Die meisten Insider-Risiko-Teams betrachten ausscheidende Mitarbeiter aus gutem Grund als größtes Risiko: Häufig glauben ausscheidende Mitarbeiter, ein Anrecht auf das von ihnen erstellte geistige Eigentum zu haben, und wollen es mitnehmen. Wenn Mitarbeiter ihre Kündigung einreichen, können sie zum Glück ganz leicht in einer Hochrisiko-Gruppe zusammengefasst werden. Doch was ist mit weniger häufigen, aber ebenso schädlichen Insider-Bedrohungen wie Spionage, Sabotage und Betrug? Das Insider-Risikoteam eines weltweit tätigen Krankenversicherers wollte wissen, welche verborgenen Risiken im Unternehmen lauern.
In diesem Blog-Beitrag zeigen wir, wie dieser Krankenversicherer mit Arbeitszeitbetrug eine neue Insider-Bedrohung aufdeckte und mithilfe von Proofpoint Insider Threat Management (ITM) die Risiken reduzieren sowie das Unternehmen schützen konnte.
Ein manueller und isolierter Insider-Risikoansatz
Im Jahr 2024 stand der weltweit tätige Krankenversicherer vor mehreren großen Herausforderungen. Weil das Unternehmen wuchs, nahm auch die Menge der höchst vertraulichen personenbezogenen Gesundheitsdaten zu, die für das Unternehmen von zentraler Bedeutung waren. In den 10 Jahren zuvor hatte die Versicherung mehrere Firmen übernommen, was zu unterschiedlichen Sicherheitsabläufen und -kulturen führte. Zudem gab es eine große saisonale Belegschaft, die während Antragsperioden aushalf – was dazu führte, dass es zahlreiche Auftragnehmer mit Zugriff auf vertrauliche Daten gab.
Die Situation wurde auch dadurch erschwert, dass das Insider-Risikoteam nur über ein Legacy-Tool und damit nicht über die benötigten Einblicke verfügte. Stattdessen musste das Team zur Untersuchung von Insider-Zwischenfällen unterschiedliche Tools nutzen und Informationen aus vielen Quellen ziehen, um ein vollständiges Bild zusammenzusetzen. In einigen Fällen dauerte das Durchsuchen von Microsoft-Protokollen nach einem wichtigen Datenpunkt mehr als 12 Stunden. Hinzu kam, dass das Legacy-Tool des Teams einen Agenten auf dem Computer des Anwenders benötigte, der vor dem riskantem Verhalten installiert werden musste. Angesichts der Unvorhersehbarkeit von Insider-Bedrohungen war es damit praktisch wertlos.
Nach gründlicher Überlegung entschied sich das Team für Proofpoint ITM. Überzeugend wirkten vor allem der umfangreiche Überblick, der Zugriff auf historische Anwenderdaten zur Unterstützung von Untersuchungen, die adaptiven Risikokontrollen sowie die hohe betriebliche Effizienz.
Erkennung unbekannter Risiken mit dynamischer Überwachung
Nur wenige Monate nach der Bereitstellung von Proofpoint ITM konnte das Insider-Risikoteam zahlreiche Insider-Bedrohungen proaktiv identifizieren und Schaden für das Unternehmen vermeiden.
Einer der wichtigsten Use Cases, den das Team identifizierte, war Arbeitszeitbetrug. Damit ist gemeint, dass ein Benutzer für eine Aufgabe bezahlt wird, die er jedoch von jemand anderem erledigen lässt. Arbeitszeitbetrug zählt zu den Insider-Bedrohungen, da Insider durch den Missbrauch ihres autorisierten Zugriffs auf das Netzwerk, die Systeme oder Daten ihres Unternehmens erhebliche Schäden verursachen können.
Das Insider-Risikoteam des Krankenversicherers hatte Meldungen über möglichen Arbeitszeitbetrug erhalten. Für die Untersuchungen erstellte das Team eine dynamische Richtlinie zur Erkennung von Mitarbeitern, die ihren Desktop-Bildschirm teilten. Dynamische Richtlinie identifizieren proaktiv riskantes Verhalten und lösen bei Bedarf eine Warnung aus. Im Gegensatz zu statischen Richtlinien basieren dynamische Richtlinien auf riskantem Verhalten statt auf einem zuvor definierten Anwender oder eine Anwendergruppe, die eine riskante Aktion durchführen. Dieser adaptive Ansatz ermöglicht das Aufdecken unbekannter Risiken, liefert Insider-Risikoteams entscheidungsrelevante Warnungen und schützt gleichzeitig die Privatsphäre der Anwender.
Dank der dynamischen Richtlinien entdeckte das Insider-Risikoteam Fälle, in denen Anwender ihre Arbeit auslagerten, indem sie anderen Personen per Zoom oder Teams die Kontrolle über ihren Desktop übergaben. Davon gab es mehrere Zwischenfälle, die von fünf Minuten bis acht Stunden reichten. Dank der von Proofpoint ITM erfassten detaillierten Metadaten und Screenshots verfügte das Team über die Nachweise für dieses riskante Verhalten. Das Zusammentragen des Beweismaterials dauerte nur wenige Minuten statt Tage, sodass die Untersuchungen erheblich beschleunigt wurden.
In einem ähnlichen Fall stellte sich heraus, dass ein neuer Angestellter des Krankenversicherers immer noch für seinen alten Arbeitgeber tätig war – im Grunde also zwei Jobs gleichzeitig hatte. Proofpoint ITM lieferte den Beweis für dieses riskante Verhalten und den Verstoß gegen Unternehmensrichtlinien.
Proofpoint verringert Risiken und steigert die Effizienz der Abläufe
Durch Proofpoint ITM erreichte der Krankenversicherer mehrere Vorteile. Dazu gehören:
- Weniger Risiken: Dank der Einblicke von Proofpoint konnte das Insider-Risikoteam frühzeitig reagieren und Risiken proaktiv beheben. Das Team erhielt über das „Explorations“-Dashboard einen vollständigen Überblick über die Anwenderaktivitäten und konnte Ereignisse und Zwischenfälle so in Echtzeit anzeigen, was proaktive Untersuchungen erleichterte.
- Effiziente Abläufe: Kontextdaten und forensische Beweise halfen dem Team, Untersuchungen zu beschleunigen und Zwischenfälle zu beheben – bis zu drei am Tag. Der Nachweis war unanfechtbar, sodass das Team fundierte Entscheidungen treffen und schnell Maßnahmen ergreifen konnte.
- Ausgereiftes Programm zur Abwehr von Insider-Bedrohungen: Das Insider-Risikoteam wollte Anwendungsbereiche jenseits klassischer Untersuchungen erschließen, z. B. Angestellte, die das Unternehmen verlassen. Dank der dynamischen Richtlinien in Proofpoint ITM konnte das Team Sicherheits- und Richtlinienverstöße erkennen (und darauf reagieren), effizienter arbeiten und proaktiv Risikobereiche identifizieren. Dadurch konnte das Programm ausgebaut, das Team erweitert und Mehrwert für das Unternehmen geschaffen werden.
Durch den Wechsel von einem manuellen und veralteten Tool zu Proofpoint ITM verzeichnete das Insider-Risikoteam des weltweit tätigen Krankenversicherers erhebliche Vorteile. Die folgende Tabelle fasst diese Vorteile zusammen:
|
Anforderung |
Vorher: Legacy-Tool |
Danach: Proofpoint ITM |
|
Bereitstellung von Endpunkt-Agenten |
Nur bei bestimmten Anwendern installiert, die riskant sein könnten |
Bei allen 70.000 Anwendern installiert, wobei der ressourcenschonende Agent die Produktivität nicht beeinträchtigt |
|
Überwachung |
Reaktiv, basierend auf bestimmten Anwendern oder Anwendergruppen |
Dynamisch und löst bei riskantem Verhalten automatisch aus |
|
Überblick |
Begrenzt |
In Echtzeit |
|
Forensische Nachweise |
Nicht vorhanden |
Detaillierte Metadaten und Screenshots |
Weitere Informationen
- Erfahren Sie mehr darüber, wie Proofpoint Ihre Insider-Risiken minimieren kann.
- In unserem On-Demand-Webinar erfahren Sie mehr über adaptives Insider-Risiko-Management und dynamische Rich
