Wenn wir auf das Jahr 2020 zurückblicken, können wir eines mit Sicherheit sagen: Die Welt arbeitet ganz anders als noch vor einem Jahr. Viele Unternehmen mussten auf Mitarbeiter im Home Office oder in hybriden Umgebungen umstellen, wobei ihre Sicherheitsteams nur wenig bis keine Zeit hatten, um auf die neue Situation zu reagieren. Mitarbeiter greifen vom Home Office und mit verschiedensten Endpunkten auf vertrauliche Daten und geistiges Eigentum zu. Da die Belegschaft weit verteilt ist, wurde der bisherige Sicherheits-Perimeter völlig neu definiert. Jetzt sind Ihre Mitarbeiter der neue Perimeter.
Da die Mitarbeiter auf neue Weise interagieren und Daten austauschen, sollten auch die bisherigen Ansätze zur Datenverlustprävention überdacht werden. Nachfolgend werden drei weitverbreitete Mythen über den Schutz von Daten und vertraulichem geistigem Eigentum vor Insider-Bedrohungen beschrieben.
Mythos 1: Bei der Abwehr von Insider-Bedrohungen geht es um Datenschutz
Früher waren herkömmliche Tools zur Datenverlustprävention (Data Loss Prevention, DLP) vorwiegend datenzentriert. Allerdings haben sie den Anwenderkontext nicht berücksichtigt. Bei Insidern ist es aber wichtig, nicht nur die Daten selbst, sondern auch die Interaktion der Anwender mit ihnen zu überwachen.
Angenommen ein Anwender lädt eine Datei auf eine unzulässige Seite wie Dropbox hoch. Wenn diese Datei von einer genehmigten Anwendung wie SharePoint stammt, könnte das auf ein potenziell riskantes Anwenderverhalten hindeuten. Doch nicht alle Uploads sind schädlich. Eventuell möchte der Anwender einfach eine persönliche Datei in Dropbox oder eine Unternehmensdatei in OneDrive hochladen. Dieser zusätzliche Kontext ist wichtig, um zwischen riskantem und nicht riskantem Verhalten unterscheiden zu können. Mit herkömmlichen DLP-Tools erhalten Sie nicht unbedingt den notwendigen Kontext, um die gesamte Kette der Anwenderaktivitäten zu verstehen. Die Kombination von DLP-Tools und dedizierter Insider Threat Management-Plattform liefert diesen Kontext und reduziert dadurch die Wahrscheinlichkeit von False Positives.
Mythos 2: Endpunkt-Scans sind das A und O
Vor 10 Jahren waren die meisten Daten auf einem Endpunkt gespeichert. Deshalb schien es damals auch sinnvoll, dass Sicherheitsteams sich auf Endpoint DLP-Überwachung verlassen haben, um einen Überblick über den Verlust von vertraulichen Daten und geistigem Eigentum zu erhalten. Diese Tools mussten die Daten auf dem Endpunkt scannen, wodurch es oft zu Verzögerungen und Produktivitätsverlusten bei Anwendern kam.
Heute befinden sich die meisten Anwenderdaten in der Cloud, egal ob sie in SharePoint, Microsoft Teams oder G Suite gespeichert sind. Wenn Sie alle diese Daten scannen müssten, besonders wenn einige dieser Speicherorte als Laufwerke genutzt werden, würde das die Produktivität der Anwender erheblich beeinträchtigen.
Manchmal deaktivieren Mitarbeiter sogar den Endpunkt-Scan, damit er sie nicht bei ihrer Arbeit stört. Dadurch wird aber der Zweck der Scans verfehlt.
Bei einem moderneren Problemlösungsansatz scannen Sie die Daten in der Cloud und kennzeichnen sie mit Datenklassifizierungstechnologien wie MIP. Anschließend liest der Endpunkt die Kennzeichnung, die als Erzwingungspunkt dient. Da Scan und Kennzeichnung der Daten in der Cloud stattfinden, werden die Leistungsprobleme auf dem Endpunkt entschärft. Durch die Verlagerung des Scans in die Cloud kann sogar die Datenverlustprävention beschleunigt und optimiert werden, ohne die Sicherheit zu beeinträchtigen.
Mythos 3: Die Reaktion auf Zwischenfälle muss langwierig sein
Die Reaktion auf Zwischenfälle ist ein komplexer, mehrstufiger Prozess, in den viele Verantwortliche involviert sind. Je länger eine Bedrohung durch Insider unentdeckt bleibt, desto mehr Kosten verursacht sie für Unternehmen. Üblicherweise ziehen sich Untersuchungen in die Länge, weil den DLP-Tools zur jeweiligen Warnung der Kontext der Anwenderaktivitäten fehlt. Wenn Sicherheitsteams mit False Positives überschwemmt werden, können sie nicht immer die Signale vom Rauschen trennen. Wenn sie mit der Reaktion beginnen, ist nur schwer erkennbar, ob ein Zwischenfall durch einen Anwenderfehler oder einen böswilligen Insider verursacht wurde. Sind funktionsübergreifende Teams wie Personal-, Rechts- sowie Compliance-Abteilung involviert, sind diese Kontextinformationen für die Untersuchung von Insider-Zwischenfällen entscheidend.
Die Erfassung des notwendigen Kontexts muss aber nicht Wochen oder Monate dauern. Genau genommen müssen nur die Anwenderaktivitäten mit den Datenbewegungen korreliert werden. Die vollständige Reaktion auf einen Zwischenfall umfasst die Untersuchung der Anwender- und Dateninteraktionen auf mehreren Kanälen wie E-Mails, Cloud sowie Endpunkt und die anschließende Einordnung der Anwender in einen Kontext. Dies erfolgt in einer zentralen Ansicht. Mit einer spezialisierten Lösung zur Abwehr von Insider-Bedrohungen sieht das Sicherheitsteam genau, wer was, wann, wo und warum gemacht hat – mitunter innerhalb von Minuten. Mithilfe dieser Informationen kann das Team einen leicht verständlichen Bericht generieren und an Verantwortliche außerhalb des Sicherheitsteams weitergeben.
Weitere Informationen zum Schutz von vertraulichen Daten und geistigem Eigentum
Möchten Sie erfahren, wie Sie Ihr Unternehmen mithilfe eines modernen Ansatzes zur Abwehr von Insider-Bedrohungen vor Verlust von vertraulichen Daten und geistigem Eigentum schützen können? In unserem neuesten On-Demand-Webinar werden diese Mythen genauer untersucht und praktische Methoden zur Verwaltung des Insider-Risikos in der modernen Arbeitswelt vorgestellt.