Data Loss Prevention

4 Fehler bei der Sicherheit, die Mitarbeiter (und Unternehmen) für Insider-Bedrohungen anfällig machen

Da das Modell der Hybrid- und Remote-Arbeit wohl auch zukünftig bestehen bleiben wird, steigt der Bedarf an einem zuverlässigen Programm zur Abwehr von Insider-Bedrohungen (Insider Threat Management, ITM). Dennoch konzentrieren sich viele Unternehmen vor allem auf die externen und weniger auf die inneren Bedrohungen – eine Entscheidung, die ihnen möglicherweise finanziell schaden kann. Untersuchungen des Ponemon Institute zufolge betragen die durchschnittlichen Kosten durch Insider-Bedrohungen 11,45 Millionen US-Dollar – ein Anstieg von 31 % in zwei Jahren.

Die mit einzelnen Mitarbeitern und Unternehmen verbundenen Schwachstellen können zu einer Verkettung unglücklicher Umstände führen, doch die Lage ist nicht vollkommen hoffnungslos. Durch die Vermeidung häufiger Fehler beim Umgang mit Insider-Risiken lassen sich diese Schwachstellen durchaus minimieren.

Im Folgenden gehen wir auf vier der häufigsten Fehler bei der Sicherheit ein, die Mitarbeiter (und Unternehmen) für Insider-Bedrohungen anfälliger machen. Außerdem geben wir Empfehlungen, mit denen Sie das Insider-Risiko in Ihrem Unternehmen senken können:

1. Unzureichende Cybersicherheitsschulungen für Mitarbeiter

Insider-Bedrohungen entstehen nicht immer nur durch schädliches Verhalten von Mitarbeitern, sondern vielfach durch unabsichtliche Fehler. Tatsächlich werden dem Ponemon Institute zufolge 62 % der Kompromittierungen durch fahrlässiges Verhalten von Insidern verursacht. Dies umfasst auch scheinbar harmlose Handlungen wie das Herunterladen vertraulicher Dokumente auf einen USB-Stick oder das Verschicken verschlüsselter Dokumente per E-Mail, um diese zu Hause weiter zu bearbeiten.

Durch die zunehmende Nutzung von Lösungen für hybrides und Remote-Arbeiten kommt dieses Verhalten noch häufiger vor. Zudem fehlen in vielen Unternehmen, die nun vermehrt auf Collaboration-Tools setzen, etablierte Prozesse und Richtlinien für Mitarbeiter, die in verteilten Teams arbeiten. Das Problem macht auch bei externen Anbietern nicht halt, die die gleichen Tools für die tägliche Kommunikation verwenden. Wenn Mitarbeiter keine Orientierung für sicheres und angemessenes Verhalten erhalten, sind sie sich der Risiken für das Unternehmen womöglich gar nicht bewusst.

So verhindern Sie fahrlässige Verhaltensweisen

Cybersicherheitsschulungen werden in vielen Unternehmen häufig vernachlässigt und selten regelmäßig durchgeführt. Um Insider-Risiken zu minimieren, können Sie Cybersicherheitsschulungen für Ihre Mitarbeiter für die in Ihrem Unternehmen relevanten Risiken maßschneidern. Passen Sie zudem die Warnmeldungen in Ihrer bestehenden Technik so an, dass Anwender sofort benachrichtigt werden, wenn sie sich fahrlässig und riskant verhalten. Auf diese Weise können Sie den Grund für die Warnmeldung nachvollziehbarer machen und umgehend Maßnahmen einleiten, die verhindern, dass das Problem noch einmal auftritt.

Für andere Risiken, die in bestimmten Geschäftsbereichen immer wieder auftreten, lassen sich mithilfe ausführlicherer (oder regelmäßigerer) Cybersicherheits- und Compliance-Schulungen bewährte Methoden für E-Mail- und Cloud-basierte Zusammenarbeit oder allgemeine Gedächtnisstützen vermitteln und somit Insider-Bedrohungen durch fahrlässige Verhaltensweisen verhindern.

2. Fehlende Berücksichtigung externer Stressfaktoren

Die veränderte Arbeitsweise trägt sicher dazu bei, dass Anzeichen potenziell schädlicher Aktivitäten schwerer erkannt werden. Früher war es sehr verdächtig, wenn Mitarbeiter zu ungewohnter Uhrzeit oder von einem anderen Ort auf Daten zugreifen – heute gilt dies jedoch als normal.

Durch die ortsunabhängig arbeitende Belegschaft übersehen viele Unternehmen zudem die verschiedenen externen Stressfaktoren, die jemanden zu schädlichem Insider-Verhalten animieren können. Dazu gehören zum Beispiel:

  • Finanzielle Notlagen: Mitarbeiter könnten sich zu schädlichen Handlungen hinreißen lassen, wenn sie sich einer finanziellen Notlage befinden.
  • Rache: Verärgerte Mitarbeiter könnten Daten veröffentlichen, um sich am Unternehmen zu rächen. Die Ursachen dafür könnten in schlechter Behandlung im Team, einem Arbeitskonflikt, einer Abmahnung oder einer Kündigung liegen.
  • Berechtigungen: Mitarbeiter könnten glauben, dass ihnen die Kontrolle über die Daten zusteht, besonders wenn sie eine wichtige Rolle bei der Erfassung oder Erstellung gespielt haben.
  • Widersprüchliche Wertvorstellungen: Mitarbeiter mit religiösen oder politischen Überzeugungen, die im Widerspruch zu den Unternehmenswerten stehen, könnten sich berechtigt fühlen, Daten zu veröffentlichen.
  • Anwerben durch Dritte: Kriminelle Organisationen oder Auslandsgeheimdienste könnten Insider anwerben, um Systeme zu missbrauchen oder Betrug bzw. Finanzdiebstahl zu begehen.

So erkennen Sie böswillige Insider

Eine verteilte Belegschaft erschwert es den Cybersicherheitsteams, den Überblick über verärgerte Mitarbeiter, schlechte Leistungsbeurteilungen oder individuelle persönliche Umstände zu behalten, die zu böswilligem Verhalten führen könnten. Wenn Sie die menschliche Komponente von Datenverlust vernachlässigen, zwingt dies Ihr Team in die Defensive und es kann nicht mehr proaktiv handeln.

Um die potenziellen Risiken zu minimieren, sollten Sie für stärkere Zusammenarbeit und eine beständige Kommunikation zwischen den Teamleitern (z. B. aus der Personal-, Rechts-, Datenschutz- sowie Compliance-Abteilung) und dem Cybersicherheitspersonal sorgen. Das gilt besonders dann, wenn sich Mitarbeiter stark ablehnend oder geringschätzig über die Unternehmensrichtlinien äußern. Je besser Ihre Geschäftsbereichleiter über typische Frühwarnzeichen für Datendiebstahl oder Insider-Bedrohungen geschult sind, desto besser können sie das Sicherheitsteam mit Informationen versorgen.

Desweiteren sollte Ihr Sicherheitsteam regelmäßig Anwenderaktivitäten und Dateninteraktionen korrelieren. Zusammen mit Erkenntnissen zu möglichen Auslösern unterstützt diese Korrelation von Aktivitäten und Interaktionen Ihr Team dabei, den Missbrauch von Berechtigungen sowie potenzielle Datenverlustrisiken proaktiv aufzudecken.

3. Unvollständige oder wirkungslose Prozesse

Wie bereits erwähnt, betragen die durchschnittlichen Kosten durch Insider-Bedrohungen unglaubliche 11,45 Millionen US-Dollar. Diese Zahl kann sich jedoch noch drastisch erhöhen, wenn es im betroffenen Unternehmen keinen effektiven Prozess für die zügige Bewältigung von Insider-Bedrohungen gibt. Laut dem Ponemon Institute beheben Unternehmen einen Zwischenfall zwar im Durchschnitt innerhalb von 77 Tagen, doch 35 % der Unternehmen benötigen dafür über 90 Tage – das entspricht im Durchschnitt Kosten von 13,71 Millionen US-Dollar.

Ohne einen vereinfachten Prozess verbringt Ihr Team womöglich Stunden damit, festzustellen, ob eine potenzielle Bedrohung weiter verfolgt werden muss. So ging es jedenfalls dem Unternehmen Certified Collateral Corporation (CCC), dessen Sicherheitsteam sechs bis sieben Stunden für die Bewertung potenzieller Bedrohungen benötigte.

So verbessern Sie die durchschnittliche Reaktionszeit

Bei akuten Insider-Bedrohungen sollte die Zeit bis zur Reaktion so weit wie möglich verkürzt werden. CCC (aus dem obigen Beispiel) konnte die Zeit für anfängliche Untersuchungen durch Proofpoint Insider Threat Management von sechs bis sieben Stunden auf 10 bis 15 Minuten verringern.

Die effektivsten ITM-Programme funktionieren abteilungsübergreifend. Das bedeutet gleichzeitig, dass nicht alle über das nötige Wissen verfügen, um die Fachbegriffe und Analysen des IT-Teams zu verstehen. Eine Plattform, die relevante Beweise in leicht verständlichen Berichten hervorheben kann, erleichtert das Einbinden von Beweisen in Entscheidungsprozesse.

4. Kein moderner DLP-Ansatz

Es gibt heute mehr Möglichkeiten für Unternehmen, einen Datenverlust zu erleiden, als je zuvor – insbesondere angesichts der wachsenden Gig-Economy, in der immer mehr externe Partner Zugriff auf vertrauliche Unternehmensdaten haben müssen.

Die sogenannten „Digital Natives“ unter den Mitarbeitern empfinden DLP-Programme (Datenverlustprävention), die eigentlich zur Einhaltung von Vorschriften implementiert wurden, in der Regel als hinderlich. Letztlich führt das dazu, dass Mitarbeiter Hilfslösungen nutzen, die ungewollt die Angriffsfläche vergrößern können und dem eigentlichen Ziel bei der Implementierung einer DLP-Lösung diametral entgegenwirken.

So modernisieren Sie Ihren DLP-Ansatz

Überzeugen Sie Ihr Team davon, sich vom traditionellen DLP-Ansatz zu verabschieden. Denn schließlich gilt: Daten bewegen sich nicht von selbst – Menschen bewegen Daten. Ein moderner Endpunkt-DLP-Ansatz erfordert die Implementierung einer personenzentrierten Lösung. Basierend auf dem Anwenderrisiko und der Vertraulichkeit der Daten verändert sie die Art und Weise, wie Unternehmen Insider-Bedrohungen erkennen, verhindern und auf sie reagieren.

Mit einem Echtzeit-Überblick über den Kontext zu Datenbewegungen kann das Sicherheitsteam riskante Datenbewegungen effektiver identifizieren. Zudem ermöglicht die Lösung wirksame Präventions- und Behebungsmaßnahmen, die Datenverlust-Zwischenfälle stoppen, bevor sie zu ernsten finanziellen oder Rufschäden führen können.

Die wichtigsten Punkte

Mit einem umfassenderen Verständnis über die Schwachstellen Ihrer Mitarbeiter und die internen Unternehmensprozesse können Sie Maßnahmen zum Schutz vor Datenverlust und Insider-Risiken ergreifen. Zudem können Sie dank eines besseren Überblicks über Frühanzeichen für einen Insider-Zwischenfall effektiver Schwachstellen beseitigen und Risiken durch Insider-Bedrohungen minimieren.

Sie sehen den Nutzen eines ITM-Programms, fragen sich jedoch, wie sich die Lösung auf Ihren Gewinn auswirken wird? Erfahren Sie mehr über die geschäftlichen Argumente für die Implementierung eines ITM-Programms.