Diese Cybersicherheitsgeschichte ist auf dem besten Weg, zum Klischee zu werden. Doch wie die meisten Klischees hat auch dieses einen wahren Kern: Daten verlassen Ihr Unternehmen nicht von allein. Dafür sind Menschen verantwortlich, die diese Daten mitnehmen oder die Tür offen stehen lassen, sodass jemand lange Finger machen kann.
In dieser Umgebung, in der Cyberkriminelle wenig an der Ausnutzung von Software-Schwachstellen und viel mehr an Identitäten interessiert sind, hat sich der klassische Perimeter aufgelöst. Der neue Perimeter sind unsere Mitarbeiter, unabhängig davon, wo sie sich befinden – in einer lokalen Umgebung oder in der Cloud –, und auch unabhängig davon, mit welchen Systemen, Geräten und Anmeldedaten sie auf die Daten zugreifen.
Es versteht sich von selbst, dass gegen Mitarbeiter (bzw. ihre Identitäten) gerichtete Cyberangriffe eine ebenso zielgerichtete Cyberabwehr erforderlich machen. Doch angesichts großer Belegschaften, die häufig remote mit verschiedenen Endpunkten auf unsere Netzwerke zugreifen, wird das immer schwieriger.
Zum Schutz der Mitarbeiter – und damit des Unternehmens – müssen wir genau verstehen, wer auf welche Weise, von welchem Ort aus und aus welchem Grund auf unsere Daten zugreift. Nur wenn wir über all diese Informationen verfügen, können wir an den wichtigsten Stellen geeignete Schutzmaßnahmen platzieren, Anwender zu relevanten Risiken schulen und Bedrohungsakteure abwehren, die es auf unsere Identitäten abgesehen haben.
Stoppen von Gefahren durch Insider
Als wäre der Schutz eines neuen und dynamischen Perimeters nicht schwierig genug, stellt die zunehmende Konzentration auf unsere Identitäten ein weiteres Problem dar. Unsere Mitarbeiter befinden sich bereits innerhalb unserer klassischen Schutzmaßnahmen. Um Schutz vor böswilligen, kompromittierten oder fahrlässigen Anwendern zu bieten, deren Aktivitäten Datenverlust ermöglichen, müssen unsere Sicherheitsmaßnahmen von innen nach außen gerichtet sein.
E-Mail ist auch weiterhin der Eintrittspunkt für häufige und raffinierte Bedrohungen, sodass jeder effektive Schutz im Posteingang ansetzen muss. Die Mitarbeiter unseres Unternehmens müssen verstehen, wie wichtig sichere Anmeldedaten sind, welches Risiko die Wiederverwendung und Weitergabe von Kennwörtern darstellt und warum Phishing-E-Mails, schädliche Links und manipulierte Anhänge eine Gefahr darstellen.
Unsere Recherchen zum Proofpoint State of the Phish 2024-Bericht haben gezeigt, dass Sicherheitsexperten in Europa und im Nahen Osten die mehrfache Kennwortnutzung als gefährlichstes Verhalten einstufen – und als zweithäufigstes Verhalten bei Endnutzern feststellen.
Auch hier sind Tools für E-Mail-Schutz eine große Hilfe, da sie schädliche Nachrichten herausfiltern, bevor sie den Posteingang erreichen. Dadurch lässt sich das Problem kompromittierter Mitarbeiter bereits im Vorfeld verhindern. Sicherheitsteams müssen jedoch immer davon ausgehen, dass Bedrohungen diese Verteidigungslinien unterlaufen können – selbst wenn Erkennungsraten von mehr als 99 % die Norm sind.
In diesem Fall ist zusätzlicher Schutz notwendig, der von hochentwickelten Tools für unternehmensgerechte Data Loss Prevention (DLP, Datenverlustprävention) sowie Insider Threat Management (ITM, Abwehr von Insider-Bedrohungen) bereitgestellt wird. Diese Lösungen analysieren den Inhalt, das Verhalten sowie die Bedrohungstelemetrie und decken ungewöhnliches oder verdächtiges Verhalten auf, das Datenverlust ermöglichen kann.
In unserem erstmals erschienenen Bericht zur Situation mit Datenverlusten 2024 wurden fahrlässige Anwender als häufigste Ursache für Datenverlust genannt. Um diese Sicherheitslücke zu schließen, sollten Sie typisches fahrlässiges Verhalten mit einer Sicherheitsabfrage unterbinden. Angenommen, ein Mitarbeiter versucht, vertrauliche Dateien in einer reinen Text-E-Mail zu versenden. Eine einfache Popup-Nachricht mit der Aufforderung, von dieser Aktion abzusehen, kann die Kompromittierung der Dateien in einem solchen Fall verhindern. Zusätzlich wird ein vollständiges Protokoll des Zwischenfalls erstellt, das wichtigen Kontext für Security-Awareness-Schulungen liefert. Eine weitere typische fahrlässige Aktion ist das Versenden einer E-Mail an den falschen Empfänger. Laut unseren Recherchen sendet ein Drittel der Anwender jedes Jahr eine oder zwei E-Mails an den falschen Empfänger.
Intelligente DLP- und ITM-Tools können hochriskantes Verhalten von böswilligen Insidern erkennen und die Sicherheitsteams benachrichtigen. Dabei kann es sich um einen Anwender handeln, der eine nicht autorisierte Anwendung auf einen Unternehmenscomputer herunterlädt oder Dateien umbenennt, um seine Absichten und Spuren zu verbergen.
Bei Mitarbeitern, die das Unternehmen verlassen und eine der Hauptursachen für Datenverlust durch Insider darstellen, können Sicherheitsteams einen proaktiveren Ansatz wählen. Durch die Konzentration auf diese hochriskanten Mitarbeiter können Sie ein beweiskräftiges Bild der Absichten erstellen. Mit den richtigen Tools können Sie Aktivitätsprotokolle, Screenshots, E-Mail-Inhalte und mehr erfassen, um Untersuchungen durch die Personal- und Rechtsabteilung zu vereinfachen.
Aufdeckung von E-Mail-Kontenkompromittierung
Insider, die aktiv Daten exfiltrieren oder offenlegen, sind nicht die einzigen Risiken, die wir im Zeitalter des personenzentrierten Perimeters berücksichtigen müssen. Wir müssen auch gründlich nach Bedrohungsakteuren suchen, die es schaffen, in unser Unternehmen zu gelangen.
Häufig reichen unsere Mitarbeiter den Bedrohungsakteuren noch die helfende Hand, sei es durch schwache Kennwörter oder indem sie auf Phishing und andere Angriffe hereinfallen. Doch ganz gleich, wie böswillige Akteure es in die Unternehmensumgebung schaffen, benötigen wir die richtigen Tools, um die von ihnen verursachten Schäden einzudämmen. In den meisten Fällen versuchen Angreifer, die ein Anwenderkonto kompromittiert haben, nach Möglichkeit nicht aufzufallen. Sie bewegen sich lateral durch die Netzwerke, um ihre Berechtigungen zu erweitern und Daten zu markieren, die sie später exfiltrieren wollen.
In dieser Phase kann eine hochentwickelte DLP- und ITM-Lösung ungewöhnliche Aktivitäten erkennen, zum Beispiel:
- Zugriffsversuche auf neue Daten, Systeme oder Netzwerkstandorte
- Anmeldungen von einem neuen oder ungewöhnlichen Standort aus
- Übertragung von Dateien zu oder von neuen bzw. nicht autorisierten Laufwerken und Geräten
Wenn etwas in dem Inhalt, auf den ein Anwender zugreift, oder an der Art und Weise des Zugriffs verdächtig aussieht, können Sicherheitsteams einschreiten und schnell Berechtigungen entfernen sowie weitere Aktivitäten unterbinden.
Schutz von Daten mit Proofpoint Information Protection
Wenn es darum geht, verdächtige Insider-Aktivitäten aufzudecken, ist der Kontext entscheidend. An dieser Stelle haben klassische DLP-Lösungen große Schwächen. Sie wurden ursprünglich für Rechenzentren entwickelt und sollten die Aktivitäten durchschnittlicher Anwender in einem Unternehmen analysieren.
Proofpoint Information Protection geht hier jedoch deutlich weiter. Der Agent dieser Lösung bietet DLP- und ITM-Funktionen für den Schutz vor Datenverlust durch Alltagsnutzer und konzentriert sich gleichzeitig auf hochriskante Mitarbeiter. Proofpoint Information Protection ist die einzige Plattform für Informationsschutz, die Klassifizierung von Inhalten, Telemetriedaten und Erkenntnisse zu Anwenderverhalten auf einer zentralen, Cloud-nativen Oberfläche zusammenführt. Dadurch erhalten Sie einen deutlich klareren, präziseren und kontextbezogenen Überblick über die potenziellen Risiken, die Ihr Unternehmen von außen bedrohen.
In der Podcast-Reihe „Insider Insight“ erfahren Sie mehr darüber, wie Proofpoint mit einem personenzentrierten Ansatz Daten schützt.
Wenn Sie mehr darüber erfahren möchten, welche Sicherheitsbedrohungen weltweit von ausscheidenden Mitarbeitern, entschlossenen Angreifern und fehlgeleiteten E-Mails ausgehen, laden Sie unseren Bericht zur Situation mit Datenverlusten 2024 herunter.