teissTalk: Bedrohung durch Insider. Ein Kampf ohne adäquate Waffen? Können künstliche Intelligenz und Maschinelles Lernen Abhilfe schaffen?
Insider sind Mitarbeiter im eigenen Unternehmen, die dieses schädigen wollen. Das Thema ist sehr vielschichtig, insbesondere der Faktor Mensch stellt die größte Unsicherheit für die Cybersicherheit dar. Die Gründe sind vielfältig, z.B. Unaufmerksamkeit, Unwissenheit, Naivität usw. Es gibt 3 typische Profile der Bedroher: Zum einen Angreifer mit gestohlenen Anmeldedaten (Identitätsbetrug), zum anderen fahrlässig handelnde Mitarbeitende (56 Prozent) und als dritte Gruppe Insider mit kriminellen und böswilligen Motiven, das sind immerhin 26 Prozent.
Ist Vertrauen gut, aber Kontrolle besser?
Ulla Coester: „Dazu habe ich 2 Thesen. Die erste ist, dass Künstliche Intelligenz in der Cybersicherheit sicherlich helfen wird, Angriffe besser zu identifizieren und die wenigen Experten, die wir haben, auch wirkungsvoll zu unterstützen. Wir haben jahrelang das Prinzip der Perimetersicherheit gehabt, also dass wir alle Angriffe von außen abgeblockt haben und dachten, damit können wir das Unternehmen adäquat absichern. Da dies nicht mehr der Fall ist, muss man andere Möglichkeiten in Betracht ziehen für die Absicherung. Um die interne Infrastruktur abzusichern, eignet sich u.a. Das Zero Trust Konzept. Hier kann man sehr gut KI einsetzen, um Anomalien zu erkennen. Meine zweite These ist, dass es notwendig ist, Vertrauen aufzubauen, und zwar in die Technologie. Hersteller und Unternehmen, die KI einsetzen, müssen vertrauenswürdig agieren, um die Akzeptanz der Nutzer zu erhöhen. Die Skepsis gegenüber der KI ist nach wie vor vorhanden. Man hat immer noch Sorge, die Auswirkungen der KI nicht abschätzen zu können, z.B. wenn die Technologie in falsche Hände gerät.“
Sandra Aengenheyster: „Das heißt, Du sagst, Mitarbeitenden vertrauen zum Thema Cybersicherheit kann man nicht, egal welche Motivation sie haben, ob böswillig oder nicht.“
Ulla Coester: „Ich möchte unterscheiden zwischen blindem Vertrauen und etabliertem Vertrauen. Wenn ich meinen Mitarbeitern erkläre, warum ich KI einsetze, dass das kein Misstrauen gegen sie ist, dann können die Mitarbeiter das akzeptieren. Das ist keine Kontrolle, der Einsatz der Technologie ist zugunsten der Mitarbeiter.“
Sandra Aengenheyster: „Social Engineering ist ja das bewusste Ausnutzen von Verhaltensweisen oder Manipulation von Menschen. Was ist die wirkungsvollste Prävention gegen diese Schwachstelle?“
Chris Lichtenthäler: Die wirkungsvollste Prävention ist zum einen das Thema Awareness schaffen bei den Mitarbeitern gepaart mit technischer Unterstützung.“
Sandra Aengenheyster: „Die technische Unterstützung hat den Vorteil, dass alles dokumentiert werden kann. Wenn es also nun passiert ist, wie muss ich mir die Beweisführung vorstellen?“
Chris Lichtenthäler: „Wir unterscheiden hier. Z.B. bei einem Identitätsbetrug, das ist ein Angriff von außen, oder ein Angriff durch einen Innentäter. Bei einem Angriff von außen ist der Mitarbeiter sicherlich eher zur Zusammenarbeit bereit. Das ist bei einem Innentäter nicht so. Trotzdem ist das Vorgehen erste einmal dasselbe. Es fängt mit Interviews bis zu einer kompletten forensischen Beweissicherung, z.B. die Sicherung eines Laptops, Servers oder Logfiles. Der Datenschutzbeauftragte ist immer involviert, Betriebsräte und eine rechtliche Begleitung findet auch statt. Viel hilft viel, je mehr Informationsquellen man hat, desto besser lässt sich das Thema auswerten.“
Egon Kando vertritt die Firma Exabeam, Hersteller eines SIEMs. In einem SIEM werden jede Menge Daten, Informationen oder Logfiles gesammelt und in Echtzeit ausgewertet. Wenn Auffälligkeiten entstehen, kann man sofort darauf reagieren.
Sandra Aengenheyster: „Egon, bitte erkläre uns, wie man damit Insidern auf die Spur kommt.“
Egon Kando: „Ich unterstütze beide Thesen von Ursula, es ist vermutlich nicht mehr möglich ohne maschinelles Lernen diesen veränderten Angriffsvektoren Herr zu werden. Man muss einen Schritt zurückgehen und verstehen, wie haben traditionelle SIEM-Lösungen, die es seit ca. 15 Jahren auf dem Markt gibt, gearbeitet. Man sammelt also alle diese Informationen von allen Systemen und in dem Fall, dass es einen Angriff gibt, geht ein SOC-Mitarbeiter hin und durchsucht manuell all diese Login-Informationen. Er möchte bestimmte Fragen beantworten können. Wie hat das ganze gestartet? Welches System wurde noch angegriffen? Welche Accounts hat man dafür genutzt? Nur wenn man alle diese Fragen beantworten kann, versteht man das gesamte Bild und auch die Konsequenzen. Sollte man Lücken haben in der Beantwortung der Fragen, reagiert man inkomplett, d.h. man lässt möglicherweise irgendwo einen Schadcode oder ein infiziertes System übrig. Mit diesen traditionellen Systemen hat man versucht Konfigurationen zu hinterlegen, man hat Use Cases definiert. Der Großteil der Alarme, die diese SIEMs ausgelöst haben, waren falsch. Wäre es also nicht schön, maschinelles Lernen zu nutzen, das mithilft, die falschen Alarme auszumerzen und gezielt zu sagen, hier sind zu viele Anomalien aufgetreten. Das Regelwerk kann für Personen angepasst werden. Wenn man die Dinge tut, die man immer tut, lernt das System, Algorithmen im Hintergrund erstellen ein Regelwerk nur für diese Person. Jetzt bin ich sehr provokativ. Wir sprechen die ganze Zeit über Insiderbedrohungen. Ich bin ein Befürworter der These, der größte Teil der Insiderbedrohung ist der kompromittierte Mitarbeiter. Es wird immer den böswilligen Mitarbeiter geben, z.B. Mitarbeiter, die das Unternehmen verlassen. Der viel größere Teil ist der bloßgestellte Mitarbeiter. D.h. der Mitarbeiter, der gar nichts dafür kann, dass seine Anmeldedaten zu böswilligen Zwecken benutzt werden. Wenn man es richtig anstellt, schafft man es mit Maschinellem Lernen den Mitarbeiter vor Identitätsdiebstahl zu schützen. Das schaffe ich nicht mit manuellen Prozessen, nicht mit statischen Regeln.“
Sandra Aengenheyster: „Das bedeutet, dass du das umkehrst, was wir am Anfang gesagt haben. Vertrauen wird geschaffen durch den Einsatz von Technologie.“
Egon Kando: „Es ist völlig richtig, was Ulla sagt, es muss Vertrauen gebildet werden. Ich setze sogar noch einen drauf, das schafft man, indem man compliant ist mit DSGVO, durch Maskierung von benutzerbezogenen Daten im Login. Der SOC-Mitarbeiter soll nicht sehen, wer im Klartext was gemacht hat, aber wenn ich ein bestätigtes Verdachtsmoment habe und ich den Ablauf sehen kann, da bildet sich eine schöne Timeline, die mir sagt, ich habe hier ein echtes Problem. Und jetzt gehe ich zum Betriebsrat, der wählt sich ein, demaskiert all diese personenbezogenen Daten und dann habe ich die Antwort. Damit vermeide ich, dass man unnötigen Alarmen hinterherläuft und in den Daten von Mitarbeitern herumschnüffle.“
Sandra Aengenheyster: „International gibt es verschiedene Vorstellung von Privatsphäre und Verhaltensweisen, die Gesetzeslage ist nicht eindeutig. Wie gehen internationale Unternehmen mit den Daten um? Gibt es da Besonderheiten?“
Egon Kando: „Das ist ja das Schöne an maschinellem Lernen mit Algorithmen im Hintergrund. Unternehmen ticken alle anders. Die Mitarbeiter verhalten sich anders. Deshalb kommen wir an unsere Grenzen, wenn wir versuchen mit statischen Regeln diesen Kampf zu gewinnen. Wenn ich aber im Hintergrund Profile bilden, also Algorithmen nutze, die das normale Verhalten von Mitarbeitern erlernen und deshalb keinen Alarm auslösen bei geringen Abweichungen, belästige ich nicht den SOC-Mitarbeiter mit unnötigen Alarmen. Das Schöne an Maschinellem Lernen ist, dass sich diese Regelwerke personalisiert auf jeden trainieren.“
Sandra Aengenheyster: „Wir haben jetzt einen sehr schönen Lösungsansatz für die Vermeidung von Misstrauen gegenüber nicht-menschlicher Intelligenz. Was sind denn Kriterien, nach denen man überhaupt die Akzeptanz von IT-Lösungen schaffen kann, die auf künstlicher Intelligenz basieren?“
Ulla Coester: „Wenn Menschen sich untereinander Vertrauen, hat man Aspekte, die einem wichtig sind. Bei der technischen Lösung sehe ich das nicht. Deshalb sollten Unternehmen diese Aspekte offenlegen, also z.B. Transparenz, Zutrauen. Zutrauen bedeutet, sind die Mitarbeiter, die diese KI-Lösung entwickeln, überhaupt dazu in der Lage. Man sollte auch das Geschäftsmodell offenlegen. Daten zu nutzen ohne zu bezahlen ist legitim, aber man muss es wissen. Jedes Unternehmen sollte eine Vertrauenswürdigkeitsagenda erstellen, in der alle relevanten Aspekte zusammengefügt sind, und in einer Sprache, die der Anwender versteht, damit er eine informierte Entscheidung treffen kann, ob er die KI nutzen möchte oder nicht. Das Problem ist, dass die Kompetenz in der ethischen Diskussion von der breiten Masse noch nicht gegeben ist. Wir müssen viel mehr für den Kompetenzaufbau in technologischer Hinsicht tun.“
Sandra Aengenheyster: „Chris, Du hast Dich auch mit dem Thema Risikomanagement beschäftigt in diesem Zusammenhang. Ist das nicht auch eine Reduktion von Risiken, die Transparenz zu schaffen, darüber aufzuklären und im Zweifelsfall zu wissen, was sind denn meine eigenen Risiken?“
Chris Lichtenthäler: „Das Risiko ist sehr individuell, wie Egon schon ausgeführt hat. Ihr kennt das ja alle, man hat ein Aufgabenportfolio, an jedem Tag macht man unterschiedliche Sachen, da gibt es so viele verschiedene Tätigkeiten. Das in starre Regeln zu pressen ist schwierig. Genauso ist es in der Risikobewertung, die ändern sich täglich. Man muss immer wieder neu beurteilen und hier unterstützen technologische Lösungen. Es gibt Empfehlungen von BSI und Teletrust, die auf Schutzsysteme verweisen.“
Welche Rolle spielt das Thema Remote-Arbeit in diesem Zusammenhang, also mit Insiderbedrohung?
Ulla Coester: „Mit dieser Frage steht jetzt die Technologie zu sehr im Vordergrund. Gerade bei der Remote-Arbeit ist es wichtig, dass eine gute Unternehmenskultur vorhanden ist. Mitarbeiter, die sich nicht mit ihrem Unternehmen identifizieren, sind eher bereit die Regeln nicht zu beachten. Also nicht nur in die Technologie investieren, auch in die Unternehmenskultur. Gerade im Remote-Arbeitsumfeld muss ich meinem Mitarbeiter zuhause vertrauen und darf ihn nicht kontrollieren.“
Egon Kando: „Beispiel - ein Kunde von uns möchte wissen, wer sich nicht an die vorgegebenen Arbeitszeiten hält. Wer mehr arbeitet oder am Wochenende arbeitet. Das löst einen Alarm aus und der Mitarbeiter erhält eine Aufforderung, nicht nach 18 Uhr zu arbeiten oder am Wochenende. Technologie kann also auch helfen, dem Mitarbeiter zu zeigen, dass man ihn wertschätzt.“
Wie weit kommen interne Ermittler ohne KI? Wer fängt denn an intern zu ermitteln?
Chris Lichtenthäler: „Das sind viele verantwortliche Personen, die nicht persönlich betroffen sind, also die Geschäftsführung, Datenschutzbeauftragte, die interne Revision, ein Compliance Officer, Kollegen aus dem IT-Bereich. Man darf auch nicht zu viele involvieren, der Kreis sollte so klein wie möglich sein. Alle wichtigen Stellen müssen informiert werden und es muss eine rechtliche Begleitung stattfinden. Oftmals werden externe Berater mit reingeholt, damit das Unternehmen neutral bleiben kann. Relevant ist auch zu wissen, welche Tools gibt es, die Informationen liefern können. Es gibt auch Informationen in Papierform, also nicht nur digital, die man nicht außer Acht lassen darf.“
Moderation:
Sandra Aengenheyster
Gäste:
Ulla Coester, Founder xethix Empowerment
Chris Lichtenthäler, Senior Manager, Deloitt GmbH
Egon Kando, Area Vice President Sales, Exabeam
Most Viewed
New rules, rising threats: why lean IT teams must rethink cyber-securitySponsored by CORO CYBER SECURITY
Don’t allow AI experiments to become quiet business risksSponsored by alice.io
The Expert View: Reducing cyber-risk across OT and critical infrastructureSponsored by Claroty
Winston House, 3rd Floor, Units 306-309, 2-4 Dollis Park, London, N3 1HF
23-29 Hendon Lane, London, N3 1RT
020 8349 4363
© 2025, Lyonsdown Limited. teiss® is a registered trademark of Lyonsdown Ltd. VAT registration number: 830519543