Wenn Kollegen zum Sicherheitsrisiko werden

Wirksamer Schutz vor Insider-Bedrohungen

Von unserem Gastautor Anurag Kahol, CTO, Bitglass

[datensicherheit.de, 18.02.2019] Traditionell richtet sich das Augenmerk bei IT-Sicherheitsmaßnahmen vornehmlich darauf, Risiken durch externe Bedrohungen zu minimieren und Angriffsvektoren zu schließen. Mit neuen Technologien sowie den erhöhten Anforderungen an die Datensicherheit rücken allerdings auch Bedrohungen, die innerhalb der Organisation entstehen, in den Fokus. Die Einführung von Cloudanwendungen und die gestiegene Nutzung von Privatgeräten für geschäftliche Aufgaben haben die Prävalenz dieser Bedrohungen deutlich erhöht, da sensible Informationen viel leichter zugänglich sind.

Drei Kategorien von Insider-Bedrohungen

Nicht alle unternehmensinternen Sicherheitsrisiken sind absichtlich durch Mitarbeiter verursacht. Doch unabhängig davon, ist das Ergebnis stets dasselbe: Der Verlust vertraulicher Daten. Allgemein können Insider-Bedrohungen in drei Kategorien unterteilt werden:

1. Akteure mit bösen Absichten
   Ob Rache am Arbeitgeber, Wirtschaftsspionage oder persönliche Bereicherung: Akteure mit derartigen Motiven gehen mit dem Vorsatz, Unternehmensinformationen zu stehlen, ans Werk. Zwar ist diese Gruppe eher eine Ausnahme, jedoch ist der Schaden, die sie anrichten kann, erheblich. Da sie über legitime Zugangsdaten verfügen, können sie jederzeit auf sensibelste Informationen zugreifen, ohne einen Sicherheitsalarm auszulösen.
2. Unachtsamkeit von Mitarbeitern
   Während verärgerte Mitarbeiter zweifelsohne eine Sicherheitsbedrohung darstellen, können loyale, jedoch nachlässige Mitarbeiter in dieser Hinsicht ebenso problematisch sein. Sicherheitsrisiken können beispielsweise unbeabsichtigt entstehen, wenn Mitarbeiter unterwegs ungesichertes öffentliches WLAN nutzen, Anmeldeinformationen verlieren, auf verdächtige E-Mail-Links klicken, ihr Mobilgerät unbeaufsichtigt lassen oder versehentlich sensible Informationen mit Unbefugten teilen. Jedes dieser Missgeschicke eröffnet Kriminellen ein Einfalltor, das unter gewöhnlichen Betriebsbedingungen nicht bestanden hätte.
3. Externe Dienstleister
   Bei der Planung und Anpassung von Sicherheitsstrategien werden Dritte, beispielsweise Dienstleister, von Organisationen häufig übersehen. Viele Mitarbeiter von Drittanbietern, wie zum Beispiel Agenturen, agieren als voll integrierte Mitglieder einer Organisation. Sie erhalten oft legitime IT-Anmeldeinformationen, um gemeinsam Dokumente über Cloud-Laufwerke auszutauschen. Auch sie können daher, ebenso wie interne Mitarbeiter, über detaillierte Kenntnisse der internen Prozesse und Kontrollmechanismen verfügen.

Bild: Bitglass

Anurag Kahol, CTO, Bitglass

Schutzmaßnahmen gegen interne Bedrohungen und Account-Missbrauch

Neben den typischen Insider-Bedrohungen gibt es auch Attacken, die zwar von externen Angreifern durchgeführt werden, sich allerdings das Vertrauen zu Mitarbeitern der Organisation zu Nutze machen. Kapern Hacker einen Account, nachdem sie legitime Anmeldedaten – beispielsweise durch Social Engineering oder Spoofing – erbeutet haben, kann es sehr lange dauern, bis dies der IT-Verwaltung auffällt, da anormales Verhalten schwer zu erkennen ist. Währenddessen können die Unbefugten sich jedoch große Mengen an sensiblen, internen Daten aneignen. Ein hohes Maß an Misstrauen gegenüber Mitarbeitern ist im Sinne der Datensicherheit bei Cloud-Apps daher durchaus angemessen. Um diese effektiv schützen zu können, sollten jedoch weitere Maßnahmen ergriffen werden:

• Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM): Alphanumerische Passwörter bieten keine ausreichende Account-Sicherheit. Egal ob ein verärgerter Mitarbeiter oder ein böswilliger Akteur, der sich unerlaubt Zugriff verschafft hat: Um die „guten“ von den „bösen“ Nutzern unterscheiden zu können, muss eine weitere Sicherheitsebene durch Identitäts- und Zugriffsmanagement eingezogen werden. Dies geschieht durch Multi-Faktor-Authentifizierung (MFA) und kontextbezogene Zugriffskontrolle, die etwa Abteilungszugehörigkeit und den geografischen Standort berücksichtigt. Zudem verhindert eine Session-Verwaltung, die inaktive Benutzer automatisch aus Unternehmensanwendungen ausloggt, unbefugten Zugriff und den unautorisierten Gebrauch des Accounts.
• Data Loss Prevention (DLP): Der Einsatz von Cloud DLP ermöglicht es den Mitarbeitern, sicher zu arbeiten – wo immer sie wollen, wann immer sie wollen und von den Geräten ihrer Wahl. Ein typisches Cloud-DLP-Angebot sollte Wasserzeichen zur Nachverfolgung, Verschlüsselung auf Datei- und Feldebene, Redaktions- und andere Funktionen beinhalten, die sicherstellen, dass sensible Daten nie in die falschen Hände geraten.
• Automatisierung: In der heutigen datengetriebenen Geschäftswelt genügt es nicht mehr, potenzielle Cloud-Sicherheitsbedrohungen manuell zu identifizieren und zu analysieren. Automatisierungslösungen nutzen maschinelles Lernen, um bösartiges oder verdächtiges Verhalten zu erkennen: Beispielsweise Mitarbeiter, die auf Dokumente zugreifen, die für ihre Arbeit nicht relevant sind, oder Mitarbeiter, die plötzlich untypisch große Mengen an vertraulichen Informationen herunterladen.
• Sicherheitstraining: Während die Technologie einen wichtigen Beitrag zur Verbesserung der Datensicherheit leistet, kann auch eine so einfache Maßnahme wie die Schulung der Mitarbeiter eine Schlüsselrolle spielen. Regelmäßige Updates und Auffrischungskurse sorgen dafür, dass der Datenschutz im Vordergrund steht und die Mitarbeiter über die neuesten Best Practices auf dem Laufenden bleiben. Durch die Diskussion über die Bedeutung der Verteidigung von Daten und die Folgen einer Nichtbeachtung können Risiken wie Diebstahl und Datenverlust reduziert werden.

Mit dieser robusten Sicherheitsstrategie können Unternehmen Cloud-Technologien vorteilhaft für ihre Business-Agilität nutzen und die damit verbundenen Schwachstellen ausmerzen. Auf diese Weise kann das Unternehmen rund um die Uhr sowohl die Datensicherheit als auch eine optimale Effizienz der Betriebsabläufe gewährleisten.

Weitere Informationen zum Thema:

datensicherheit.de, 14.09.2018
Lernkultur – Richtige Reaktion auf Datenschutzverletzungen durch Mitarbeiter

datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko