InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Fachleute weisen immer wieder darauf hin, dass Insider für fast die Hälfte aller Sicherheitsverletzungen verantwortlich sind. Unabhängig davon, ob diese absichtlich oder durch Missbrauch verursacht wurden, gilt es sich mit den Risiken und den Beweggründen von Insider Threats auseinanderzusetzen. Diesem Thema hat sich auch David L. Charney in seinem Whitepaper «True Psychology of the Insider Spy» gewidmet und er gibt Einblicke in die wahre Psychologie eines Insider-Spions. Wir möchten die Erkenntnisse daraus im nachfolgenden Blogartikel kurz zusammenfassen.
Warum nehmen die Insider-Bedrohungen zu? Ein Grund ist das häufige Job-Hopping. Die Zeiten, in denen Arbeitnehmer ihre gesamte Karriere bei einem Unternehmen verbrachten, sind vorbei. Mangelnde Loyalität gegenüber dem Arbeitgeber und höhere Wechselraten erhöhen das Risiko des Diebstahls von geistigem Eigentum und vertraulichen Informationen. Und so nehmen auch viele Mitarbeitende Daten mit, wenn sie den Arbeitsplatz wechseln. Neben der höheren Wahrscheinlichkeit der Datenexfiltration ist auch der eigentliche Datendiebstahl viel einfacher geworden. Dank COVID-19 arbeiten die Mitarbeitenden von heute von zu Hause aus und können auf Unternehmensdaten zugreifen, wo auch immer sie sich gerade befinden. Was sich dabei auf der psychologischen Ebene abspielt, erklärt David L. Charney im Whitepaper «True Psychology of the Insider Spy».
Die Theorie des Betrugsdreiecks konzentriert sich auf die Auslöser, die den Grundstein für die Umkehr des Insiders legen. Im Gegensatz dazu betrachtet das Multiple-Life-Stage-Modell eine viel längere Zeitspanne, einschliesslich der Zeit vor, während und nach einem Angriff. Ähnlich wie das Betrugsdreieck beginnt das Modell mit Sensibilisierungs- und Stressphasen. Kränkende Kindheitserfahrungen können den Insider sensibilisieren. Später können zusätzliche Stressoren im Berufs- und Privatleben (z.B. Steuerprüfung, Scheidung, Degradierung), die in einem kurzen Zeitraum (6-12 Monate) auftreten, sich zu einer Stressspirale entwickeln. Die eigentliche Entscheidung, etwas zu unternehmen, wird dann getroffen, wenn der Stress im Berufs- oder Privatleben oder in beiden Bereichen unerträglich wird.
Wenn die Rationalisierung einer möglichen Spionage oder eines Diebstahls einsetzt, schafft der Insider eine persönliche Blase, in der alles einen Sinn ergibt und die Handlungen klar und gerechtfertigt sind. Ein mögliches Gefühl des inneren Versagens angesichts des Stresses wird geleugnet und die Schuld wird nach aussen auf Kollegen, den Arbeitsplatz oder die Lebensumstände projiziert. Der Insider erstellt einen «Payback»-Plan innerhalb seiner persönlichen Blase, bei dem Geldprobleme gelöst und Druck durch eine einfache, völlig gerechtfertigte Handlung abgebaut wird.
Sobald die Entscheidung eines Angriffs gefallen ist, tritt der böswillige Insider in die Honeymoon-Phase ein, in der ein Gefühl der Erleichterung und der Lösung von finanziellem Druck, Arbeitsstress oder familiären Problemen herrscht. Alles macht jetzt innerhalb seiner persönlichen Blase einen Sinn. Sobald der Druck jedoch nachlässt, setzt die Realität ein. Die Argumentation, die vorher völlig sinnvoll war, ist plötzlich schwer nachvollziehbar. Der Insider wird mit einem schockierenden Gefühl der «kalten Dusche» zurückgelassen: «Was habe ich mir nur dabei gedacht?!»
David L. Charney beschreibt zwei Probleme mit welchen der Insider nun konfrontiert ist. Der Erste ist die Unfähigkeit, mit dem Leben umzugehen, was enormen inneren Druck erzeugt. Zweitens das Feststecken in der Rolle eines Diebes oder Verräters, die nicht aufgelöst werden kann, ohne die Errungenschaften des Lebens zu verlieren und sich der Strafe zu stellen.
Für den böswilligen Insider gibt es keinen Weg zurück. Da die Entscheidung, vertrauliche Informationen zu stehlen oder eine Organisation auszuspionieren in höchstem Masse inakzeptabel und strafbar ist, gibt es für den Insider – ob er Reue empfindet oder nicht – keinen Weg zurück in ein normales Leben. Böswillige Insider werden eine Zeit lang aktiv stehlen und spionieren, wobei sie ihre Handlungen verheimlichen. Sie können in eine so genannte Ruhephase eintreten, in der es keine Aktivitäten gibt. Phasen der Ruhe und Aktivität können sich über einen Zeitraum von Monaten bis zu mehreren Jahren abwechseln.
Die meisten Insider, die böswillig werden, sehen sich schliesslich mit Gewissensbissen und Angst konfrontiert und der ständigen Unsicherheit, erwischt zu werden. Daher kann ihre letztendliche Verhaftung mit einem hohen Stresslevel verbunden sein, aber auch eine Erleichterung von der Ungewissheit bedeuten.
In der letzten Phase, die in den meisten Fällen mit Konsequenzen verbunden ist, reflektieren sie oft zum ersten Mal über ihre Taten. Zuvor hin- und hergerissen zwischen dem Vergleich mit anderen, dem Druck des Lebens, wird die Isolation – physisch, sozial oder beides – einen realistischeren Blick auf das Leben des Insiders, seine schlechten Entscheidungen und die Konsequenzen ermöglichen.
Letztendlich ist es entscheidend, die Psychologie einer Insider-Bedrohung zu verstehen, um diese erfolgreich aufzuspüren. Es gibt noch keine Technologie, die anhand von Stressfaktoren erkennen kann, ob jemand kurz vor einem Kipppunkt steht – oder zumindest ist uns dies nicht bekannt. Deshalb ist der erste Schritt einer angemessenen Reaktion auf eine Insider-Bedrohung, das Bewusstsein für das Problem zu schärfen. Die Zuständigkeiten für die Erkennung, das Eingreifen und die Vorbeugung von Insider-Bedrohungen werden aber häufig zwischen den Abteilungen für Informationssicherheit, Recht und Personal (HR) aufgeteilt. Eine klare Definition von Massnahmen und Zuständigkeiten ist für die Umsetzung eines wirksamen Programms gegen Insider-Bedrohungen von entscheidender Bedeutung. Geeignete Breach Detection-Lösungen, beispielsweise von unserem Partner Vectra AI helfen Ihnen dabei mögliche Anzeichen für ein untypisches Verhalten eines Users zu erkennen.
Die Cognito-Plattform von Vectra AI ermöglicht die Echtzeit-Analyse von Bedrohungen und Angriffen basierend auf der kontinuierlichen Überwachung des Netzwerkverkehrs. Die Kombination aus Methoden aus Data Science, dem maschinellen Lernen sowie der Verhaltensanalyse erlaubt die automatische Erkennung aller Phasen eines Cyberangriffs. Vectra erkennt automatisch, wenn Angreifer herumspionieren, sich im Netzwerk ausbreiten oder schliesslich versuchen, Informationen zu stehlen. Mit Vectra erhalten Sie volle Visibilität über sämtliche Vorgänge in Ihrer Infrastruktur und können so Anzeichen von Cyberattacken und Insider Threats frühzeitig erkennen. Möchten Sie mehr über die KI-basierte Lösung von Vectra AI oder Insiderbedrohungen erfahren, dann kontaktieren Sie unsere Experten im Cyber Defence Center. Sie beraten Sie gerne.