Insider-Bedrohung
Was ist Insider-Bedrohung?
Insider-BedrohungRisiko, dass ein aktueller oder ehemaliger Mitarbeiter, Dienstleister oder Partner mit autorisiertem Zugriff diesen vorsaetzlich oder fahrlaessig missbraucht.
Insider-Bedrohungen lassen sich in drei Muster gliedern. Boswillige Insider exfiltrieren absichtlich Daten, sabotieren Systeme, betrueben oder verkaufen Zugaenge; Motive sind Geld, Rache, Ideologie oder Zwang. Fahrlaessige Insider verursachen Vorfaelle durch schlechte Hygiene (falsch behandelte Dokumente, schwache Passworter, fehlgeleitete E-Mails, Shadow IT). Kompromittierte Insider sind legitime Nutzer, deren Accounts uebernommen wurden. Detektionsprogramme kombinieren HR-Signale, UEBA, DLP, Privileged-Access-Monitoring, Funktionstrennung und Need-to-know. Beispiele sind die Snowden-NSA-Veroeffentlichungen 2013, die Manning-WikiLeaks-Leaks 2010 sowie viele Ransomware-Faelle, in denen Mitarbeitende rekrutiert oder erpresst werden.
● Beispiele
- 01
Ein ausscheidender Ingenieur kopiert vor seiner Kuendigung Quellcode und Kundenlisten in einen privaten Cloud-Speicher.
- 02
Ein Help-Desk-Mitarbeitender wird von einer Ransomware-Gruppe per Social Engineering dazu gebracht, MFA fuer ein privilegiertes Konto zuruckzusetzen.
● Häufige Fragen
Was ist Insider-Bedrohung?
Risiko, dass ein aktueller oder ehemaliger Mitarbeiter, Dienstleister oder Partner mit autorisiertem Zugriff diesen vorsaetzlich oder fahrlaessig missbraucht. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Insider-Bedrohung?
Risiko, dass ein aktueller oder ehemaliger Mitarbeiter, Dienstleister oder Partner mit autorisiertem Zugriff diesen vorsaetzlich oder fahrlaessig missbraucht.
Wie funktioniert Insider-Bedrohung?
Insider-Bedrohungen lassen sich in drei Muster gliedern. Boswillige Insider exfiltrieren absichtlich Daten, sabotieren Systeme, betrueben oder verkaufen Zugaenge; Motive sind Geld, Rache, Ideologie oder Zwang. Fahrlaessige Insider verursachen Vorfaelle durch schlechte Hygiene (falsch behandelte Dokumente, schwache Passworter, fehlgeleitete E-Mails, Shadow IT). Kompromittierte Insider sind legitime Nutzer, deren Accounts uebernommen wurden. Detektionsprogramme kombinieren HR-Signale, UEBA, DLP, Privileged-Access-Monitoring, Funktionstrennung und Need-to-know. Beispiele sind die Snowden-NSA-Veroeffentlichungen 2013, die Manning-WikiLeaks-Leaks 2010 sowie viele Ransomware-Faelle, in denen Mitarbeitende rekrutiert oder erpresst werden.
Wie schützt man sich gegen Insider-Bedrohung?
Schutzmaßnahmen gegen Insider-Bedrohung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Insider-Bedrohung?
Übliche alternative Bezeichnungen: Insider-Risiko.
● Verwandte Begriffe
- defense-ops№ 1145
Bedrohungsakteur
Person oder Gruppe, die ueber Cyberoperationen vorsaetzlich Schaden an Informationssystemen, Organisationen oder Menschen verursacht oder dies versucht.
- privacy№ 278
Data Loss Prevention (DLP)
Technologien und Richtlinien, die unbefugte Abflüsse sensibler Daten auf Endpunkten, im Netzwerk, in E-Mails und in Cloud-Diensten erkennen und blockieren.
- identity-access№ 861
Privileged Access Management (PAM)
Praktiken und Werkzeuge, die Zugriffe auf Konten und Systeme mit erhöhten administrativen Rechten absichern, steuern, überwachen und auditieren.
- defense-ops№ 1189
UEBA (User and Entity Behavior Analytics)
Erkennungstechnologie, die normales Verhalten von Nutzern und Entitäten modelliert und mit Statistik oder Machine Learning Abweichungen aufdeckt, die auf Kompromittierung oder Insider-Risiken hinweisen.
- attacks№ 1065
Social Engineering
Psychologische Manipulation, mit der Menschen zu Handlungen oder zur Preisgabe vertraulicher Informationen bewegt werden, von denen ein Angreifer profitiert.
- defense-ops№ 901
Ransomware-Bande
Finanziell motivierte Cybercrime-Gruppe, die Ransomware entwickelt, betreibt oder verteilt, um Organisationen ueber Verschluesselung und Datenleak-Drohungen zu erpressen.
● Siehe auch
- № 068ATM-Jackpotting