Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Insider-Bedrohungen, Teil 4: Die Schlussfolgerungen

In dieser Serie von Blogeinträgen zu Insider-Bedrohungen haben wir viele Aspekte beleuchtet. Kurz zusammengefasst: Insider, die IT-Sabotage begehen oder sensible Informationen stehlen, sind in der Regel technisch versierte Mitarbeiter mit...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Inhalt

    In dieser Serie von Blogeinträgen zu Insider-Bedrohungen haben wir viele Aspekte beleuchtet. Kurz zusammengefasst: Insider, die IT-Sabotage begehen oder sensible Informationen stehlen, sind in der Regel technisch versierte Mitarbeiter mit einer Tendenz zu destruktivem Verhalten. Es gibt jedoch in den allermeisten Fällen einen Auslöser – eine Enttäuschung hinsichtlich Job oder Karriere –, der das Fass zum Überlaufen bringt und als Initialzündung fungieren kann.

    Gibt es irgendeine Möglichkeit, einen Insider-Vorfall zu verhindern oder das Risiko zu entschärfen? Das Forscherteam des Computer Emergency Response Teams (CERT) der Carnegie Mellon University in Pittsburgh, dessen Statistiken und Modelle ich hier verwendet habe, listet auch einige praktische Tipps zur Bekämpfung von Insider-Bedrohungen auf. Ich hatte bereits die Möglichkeit erwähnt, potenzielle Insider schon zu einem frühen Zeitpunkt zu überprüfen und sie sogar direkt anzusprechen, um zu signalisieren, dass das Unternehmen Datenschutz und Datensicherheit ernst nimmt. Auch die Schulung sämtlicher Mitarbeiter und Rundschreiben zum Datenschutz können helfen nicht in die „Vertrauensfalle“ zu tappen.

    Zum Abschluss dieser Blogserie möchte ich Ihnen meine Top 5 der Best Practices des CERT zum Umgang mit Insider-Bedrohungen nicht vorenthalten:

    1. Legen Sie starke Passwortrichtlinien fest – Natürlich sollten Sie stets die Nutzung starker Passwörter durchsetzen und diese mit Listen häufig verwendeter Kennwörter abgleichen. Im Hinblick auf Insider-Bedrohungen gewinnt dieser Punkt zusätzlich an Bedeutung. Wenn es sich bei den Insidern um Systemadministratoren handelt, haben sie wahrscheinlich Zugang zu Passwort-Hashes. Von unserem Wettbewerb Smarter Than a Hacker wissen wir, dass schwache Passwörter zu schwachen Hashes führen, die man mit einfachen Standard-Tools knacken kann. Machen Sie es Insidern schwer: Seien Sie bei allen Passwörtern streng.
    2. Setzen Sie das Prinzip der minimalen Rechtevergabe und Aufgabentrennung durch – Lesern unseres Blogs sind unsere Moralpredigten zum Prinzip der minimalen Vergabe von Rechten schon vertraut. Seien Sie bei der Vergabe von Zugriffsrechten auf Dateien und Ordner äußerst kleinlich. Und richten Sie die entsprechenden Kontrollmechanismen ein, um die Zugriffsaktivitäten der Nutzer zu überwachen und neue Zugriffsanforderungen zu bearbeiten. Eine strikte Aufgabentrennung ist hier das A und O. Die Mitarbeiter, die zusätzliche Zugriffsberechtigungen anfordern, dürfen sich diese nicht selbst gewähren. Dieses Prinzip gilt auch für Software: Neue Software sollte nicht von demselben Team entwickelt und getestet werden. Das ist die beste Art, Logikbomben zu verhindern.
    3. Achtung bei Kündigungen und Herabstufungen – Hier kommen Trigger-Ereignisse ins Spiel, die einen Mitarbeiter zur Insider-Gefahr werden lassen. Laut CERT sind Kündigungen zumeist der Auslöser (bei Mitarbeitern mit einer gewissen Veranlagung dazu) böswillig technische Maßnahmen zu ergreifen. Eine kompetente IT-Abteilung sollte alle Zugriffsmöglichkeiten eines gekündigten Mitarbeiters kennen und sie blockieren, bevor er die schlechte Nachricht erhält. Bei verärgerten Mitarbeitern, die das Unternehmen freiwillig verlassen, sollte die IT-Abteilung bereits die vorhergehenden Ereignisse registriert und Dateiaktivitäten gegebenenfalls überwacht haben.
    4. Denken Sie auch an Dritte und Lieferanten – Man vergisst leicht, dass das Intranet von Organisationen nicht nur den Mitarbeitern offen steht. Häufig greifen auch Kunden, Lieferanten und freiberufliche Mitarbeiter von außen darauf zu. Auch sie gelten als Insider! In diesen Fällen ist es schwierig, vorherige Ereignisse direkt zu beobachten, doch man sollte externe Aktivitäten aufmerksam verfolgen. Die IT sollte Netzwerk -und Dateiaktivitäten von Dritten standardmäßig protokollieren und überprüfen.
    5. Erstellen Sie immer Backups – Da die massenhafte Löschung von Daten eine ausgesprochen häufige Form der IT-Sabotage ist, müssen Organisationen einen Wiederherstellungsplan für ihre Dateisysteme parat haben. Dazu müssen sie natürlich häufige Backups aller wichtigen, unternehmenskritischen Daten erstellen. Andere, weniger kritische, aber dennoch wichtige Daten können in etwas größeren Abständen gesichert werden. Arbeiten Sie einen „Schlachtplan“ für unterschiedliche Worst-Case-Szenarien aus – zum Beispiel anhand von Fragen wie: „Wenn ein Mitarbeiter unseren Hauptserver löschen oder außer Gefecht setzen würde, was würden wir dann tun?“

    The post Insider-Bedrohungen, Teil 4: Die Schlussfolgerungen appeared first on Varonis Deutsch.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?