Insider-Bedrohungen gewinnen zunehmend an Bedeutung, da sie eine einzigartige Gefahr darstellen. Bei dieser Art von Cyberangriff nutzen vertrauenswürdige Personen innerhalb des Unternehmens ihren legitimierten und autorisierten Zugang zu sensiblen Daten und Vermögenswerten, um Schaden anzurichten.

Laut dem Cost of Insider Threats Global Report 2022 des Ponemon Institute erfahren 67 Prozent der Unternehmen jährlich zwischen 21 und 40 Sicherheitsvorfälle durch Insider. Im Vergleich zu den knapp 60 Prozent im Jahr 2020 zeigt dies einen alarmierenden Anstieg. Diese Vorfälle können auf verschiedene Ursachen zurückzuführen sein, angefangen bei böswilligen Absichten wie Rache oder Datendiebstahl bis hin zur Fahrlässigkeit von Mitarbeitern, die Sicherheitsrichtlinien nicht ausreichend beachten.

Das Hauptproblem besteht darin, dass die meisten IT-Sicherheitslösungen darauf abzielen, unbefugte Zugriffe von außen zu erkennen und zu verhindern, wodurch Insider-Bedrohungen oft unerkannt bleiben. Um dieser Bedrohung effektiv zu begegnen, müssen Unternehmen spezifische Strategien und Lösungen entwickeln, um ihr zentrales Identitätssystem zu schützen. Dies beinhaltet die Identifizierung von Schwachstellen, die Erkennung und Behebung riskanter Änderungen.

In den meisten Fällen bildet Active Directory (AD) oder Azure Active Directory das zentrale Identitätssystem eines Unternehmens. In solchen Fällen ist es unerlässlich, eine AD-spezifische Wiederherstellungslösung zu implementieren, um Identitätsdienste vor, während und nach einem Angriff zu schützen. Die folgenden Maßnahmen sind entscheidend:

1. Vor dem Angriff: Identifikation von Sicherheitsschwachstellen, wie abgelaufene Passwörter, Verhinderung bestimmter Änderungen durch vordefinierte Benutzergruppen (z. B. vor Kündigungen) und Überwachung der Angriffspfade zu kritischen Tier-0-Ressourcen.
2. Während des Angriffs: Kontinuierliche Überwachung auf Indicators of Compromise (IoC), Verfolgung riskanter Änderungen an On-Prem AD und Azure AD sowie die Fähigkeit, diese automatisch rückgängig zu machen.
3. Nach dem Angriff: Zugang zu forensischen Post-Breach-Funktionen, um die von Insidern verwendeten Angriffstechniken aufzudecken und Hintertüren in AD und Azure AD zu schließen.