Wenn ein Unternehmen einen neuen Mitarbeiter einstellt, geht es davon aus, dass dieser sich den Regeln und Richtlinien entsprechend verhält und vertrauenswürdig mit sensiblen Geschäftsdaten umgeht. Das ist jedoch leider nicht immer der Fall. Daher muss das Unternehmen Vorkehrungen treffen, um die Sicherheit des Geschäftsbetriebs und den Schutz der kritischen geschäftlichen sowie personenbezogenen Daten zu gewährleisten.
Vor einem Jahr habe ich einen Beitrag über die Risiken bei Neueinstellungen in den ersten 90 Tagen geschrieben. Durch die Einführung von Deepfake-Technologien und generativer KI (GenAI) fällt es Bedrohungsakteuren zunehmend leichter, sich als glaubwürdige Kandidaten auszugeben. Der Monat der Sensibilisierung für Insider-Bedrohungen ist eine gute Gelegenheit, Ihre Strategie zur Überprüfung neuer Mitarbeiter zu analysieren und Ihre Sicherheitskontrollen während der ersten Monate eines Mitarbeiters zu evaluieren. Schließlich möchten Sie nicht, dass Ihr neuer Mitarbeiter zu Ihrer nächsten Insider-Bedrohung wird.
Die neue Realität
Bedrohungsakteure haben schon immer die anfälligsten Bereiche eines Unternehmens ins Visier genommen. Als noch alle Angestellten im Büro arbeiteten, war es sehr schwierig, sich als böswilliger Insider Zugang zu verschaffen. Das hat sich jedoch geändert. Durch Remote-Arbeit ist es schwieriger geworden, reale Personen hinter ihren digitalen Abbildern wahrzunehmen. Mittlerweile lassen sich mithilfe von Deepfake-Technologien und GenAI Trugbilder erstellen, die auf Fragen die wahrscheinlichsten Antworten klar artikuliert liefern können.
Da Personalabteilungen immer mehr Bewerbungen pro Stelle filtern müssen, werden Lebensläufe mithilfe von KI- und Machine-Learning-Tools überprüft und erste Bewerberkontakte hergestellt. Dies wiederum spielt den Bedrohungsakteuren in die Hände. Sie verfügen über die Erfahrung und Hilfsmittel, um die wichtigsten Elemente von Stellenanzeigen zu erkennen und die passenden digitalen Personen zu erschaffen, um als Top-Kandidaten die ersten Auswahlrunden zu bestehen. Dies könnte dann auch ein erstes Anzeichen dafür sein, dass etwas nicht stimmt: Wenn ein Kandidat zu perfekt erscheint, um echt zu sein, ist er es wahrscheinlich nicht. Das war beispielsweise der Fall, als KnowBe4 im Jahr 2024 versehentlich einen nordkoreanischen Cyberangreifer einstellte, der sich als IT-Softwareentwickler ausgab.
Empfohlene Vorgehensweisen zur Reduzierung des Risikos bei Neueinstellungen
Einführung strenger Überprüfungsprozesse
Personalabteilungen müssen ihre Prozesse so anpassen, dass böswillige Insider nicht durch die Maschen schlüpfen können. Es gibt mehrere Maßnahmen, mit denen sich die Risiken durch neu eingestellte Mitarbeiter verringern lassen:
- Zeichnen Sie das Vorstellungsgespräch auf: Sie sollten mit Zustimmung des Bewerbers das Vorstellungsgespräch aufzeichnen. Holen Sie dazu das Einverständnis der Rechtsabteilung ein. Die Aufzeichnung des Gesprächs gewährleistet, dass sowohl der Bewerber als auch der Personalverantwortliche nach bestem Wissen und Gewissen handeln.
- Recherchieren Sie Kandidaten gründlich: Nutzen Sie verfügbare Tools und manuelle Prozesse, um die berufliche Laufbahn des Bewerbers mit öffentlichen sozialen Medien, Arbeitsorten und Wohnorten abzugleichen. Achten Sie auf Unstimmigkeiten zwischen den Angaben im Lebenslauf und den Rückmeldungen früherer Arbeitgeber.
- Führen Sie strenge Hintergrundüberprüfungen durch: Führen Sie mit von der Rechtsabteilung bereitgestellten Tools Hintergrundüberprüfungen durch und stellen Sie sicher, dass Personen nicht auf Listen von staatlichen Bedrohungsakteuren aufgeführt sind. Stellen Sie sicher, dass die angegebenen E-Mail-Adressen und Telefonnummern funktionieren und nicht ungültig oder nicht existent sind. Verlassen Sie sich nicht auf E-Mail-Referenzen, sondern sprechen Sie mit Personen, die mit dem Bewerber zusammengearbeitet haben.
Es gibt viele Tools, um das oben Genannte zu erreichen, und viele Unternehmen haben solche Möglichkeiten bereits implementiert. Kommen wir nun zum schwächsten Element jedes Prozesses: den Menschen.
Sensibilisierung durch kontinuierliche, gezielte Schulungen
Um den an Vorstellungsgesprächen beteiligten Personen Tipps und Techniken zu vermitteln, müssen Unternehmen umfassende Schulungen zur Sensibilisierung für Sicherheit entwickeln. Es ist wichtig, dass Personalverantwortliche sich der aktuellen Trends bei Nachahmungen bewusst sind und wissen, wie sie diesen entgegentreten können. Sie müssen bei Bewerbungsgesprächen intensiver mit dem Bewerber interagieren, indem sie Fragen stellen, die über die grundlegenden Jobanforderungen hinausgehen, und physische Interaktionen einbauen. Zentraler Bestandteil für ein wirksames Programm zur Abwehr von Insider-Risiken ist die enge Abstimmung und Zusammenarbeit zwischen dem Sicherheitsteam und der Personalabteilung. Diese kontinuierliche Kommunikation gewährleistet Feedback-Mechanismen und Eskalationspfade, die bei der Erkennung verdächtiger Aktivitäten bereitstehen.
In einem früheren Bewerbungsgespräch kommentierte ich zum Beispiel etwas im Hintergrund des Homeoffice des Kandidaten, was ihn veranlasste, den Kopf zu drehen und es anzusehen. Wenn er Deepfake-Technologie verwendet hätte, wäre dadurch das Bild unscharf geworden oder es wären Bildfehler aufgetreten. Dann bat ich den Bewerber, einen weiteren Gegenstand hochzuhalten, über den wir gesprochen hatten. Wenn es irgendetwas Ungewöhnliches gegeben hätte, wären Bildfehler die Folge gewesen. Diese Anfragen zwangen den Bewerber auch zu einem Gespräch über ein Thema, das nichts mit dem Job zu tun hatte. Dadurch wurde nicht nur die Legitimität des Bewerbers sichergestellt, sondern wir erhielten auch einen Einblick in die Person hinter der Tastatur – und nicht nur ein digitales Abbild während des Vorstellungsgesprächs.
Bleiben Sie in den ersten 90 Tagen wachsam
Nehmen wir nun an, das Vorstellungsgespräch verläuft äußerst erfolgreich und der Bewerber wird eingestellt. Gerade die ersten 90 Tage können eine der risikoreichsten Zeiten für versehentliche Datenweitergabe, böswillige Datenexfiltration und andere riskante Verhaltensweisen sein. Wie können Sie also sicherstellen, dass sich der neue Mitarbeiter verantwortungsbewusst verhält?
- Das Unerwartete erzwingen: Stellen Sie sicher, dass die Person, die am ersten Tag erscheint, tatsächlich die Person aus dem Bewerbungsgespräch ist. Ja, so etwas kommt tatsächlich vor. Wenn es sich um einen Remote-Mitarbeiter handelt, nutzen Sie ähnliche Taktiken wie während des Bewerbungsprozesses: Interagieren Sie mit der Person dynamisch per Video, um sicherzustellen, dass sie echt ist und es sich nicht um Deepfake oder Bildmanipulation handelt. Am besten nutzen Sie dazu eine Mischung aus geplanten und spontanen Besprechungen. Laden Sie den neuen Mitarbeiter zu einem Videoanruf ein, ohne ihm Zeit zur Vorbereitung zu geben. Sein Kalender wird noch ziemlich leer sein, sodass es keinen guten Grund gegen dieses Meeting gibt. Wenn er jedoch dem Gespräch ausweicht, ist das ein Warnsignal.
- Als Hochrisiko-Anwender überwachen: Aus technischer Sicht sollten alle neuen Mitarbeiter in den ersten 90 Tagen ihres Arbeitsverhältnisses in erweiterte Überwachungsgruppen aufgenommen werden. Dadurch werden riskante Verhaltensweisen aufgedeckt – und oft auch potenziell nützliche forensische Beweise. Es ist nicht nur wichtig, böswillige Insider zu erkennen, die Schaden anrichten wollen. Sie sollten auch dazu beizutragen, versehentliche Datenverluste zu verhindern, während sich neue Mitarbeiter mit den Prozessen und Verfahren des Unternehmens vertraut machen.
- Keine Zugriffe ohne Schulung gewähren: Es ist gängige Praxis, die Zugriffsrechte eines vorherigen Mitarbeiters für den neuen Mitarbeiter einfach zu übernehmen. Dies kann aus Gründen der Einheitlichkeit sinnvoll sein und wird in Identitäts- und Zugriffsverwaltungssystemen (IAM) als „vererbte Rechte” bezeichnet. Sie sollten jedoch erst dann Zugriff auf vertrauliche Daten gewähren, wenn Sie mit dem neuen Mitarbeiter die angemessene Verwendung dieser Daten besprochen haben. In vielen Unternehmen gewähren vererbte Rechte für eine bestimmte Rolle neuen Mitarbeitern vom ersten Tag an vollen Zugriff. Auch wenn der Mitarbeiter an einer Schulung zur zulässigen Nutzung teilnehmen wird, reicht dieses kurze Zeitfenster vielen Angreifern völlig aus, um die Situation auszunutzen. Suchen Sie stattdessen mit dem IAM-Team Ihres Unternehmens nach Möglichkeiten, wie eine Vergabe dieser Rechte gesteuert werden kann, damit sie erst nach dem Absolvieren bestimmter Schulungen zugewiesen werden. Ergänzen Sie diese Vorgehensweise mit Sicherheitskontrollen, um die Exfiltration sensibler Daten zu verhindern.
Fazit
Das Wichtigste ist letzten Endes immer noch die menschliche Intuition. Wenn Sie als Personalverantwortlicher das Gefühl haben, dass etwas nicht stimmt, sollten Sie die Anwenderüberwachung für einen kurzen Zeitraum verstärken. Schließlich sind Menschen geschickt darin, unterschwellige Signale aufzunehmen. Es ist wichtig, dass Sie Ihrem Bauchgefühl vertrauen, wenn Sie einen neuen Mitarbeiter kennenlernen. Übersehen Sie keine Elemente, die ein Risiko für Ihr Unternehmen darstellen könnten. Greifen Sie im Zweifelsfall auf eine altbewährte Strategie zurück: Treffen Sie sich persönlich. Das wird wesentlich dazu beitragen, das erforderliche Vertrauen aufzubauen.
- Lesen Sie unseren Blog und erfahren Sie, wie Sie Ihr Unternehmen mit einem proaktiven Ansatz gegen Insider-Bedrohungen aus den Schlagzeilen heraushalten.
- Eine umfangreiche Sammlung von Ressourcen zum Aufbau und zur Verbesserung Ihres Insider-Bedrohungsprogramms finden Sie in unserem Insider Threat Management Starter Pack.
