TECHWAY - Cyber SecurityTECHWAY - Cyber Security
TECHWAY Insider Threat Program

Haben Sie Fragen?

Fill out this field
Fill out this field
Bitte geben Sie eine gültige E-Mail-Adresse ein.
Fill out this field

Insider Threat Program: 5 Best Practises

Von: 

Janine Durrer

Loading

5 einfache erste Schritte zum Schutz gegen Insider-Gefahren

Insider-Gefahren sind laut Verizon-Report in über einem Drittel der Fälle verantwortlich für Sicherheitsrisiken in der IT. Dieser Trend wird sich wohl in den kommenden Jahren fortsetzen. Umso wichtiger ist es, ein sinnvolles Insider Threat Program auf die Beine zu stellen. Dies gelingt unter anderem mit diesen 5 Tipps gegen Insider-Gefahren.

Insider-Threat-Program Tipp 1: Priorisieren Sie kontextbezogene Informationen

Künstliche Intelligenz ist ein Schlagwort, das — auch in Zusammenhang mit Cyber Security — immer wieder zur Sprache kommt. Klar ist jedoch, dass jeder Algorithmus und jedes Modell der künstlichen Intelligenz nur so gut ist, wie die Daten, die ihm zugeführt werden.

Wenn es darum geht, künstliche Intelligenz zur Bewältigung von Insider-Gefahren einzusetzen, ist vor allem eines relevant: Die Fähigkeit, kontextbezogene Intelligenz aufzubauen. Das bedeutet, zeitnahe Daten zu haben, die folgende Fragen beantworten können:

· Was ist vor, während und nach dem Vorfall passiert?

· War der Vorfall zufällig oder böswillig?

· Wer steckte wirklich dahinter und was war das Endziel?

Nur mit dieser Ebene des Kontextes können Sie KI nutzen, um rechtzeitig und angemessen auf Insider-Bedrohungen reagieren.

Insider-Threat-Program Tipp 2: Umfassendes Management von Insider-Gefahren

Gegenwärtig verfügen viele Unternehmen nur über die Möglichkeit, Ermittlungen zu Insider-Bedrohungen durchzuführen. Aufgrund des fehlenden Kontextes gibt es aber zu wenig starke Werkzeuge, um die Ermittlungen zeitnah durchzuführen (siehe Insider-Threat-Tipp 1). Deshalb sollen neben den Ermittlungen auch die Erkennung und Reaktion auf Insider-Gefahren integriert werden, um ein umfassenderes Insider Threat Programm aufzubauen.

Des Weiteren empfehlen wir, dass grössere Unternehmen innerhalb ihrer IT-Sicherheitsteams spezielle Funktionen für Insider-Bedrohungen einrichten. So sollen Personal und Budget für diese Risiken reserviert werden. Dies ist sinnvoll, wenn man daran denkt, wie weit Insider-Gefahren verbreitet sind und wie teuer deren Auswirkungen sein können.

Insider-Threat-Program Tipp 3: Ausgewogenheit zwischen Datenschutz und Sicherheit

Datenschutz ist ein Thema, das weltweit immer wieder für Schlagzeilen sorgt. Für ein Unternehmen ist es deshalb enorm wichtig, die Privatsphäre seiner Mitarbeitenden, Kunden und Dritten zu schützen. Selbstverständlich soll dadurch die Sicherheit nicht leiden. Aus diesem Grund wird empfohlen, in Sicherheitsprogramme zu investieren, die sowohl die Sicherheit, als auch den Datenschutz in den Mittelpunkt ihrer Ziele stellen.

Mit feingliedrigen Berechtigungen können Unternehmen zum Beispiel sicherstellen, dass alle Daten der User anonymisiert werden und nur jene Experten Zugriff erhalten, die diese Angaben unbedingt brauchen — zum Beispiel weil ein Risikofall vorliegt. Entsprechend kann sichergestellt werden, dass anonymisierte Warnmeldungen ausgelöst werden, wenn regelwidriges Verhalten erkannt wird.

Klar, die Verbindung von Sicherheit und Datenschutz ist ein schwieriger Balanceakt. Wichtig ist deshalb, dass Sicherheitsprogramme vorgezogen werden, die eine «Privacy by Design»-Denkweise ermöglichen und diese Verbindung schaffen, ohne Sicherheits- oder Datenschutzlücken in Kauf zu nehmen.

Insider-Threat-Program Tipp 4Grundursachen für Insider-Gefahren verstehen

Insider-Gefahren sind oft schwierig zu berechnen, da sie sowohl auf zufälliges, als auch auf böswilliges Verhalten zurückzuführen sind. Aus diesem Grund ist es wichtig zu verstehen, welche Technologien und organisatorischen Praktiken Insider-Risiken ermöglichen. Je nach Unternehmen fällt die Bewertung natürlich anders aus und es müssen andere Berechtigungen und Zugriffe vergeben werden — abhängig von der Verwendung, Kultur und Organisation.

Deshalb kann nicht ein einziges Verfahren empfohlen werden, um die Ursachen für Insider-Gefahren zu analysieren. Wichtig ist jedoch, dass sie analysiert werden. Die Benutzeraktivitätsdaten helfen dabei, mögliche Ursachen zu erkennen und daraus resultierend Änderungen an bestehenden Richtlinien vorzunehmen, um das Gesamtrisiko von Insider-Gefahren zu verringern.

Insider-Threat-Program Tipp 5: Insider-Gefahren und deren Bekämpfung messbar machen

Es ist meist nicht einfach, Sicherheitsaspekte zu messen. Es gibt jedoch Bereiche, in denen dies möglich ist — und in denen eine Messung absolut Sinn macht. Denn so ist es möglich zu definieren, wo das Unternehmen in Sachen Cyber Security steht und wie es sich entwickelt.

Einige Metriken, die gemessen und quantifiziert werden sollten:

· Mittlere Zeit bis zur Entdeckung (MTTD)

· Mittlere Zeit bis zur Auflösung des Falls (MTTR). Alternativ wird oft auch die «Zeit bis zum Abschluss einer Untersuchung» verwendet.

· Return on Investment: Die Kosten von Sicherheitswerkzeugen und -programmen im Vergleich zu den Kosten von (möglichen) Vorfällen.

Wenn solche oder ähnliche Metriken gemessen werden, kann nicht nur überprüft werden, wie sich die Sicherheitslage im Unternehmen verändert. Es ermöglicht zudem, das Budget zum Management von Insider-Gefahren zu sichern und sich als Team laufend zu verbessern.

Zusammenfassung

Mit diesen Best Practices sollen Unternehmen die immer relevanter werdenden Insider-Gefahren effizient managen können. TECHWAY unterstützt Sie gerne bei der Implementierung und Planung von Massnahmen im Bereich Insider-Gefahren. Vereinbaren Sie ein unverbindliches Erstgespräch.

Was Insider-Gefahren genau sind, lesen Sie in diesem Blogbeitrag.