In puncto Insider-Bedrohungen hat nun auch das internationale Wirtschaftsprüfungs- und Beratungsunternehmen Deloitte Alarm geschlagen. Der Artikel in der CIO-Rubrik des Wall Street Journal ist lesenswert.
Die Infografik, die Deloitte anhand der Studienergebnisse erstellt hat, hebt insbesondere zwei Punkte hervor:
– In 92 Prozent aller Fälle ging der Insider-Bedrohung ein als negativ bewertetes Ereignis am Arbeitsplatz voraus
– 51 Prozent der an einem Fall von Insider-Bedrohungen beteiligten Mitarbeiter hatten bereits zuvor gegen IT-Sicherheitsrichtlinien verstoßen.
In der Infografik werden einige der häufig auftretenden Anzeichen und Verhaltensweisen, die verärgerte Mitarbeiter vor ihrer Tat zeigen, aufgelistet. Dazu gehören Unregelmäßigkeiten bei Spesenabrechnungen, nicht selten verändert sich die Arbeitsleistung und – was (für uns) am interessantesten ist – es sind ungewöhnliche E-Mail-Aktivitäten und der Missbrauch von Zugangsberechtigungen zu beobachten.
Die Deloitte-Studie ist definitiv geeignet das Top-Management in Unternehmen auf diese Tatbestände aufmerksam zu machen, denen vielfach noch zu wenig Beachtung geschenkt wird. In unserem Blog haben wir uns verschiedentlich mit den Verhaltensweisen von Insidern beschäftigt und sie analysiert. Forschungsergebnisse des Computer Emergency Response Teams (CERT) der Carnegie Mellon University (CMU) zeigen, dass Insider ihre Tat im Vorfeld nicht nur planen sondern sozusagen „proben“ und dabei die Sicherheitsvorkehrungen testen. Wenn Unternehmen allerdings einschätzen können, welche Netzwerkaktivitäten für bestimmte Nutzer normal sind, lassen sich solche Probeläufe von Insidern mithilfe einer Technologie zur Analyse des Nutzerverhaltens erkennen und Schlimmeres verhindern.
Adnan Amjad und Michael Gelles von Deloitte stellen praktikable Tipps zur Verfügung um Insider-Bedrohungen systematisch zu begegnen. Zu ihrem 9-Punkte-Programm gehört es Stakeholder mit einzubeziehen, Schulungen abzuhalten und die Dateiaktivitäten zu überwachen. Außerdem sind die Analyse des Nutzerverhaltens sowie Korrelationsanalysen Teil ihres Programms. Amjad und Gelles weisen ausdrücklich darauf hin, dass Insider wahrnehmbare Verhaltensweisen an den Tag legen, die Unternehmen erkennen, sobald sie „Profile mit normalen Verhaltensmustern erstellen, die helfen, Abweichungen zu identifizieren“.
Amjad und Gelles stützen ihre Empfehlungen zur Überwachung des Nutzerverhaltens übrigens auf die oben genannten Forschungsergebnisse des CERT. Sobald man Insider-Bedrohungen und den damit verbundenen Anzeichen mehr Beachtung schenkt, lässt sich dieses IT-Sicherheitsproblem sehr wohl entschärfen.