5 Best Practices, um Insider-Gefahren zu minimieren

Fünf einfache erste Schritte zum Insider Threat Program

BEST PRACTICES INSIDER-GEFAHREN

TECHWAY Best Practices Insider Threat

Insider-Gefahren sind laut Verizon-Report in über einem Drittel der Fälle verantwortlich für Sicherheitsrisiken in der IT. Dieser Trend wird sich wohl in den kommenden Jahren fortsetzen. Umso wichtiger ist es, die Abwehr von Insider-Bedrohungen zu verbessern. Dies gelingt unter anderem mit diesen 5 Tipps gegen Insider-Gefahren.



Insider-Threat-Tipp 1: Priorisieren Sie kontextbezogene Informationen

Künstliche Intelligenz ist ein Schlagwort, das — auch in Zusammenhang mit Cyber Security — immer wieder zur Sprache kommt. Klar ist jedoch, dass jeder Algorithmus und jedes Modell der künstlichen Intelligenz nur so gut ist, wie die Daten, die ihm zugeführt werden.

Wenn es darum geht, künstliche Intelligenz zur Bewältigung von Insider-Gefahren einzusetzen, ist vor allem eines relevant: Die Fähigkeit, kontextbezogene Intelligenz aufzubauen. Das bedeutet, zeitnahe Daten zu haben, die folgende Fragen beantworten können:

· Was ist vor, während und nach dem Vorfall passiert?

· War der Vorfall zufällig oder böswillig?

· Wer steckte wirklich dahinter und was war das Endziel?

Nur mit dieser Ebene des Kontextes können Sie KI nutzen, um rechtzeitig und angemessen auf Insider-Bedrohungen reagieren.

Insider-Threat-Tipp 2: Umfassendes Management von Insider-Gefahren

Gegenwärtig verfügen viele Unternehmen nur über die Möglichkeit, Ermittlungen zu Insider-Bedrohungen durchzuführen. Auf Grund des fehlenden Kontextes gibt es aber zu wenig starke Werkzeuge, um die Ermittlungen zeitnah durchzuführen (siehe Insider-Threat-Tipp 1). Deshalb sollen neben den Ermittlungen auch die Erkennung und Reaktion auf Insider-Gefahren integriert werden, um ein umfassenderes Programm aufzubauen.

Des Weiteren empfehlen wir, dass grössere Unternehmen innerhalb ihrer IT-Sicherheitsteams spezielle Funktionen für Insider-Bedrohungen einrichten. So sollen Personal und Budget für diese Risiken reserviert werden. Dies ist sinnvoll, wenn man daran denkt, wie weit Insider-Gefahren verbreitet sind und wie teuer deren Auswirkungen sein können.

Insider-Threat-Tipp 3: Ausgewogenheit zwischen Datenschutz und Sicherheit

Datenschutz ist ein Thema, das weltweit immer wieder für Schlagzeilen sorgt. Für ein Unternehmen ist es deshalb enorm wichtig, die Privatsphäre seiner Mitarbeitenden, Kunden und Dritten zu schützen. Selbstverständlich soll dadurch die Sicherheit nicht leiden. Aus diesem Grund wird empfohlen, in Sicherheitsprogramme zu investieren, die sowohl die Sicherheit, als auch den Datenschutz in den Mittelpunkt ihrer Ziele stellen.

Mit feingliedrigen Berechtigungen können Unternehmen zum Beispiel sicherstellen, dass alle Daten der User anonymisiert werden und nur jene Experten Zugriff erhalten, die diese Angaben unbedingt brauchen — zum Beispiel weil ein Risikofall vorliegt. Entsprechend kann sichergestellt werden, dass anonymisierte Warnmeldungen ausgelöst werden, wenn regelwidriges Verhalten erkannt wird.

Klar, die Verbindung von Sicherheit und Datenschutz ist ein schwieriger Balanceakt. Wichtig ist deshalb, dass Sicherheitsprogramme vorgezogen werden, die eine «Privacy by Design»-Denkweise ermöglichen und diese Verbindung schaffen, ohne Sicherheits- oder Datenschutzlücken in Kauf zu nehmen.

Insider-Threat-Tipp 4: Grundursachen für Insider-Gefahren verstehen

Insider-Gefahren sind oft schwierig zu berechnen, da sie sowohl auf zufälliges, als auch auf böswilliges Verhalten zurückzuführen sind. Aus diesem Grund ist es wichtig zu verstehen, welche Technologien und organisatorischen Praktiken Insider-Risiken ermöglichen. Je nach Unternehmen fällt die Bewertung natürlich anders aus und es müssen andere Berechtigungen und Zugriffe vergeben werden — abhängig von der Verwendung, Kultur und Organisation.

Deshalb kann nicht ein einziges Verfahren empfohlen werden, um die Ursachen für Insider-Gefahren zu analysieren. Wichtig ist jedoch, dass sie analysiert werden. Die Benutzeraktivitätsdaten helfen dabei, mögliche Ursachen zu erkennen und daraus resultierend Änderungen an bestehenden Richtlinien vorzunehmen, um das Gesamtrisiko von Insider-Gefahren zu verringern.

Insider-Threat-Tipp 5: Insider-Gefahren und deren Bekämpfung messbar machen

Es ist meist nicht einfach, Sicherheitsaspekte zu messen. Es gibt jedoch Bereiche, in denen dies möglich ist — und in denen eine Messung absolut Sinn macht. Denn so ist es möglich zu definieren, wo das Unternehmen in Sachen Cyber Security steht und wie es sich entwickelt.

Einige Metriken, die gemessen und quantifiziert werden sollten:

· Mittlere Zeit bis zur Entdeckung (MTTD)

· Mittlere Zeit bis zur Auflösung des Falls (MTTR). Alternativ wird oft auch die «Zeit bis zum Abschluss einer Untersuchung» verwendet.

· Return on Investment: Die Kosten von Sicherheitswerkzeugen und -programmen im Vergleich zu den Kosten von (möglichen) Vorfällen.

Wenn solche oder ähnliche Metriken gemessen werden, kann nicht nur überprüft werden, wie sich die Sicherheitslage im Unternehmen verändert. Es ermöglicht zudem, das Budget zum Management von Insider-Gefahren zu sichern und sich als Team laufend zu verbessern.


Zusammenfassung

Mit diesen Best Practices sollen Unternehmen die immer relevanter werdenden Insider-Gefahren effizient managen können. TECHWAY unterstützt Sie gerne bei der Implementierung und Planung von Massnahmen im Bereich Insider-Gefahren. Vereinbaren Sie ein unverbindliches Erstgespräch.

Was Insider-Gefahren genau sind, lesen Sie in diesem Blogbeitrag.

Übrigens: Wollen auch Sie wissen, wie viele E-Mailadressen Ihres Unternehmens wir in Leaks finden konnten?