedrohung darstellen.
Wie kommt es zur Bedrohung durch Insider?
Insider-Bedrohungen können bewusst oder unbewusst verursacht werden und die Insider selbst können sich in ihrem Bewusstsein und ihren Absichten erheblich unterscheiden. Eine unbewusste Bedrohung entsteht, wenn Mitarbeitende unüberlegt Anhänge öffnen, auf Links klicken und Schadsoftware herunterladen. Entsperrte Bildschirme oder verlegte Endgeräte, auf denen sich gespeicherte Zugangsdaten und/oder andere vertrauliche Daten befinden, stellen ebenfalls ein großes Sicherheitsrisiko dar. Auch der unbedachte Umgang mit externen Datenträgern kann ein Sicherheitsrisiko darstellen. Die Hauptgründe für eine unbewusste Insider-Bedrohung sind fehlendes Wissen, Phishing, Malware und Diebstahl von Anmeldedaten und Endgeräten.
In manchen Situationen kann der Angriff auch vorsätzlich erfolgen. Das ist zum Beispiel der Fall, wenn ein Insider mutwillig Viren und Ransomware in das System einschleust oder vertrauliche Daten stiehlt, verbreitet oder löscht. Der Insider kann verschiedene Absichten verfolgen: Sabotage, Spionage, Betrug oder Diebstahl von geistigem Eigentum.
Wie lassen sich diese Bedrohungen vermeiden?
Insider-Bedrohungen lassen sich oftmals nur schwer feststellen, da legitime Anmeldedaten und Zugangsrechte verwendet werden. Besonders schwierig ist es dabei ebenfalls, zu ermitteln, welche dieser Bedrohungen tatsächlich auf böswillige Absichten zurückzuführen sind.
Um zu vermeiden, dass Mitarbeitende unbeabsichtigt zu einer Bedrohung werden, müssen sie angemessen geschult werden. Mitarbeitende können zum Beispiel durch Schulungsmaßnahmen zum Sicherheitsbewusstsein sensibilisiert werden und auf Risiken aufmerksam gemacht werden. Dadurch lassen sich zumindest die Insider-Bedrohungen minimieren, die unbewusst entstehen. Mitarbeitende können aber auch aus einer Vielzahl von Gründen in böswilliger Absicht zu Insider-Bedrohungen werden. Zu den häufigsten Gründen zählen Wertekonflikte, Rache und Bestechung. Nicht selten werden die Insider sogar von Dritten angeworben. Solche Bedrohungen können durch die Stärkung von Teamgeist, Zusammenarbeit und Kommunikation minimiert werden.
Unabhängig von der Natur der Bedrohung ist die wohl wichtigste Maßnahme zur Risikominderung eine durchdachte Verwaltung von Zugangsberechtigungen. Zugriffe können zum Beispiel über Rollenverteilung eingegrenzt werden. So erhalten Mitarbeitende oder externe Personen nur auf die Daten und Systeme Zugriff, die für ihre Arbeit benötigt werden. Wenn externe Personen im Rahmen eines bestimmten Projekts Zugangsberechtigungen erhalten, sollte darauf geachtet werden, dass diese Berechtigungen nach Abschluss des Projekts wieder angepasst werden.
Eine weitere beliebte Maßnahme in Unternehmen ist die verhaltensbasierte Analyse. Dabei wird das Verhalten und die relevanten Aktivitäten der Nutzenden überwacht und analysiert. Bei dieser Analyse werden Abweichungen von normalen Verhaltensmustern ermittelt, wie beispielsweise das Kopieren von großen Datenmengen. Auf diese Weise können verdächtige Aktivitäten besonders schnell erkannt werden.
Die Schäden, die Insider verursachen können, sind groß und vielfältig. Besonders deutlich wird dabei, dass der Faktor Mensch nicht unterschätzt werden darf. Selbst die besten Sicherheitsprogramme nützen wenig, wenn die Mitarbeitende sich der Risiken nicht bewusst sind. Klar definierte Prozesse und die Schaffung einer soliden und nachhaltigen Sicherheitskultur minimieren nicht nur die Risiken, sondern ermöglichen es Unternehmen und Organisationen, gut vorbereitet zu sein und im Falle einer Bedrohung schnell handeln zu können.
Datenschutzvorfälle an der RWTH*
Datenschutzvorfälle, wie beispielsweise die unrechtmäßige Übermittlung, der Verlust oder Diebstahl von Speichermedien oder Dokumentationen, die personenbezogene Daten enthalten, Datenpannen und -lecks, versehentliche Änderung oder unbeabsichtigte Löschung personenbezogener Daten müssen innerhalb von 72 Stunden von der RWTH an den LDI NRW (Landesbeauftragten für Datenschutz und Informationsfreiheit) gemeldet werden.
Um Doppelbearbeitungen zu vermeiden, muss die Einrichtung der RWTH, an welcher der Datenschutzvorfall aufgetreten ist, den Vorfall zunächst intern innerhalb der RWTH melden. Dabei muss das Lucom-Formular „Meldung von Datenschutzverletzungen“ von der betroffenen Einrichtung ausgefüllt werden.
Folgende Eckdaten sollten in das Formular eingetragen werden:
- Was ist passiert?
- Wann ist es passiert?
- Wann ist es bekannt geworden?
- Welche Organisationseinheit ist involviert?
- Sind personenbezogene Daten betroffen?
- Wer ist betroffen?
- Wie viele Personen sind betroffen?
- Wer ist für Rückfragen zuständig?
Die betroffene Einrichtung wird bei der Prüfung des Vorfalls durch den Datenschutzbeauftragten unterstützt. Es folgt dann eine Einschätzung, ob der Vorfall meldepflichtig ist und ob weitere Maßnahmen erforderlich sind.
Für Rückfragen stehen euch der Datenschutzbeauftragter der RWTH und die Mitarbeitenden der Abteilung 5.5 – IT-Strategie und IT-Organisation zur Verfügung.
Ihr wollt mehr über IT-Sicherheit erfahren? Unter dem Tag IT-Sicherheit findet ihr all unsere Blogbeiträge zu diesem Thema.
Verantwortlich für die Inhalte dieses Beitrags ist Stéphanie Bauens.
(*) Hinweis: Der Absatz „Datenvorfälle an der RWTH“ wurde am 20.05.2022 ergänzt.
Dir gefällt dieser Beitrag?
Dann lasse gerne ein Herz da! ♥️
