- Anzeigen -

Insider immer ein gewisses Risiko


Studie belegt: 36 Prozent der Informationssicherheits-Experten warnen vor unbeabsichtigten Insidern
Angreifer zielen auf User als schwächstes Glied, um sich Zugang zu den Unternehmen zu verschaffen

- Anzeigen -





IT-Sicherheitsteams richten ihren Blick vor allem auf die Verteidigung ihrer Organisationen gegen Angriffe von außen, dass sie eine Bedrohung mit einem weit größeren Schadenspotenzial komplett ignorieren. So lautet das Ergebnis einer neuen Befragung von Cybersicherheitsexperten, die das Sans Institute kürzlich veröffentlichte. 76 Prozent dieser Sicherheits- und IT-Experten gaben an, dass der größte potentielle Schaden von einem Sicherheitsvorfall entstehen könnte, der von einem eigenen oder externen Mitarbeiter mit entsprechenden Zugriffsrechten herbeigeführt wird.

Die Bedrohung wächst stetig, 40 Prozent der Befragten gaben an, dass sie eine Insider-Attacke als sehr gefährlich einstufen. Weitere 36 Prozent sehen auch unbeabsichtigte Insider-Angriffe kritisch für die eigenen Sicherheitsmaßnahmen. Nur 23 Prozent sagten, dass der größte Schaden durch Angriffe von außen herbeigeführt wurde. Trotzdem haben nur lediglich 18 Prozent einen Incident Response-Plan für Insider-Bedrohungen in der Schublade und 49 Prozent gaben an, dass sie derzeit daran arbeiten. Die Gefahr wurde anscheinend lange unterschätzt.

Da der Schutz von Unternehmen gegen Attacken von außen immer wirksamer wird, sehen sich Angreifer nach einfacheren Zielen um. Dazu zählen beispielsweise Benutzer, die bereits Zugang zu hochsensiblen Unternehmensinformationen besitzen und sich leichter täuschen lassen als Sicherheitssysteme. Unternehmen reagieren nur langsam darauf. Obwohl der Ursprung des Anschlags außerhalb liegt, kann das entscheidende Schlupfloch für den Angreifer ein Insider gewesen sein. Vielleicht verfolgte dieser sogar gar keine böse Absicht und wurde schlicht von einem Außenstehenden überlistet und dazu verführt, Schaden zu verursachen (Daten zu kopieren, Transaktionen vorzunehmen).

Nur ein kleiner Teil scheint zu ahnen, um wie viel Schaden es dabei geht. 45 Prozent der Befragten konnten die Kosten für einen potenziellen Verlust nicht beziffern. Gleichzeitig antworteten 33 Prozent damit, keine Angaben darüber machen zu können. Die anderen Angaben liegen zwischen 100.000 und 5 Mio. US-Dollar. Das wirkt zunächst überraschend. Allerdings berichteten nur einzelne Unternehmen, über Insider-Erkennungsprogramme zu verfügen, die gründlich genug seien, um interne Bedrohungen zuverlässig aufzuspüren. Das gleiche Sichtbarkeitsdefizit würde es erschweren, das Ausmaß eines möglichen Insider-Angriffs zu bestimmen oder die anschließenden Wiederherstellungskosten einzuschätzen.

Die Umfrageergebnisse zeigen, dass 62 Prozent der Studienteilnehmer noch nie einen internen Angriff erlebt haben. Unter Umständen verweist dies auf eine geringe Sichtbarkeit, aber nicht automatisch auch auf ein geringes Risiko. 38 Prozent der Befragten bezeichneten die von ihnen verwendeten Systeme und Methoden als ineffektiv. Das macht es noch unwahrscheinlicher, dass sie einen sich ereignenden Insider-Angriff identifizieren könnten.

Mangelnde Sichtbarkeit ist eine Sache, fehlende Vorbereitung eine andere. Denn fast ein Drittel (31 Prozent) der Studienteilnehmer gab an, kein formelles Programm oder Vorbereitungen für den Umgang mit Bedrohungen von innen umzusetzen.

"Während vorsätzliche und mit krimineller Absicht agierende Insider immer ein gewisses Risiko darstellen, vergessen viele Unternehmen, dass ein externer Angriff oft auf einen legitimen Insider abzielt und dazu verleitet Schaden anzurichten", erklärt Sans-Instructor und Studienautor Dr. Eric Cole. "Dieser zufällige Insider könnte als ein Weg vom Angreifer genutzt werden, um aus einem Unternehmen die sensibelsten Daten mitzunehmen, ohne, dass es jemandem auffällt. Und nur wenige Unternehmen wissen überhaupt, dass ein solcher Vorfall überhaupt passiert ist."

"Insider mit bösartigen Absichten waren schon immer eine Gefahr, jedoch wächst das Risiko, wenn unabsichtlich eigentlich unauffällige Insider Informationen an ein falsches Help-Desk herausgeben oder auf Anhänge klicken, die Schadsoftware zum Stehlen von Passwörtern herunterladen." Cole zur Folge: "Ist jedes Unternehmen nur einen Klick von einem Sicherheitsvorfall entfernt."
(Sans Institute: ra)

eingetragen: 22.08.17
Home & Newsletterlauf: 20.09.17

Sans Institute: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Umfrage zum Finanzwissen der Deutschen

    Zwei Drittel aller Deutschen haben sich nach eigenen Angaben bereits ernsthaft mit ihrer Altersvorsorge beschäftigt - unabhängig vom Geschlecht. Aber: Die Beschäftigung mit Geld und Finanzen ist für Frauen offenbar immer noch eher Pflichterfüllung als Herzensangelegenheit. Während mehr als die Hälfte der Männer in Deutschland ein sehr starkes oder starkes Interesse für Wirtschaftsthemen bekunden und sich in punkto Börsenwissen fit fühlen, interessieren sich 60 Prozent der Frauen kaum oder gar nicht für diese Themen. Über die Hälfte der Frauen stimmt mehr oder weniger der Aussage zu: "Von dem, was an der Börse geschieht, habe ich keine Ahnung".

  • DSGVO/GDPR-Bereitschaft von Unternehmen

    Eine neue Studie von IBM zeigt, dass fast 60 Prozent der befragten Unternehmen die Datenschutzgrundverordnung (DSGVO) als Chance zur Verbesserung der Privatsphäre, Sicherheit, Datenverwaltung und Katalysator für neue Geschäftsmodelle ansehen - weniger als ein Compliance-Problem oder ein Hindernis. Um Risiken zu reduzieren, zeigte die Studie, dass die Mehrheit der befragten Unternehmen bei den Daten, die sie sammeln und verwalten, selektiver vorgehen will. 70 Prozent der befragten Unternehmen gaben an, dass sie Daten vor Ablauf der Compliance-Frist entsorgen wollen.

  • Verbreitung der elektronischen Rechnung

    Wenn die neue EU-Richtlinie zur elektronischen Rechnung im Herbst in Kraft tritt, müssen einige Unternehmen nachbessern. Auch Deutschland gehört zu den Ländern, in denen Firmen bei Invoicing am häufigsten mit Compliance-Problemen kämpfen. Den Status-Quo zeigen zwei neue Studien, darunter eine internationale Erhebung sowie eine Studie zu E-Invoicing bei Deutschlands Top-700-Unternehmen von Comarch und Fraunhofer, welche im Mai im Porsche Museum in Stuttgart im Detail vorgestellt wird. Ab 27. November 2018 gilt die "Europäische Norm für die elektronische Rechnungsstellung" auch in Deutschland für Bundesministerien und Verfassungsorgane. Ein Jahr später werden alle weiteren öffentlichen Auftraggeber des Bundes die elektronische Rechnung von ihren Geschäftspartnern verlangen. Die erwarteten Einsparungen werden auf vier bis neun Milliarden Euro pro Jahr beziffert. Davon betroffen sind alle Unternehmen, welche bereits jetzt mit dem Bund Rechnungen austauschen oder sich an zukünftigen Ausschreibungen beteiligen wollen. Damit erhält die Digitalisierung des Rechnungswesens EU-weit einen neuen Schub.

  • Geschlechterneutrale Beurteilung forcieren

    Frauen schneiden im zweiten juristischen Staatsexamen um knapp 2 Prozent schlechter ab als Männer. Im Bereich der Prädikatsnoten ist der Geschlechtereffekt zuungunsten der Frauen besonders ausgeprägt: 12 Prozent weniger Frauen überspringen die überaus karriererelevante Notenschwelle von 9 Punkten. Nur wer mit einer Note von 9 Punkten oder besser ein so genanntes Prädikatsexamen vorweisen kann, wird zum Beispiel zum Staatsdienst zugelassen. Bezieht man weitere Faktoren wie Abiturnote, Alter und Prüfungszeitpunkt in den statistischen Vergleich ein, sind die Unterschiede noch ausgeprägter. Auch ein Migrationshintergrund führt zu schlechteren Noten. So schneiden Rechtsreferendare, die im Ausland geboren sind und keine deutsche Staatsbürgerschaft besitzen, im zweiten Examen 17 Prozent schlechter ab als deutsche Prüflinge. Die Wahrscheinlichkeit, eine Prädikatsnote zu erreichen, ist für sie sogar um 70 Prozent geringer. Auch in Deutschland geborene Prüflingen mit deutschen Pass, aber "nicht-deutschem" Namen werden im Durchschnitt schlechter beurteilt. Die Unterschiede bleiben auch bestehen, wenn Vornoten in die Analyse einbezogen werden.

  • Internet der Dinge und Privatsphäre

    Ein neuer Bericht, der von den Analysten der The Economist Intelligence Unit (EIU) veröffentlicht wurde, zeigt, dass Verbraucher die umfangreichen Risiken wahrnehmen, die vom Speichern und Weiterverbreiten persönlicher Daten durch Dritte ausgehen. Der Report basiert auf der Studie "Was das Internet der Dinge für die Privatsphäre bedeutet" (im Original: "What the Internet of Things means for consumer privacy") im Auftrag von ForgeRock, dem führenden Plattformanbieter für digitales Identitätsmanagement. Um ihre Privatsphäre im Bereich Internet of Things (IoT) zu schützen, fordern Konsumenten bessere Transparenz und mehr Kontrolle, aber auch die Handlungsbereitschaft von Regierung und der Industrie. Für diese Studie wurden 1.629 Verbraucher aus acht Ländern (Deutschland, Frankreich, Großbritannien, USA, Australien, China, Japan und Südkorea) befragt.