Der Begriff „Insider-Bedrohung“ im E-Mail-Sicherheitsbereich lässt auf böswillige Mitarbeiter schließen, aber die Wahrheit ist komplizierter. Verizons 2020 Data Breach Investigations Report zufolge wurden 30 Prozent der Datenverletzungen im Jahr 2019 von internen Akteuren verursacht. Dabei waren jedoch 22 Prozent der Verstöße auf Fehler und acht Prozent auf den Missbrauch von Berechtigungen zurückzuführen.

Der Verizon-Bericht zeigt, dass die Auswirkungen einer Insider-Bedrohung zwar real sind, böswillige Mitarbeiter aber nur einen kleinen Teil des Problems ausmachen. Vierundneunzig Prozent der Verstöße beginnen mit E-Mails, denn damit verbringen Mitarbeiter einen erheblichen Teil ihres Arbeitstages. Ob es nun um Phishing, Malware oder Ransomware geht – die häufigsten Arten der E-Mailbedrohung –, die Mitarbeiter sind nicht nur anfällig für Angriffe, sondern auch in der Lage, Bedrohungen im gesamten Unternehmen zu verbreiten, sowohl versehentlich als auch absichtlich.

Wie ein Mitarbeiter zu einer Insider-Bedrohung wird

Abgesehen von böswilligen Mitarbeitern gibt es auch eine Reihe von Möglichkeiten, bei denen ein guter Mitarbeiter unbeabsichtigt zu einer Insider-Bedrohung werden kann. Nachstehend sind nur einige Beispiele aufgeführt:

Mangelndes Training

Cybersicherheits-Sensibilisierungstrainings finden immer häufiger statt, aber viele Unternehmen investieren nicht bedeutend oder sinnvoll in ihre Mitarbeiter. Schlecht geschulte oder ungeschulte Mitarbeiter neigen eher dazu, auf Phishing-Links und -Anhänge zu klicken, was zu Diebstahl von Benutzerdaten, Malware und anderen Bedrohungen im gesamten Unternehmen führen kann.

Teilen bösartiger Links und Dateien

Mitarbeiter, die bösartige E-Mails nicht erkennen, können diese versehentlich an andere Mitarbeiter weiterleiten, und genau das tun sie auch. Einer der bekanntesten Fälle von Insider-Bedrohung ereignete sich während der US-Präsidentschaftswahlen 2016, als ein Helpdesk-Admin von Hillary Clinton eine Google-Phishing-E-Mail an den für die Kampagne verantwortlichen Stabschef weiterleitete. Bei der Phishing-E-Mail handelte es sich um eine gefälschte Anmeldeversuch-Warnung von Google, in der Clintons Wahlkampfmanager Podesta aufgefordert wurde, sein E-Mail-Passwort zu ändern. Er tat es, und der Rest ist Geschichte.

Wenn bekannte Bedrohungen nicht gemeldet werden

Das Melden von E-Mail-Bedrohungen zum Zeitpunkt ihrer Entdeckung ist eine der besten Möglichkeiten, einen Angriff zu stoppen, bevor er sich in einer Organisation ausbreitet. Leider melden selbst Benutzer, die geschult sind, Phishing-E-Mails und andere Bedrohungen zu erkennen, diese nicht sofort. Tatsächlich sinkt die Melderate mit der Zeit, die zwischen den einzelnen Schulungen verstreicht, und so werden lediglich 17 Prozent der Phishing-E-Mails gemeldet.

Auf Links und Anhänge klicken

Sechsundvierzig Prozent der Unternehmen gaben an, dass ihre Organisation im Jahr 2019 Malware per E-Mail erhalten hat. Office-Dokumente waren der beliebteste Dateityp, der zur Verbreitung von Malware verwendet wurde, und Phishing war der Hauptangriffsvektor. Benutzer, die auf Links und Anhänge klicken, können damit Malware, Ransomware und sogar Insider-Angriffe von Hackern auslösen, die Mitarbeiterkonten durch Phishing hacken und dann zusätzliche Angriffe aus dem Inneren der Unternehmensanwendungen, einschließlich Microsoft 365, durchführen.

Schutz vor Insider-Bedrohungen

Secure Email Gateways (SEG) sind nach wie vor die gebräuchlichste E-Mail-Sicherheitslösung, aber sie stoßen an ihre Grenzen, wenn es um Insider-Bedrohungen in der Cloud geht. Erstens: SEGs sitzen außerhalb der Cloud, wo sich die E-Mails –  und Microsoft 365 – befinden. Und während einige SEGs zwar Insider-Bedrohungen nach der Zustellung beheben können, so sind viele nicht in der Lage, unternehmensinterne E-Mails bei der Zustellung zu scannen, da sie den Mandanten nie verlassen. Das bedeutet, dass das Unternehmen darauf warten – und hoffen – muss, dass der SEG die E-Mail-Bedrohung im Nachhinein abfängt, bevor ein Benutzer die E-Mail öffnet.

Bei der Verwendung von Microsoft 365 muss eine Lösung nativ in Microsoft integriert sein, API-basiert und in der Lage, interne E-Mails zu scannen. Insider-Bedrohungen durch E-Mails, ob sie nun böswillig oder unbeabsichtigt sind, können auf böswillige Anhänge, Links und sogar auf verdächtiges Verhalten wie Pretexting und Social Engineering – Techniken, wie man sie in Spear-Phishing-Angriffen findet – untersucht werden.

Darüber hinaus können Tools für Identitäts- und Zugriffsmanagement (IAM) verdächtiges Verhalten sowohl vor als auch nach einem Angriff überwachen. IAM-Tools, einschließlich MFA und Azure AD Identity Protection, können zum Beispiel unmögliche Logins von unterwegs oder Anmeldeversuche erkennen, die weit vom Standort des Mitarbeiters entfernt stattfinden. Das ist oft das erste Anzeichen für eine unberechtigte Anmeldung, und hier kommen die Benachrichtigungen schnell.

In „Protecting Email Compromise Phishing“ stellt Gartner fest, dass IAM-Tools besonders wichtig für den Schutz von Microsoft 365 sind, wo es häufig vorkommt, dass Konten gehackt werden. Wenn z. B. ein Microsoft 365-Passwort geknackt wird, kann MFA das Potenzial einer Kontoübernahme mit Push-Benachrichtigungen oder Einmal-Passwörtern reduzieren.

Vade Secure for Microsoft 365 ist über eine API nativ in Microsoft 365 integriert und ermöglicht die Analyse des internen E-Mail-Verkehrs. Der Content-Filter von Vade schützt weltweit 1 Milliarde Posteingänge und liefert die Bedrohungsinformationen und das Benutzer-Feedback, mit denen unsere Machine Learning-Algorithmen trainiert werden, um Phishing, Malware, Ransomware und Spear-Phishing zu erkennen und zu blockieren.