Jazzmusik hat mich schon immer fasziniert. Hier spielen mehrere Musiker zusammen und verweben Rhythmen und Harmonien zu etwas, das in sich geschlossen und vollständig klingt. Zufällig ist das genau der Effekt, den Sicherheitsteams erzielen müssen, die sich auf den Faktor Mensch konzentrieren.
Der Monat der Sensibilisierung für Insider-Bedrohungen ist eine gute Gelegenheit, sich darüber Gedanken zu machen, ob die eigenen Sicherheitsteams isoliert agieren oder zusammenarbeiten und sich so gegenseitig stärken.
In einem Jazz-Ensemble hat jeder Musiker ein eigenes Riff und bekommt die Möglichkeit, sein Können zu zeigen. Die wahre Magie entfaltet sich aber dann, wenn alle Musiker harmonisch zusammenspielen. Bei der Sicherheit ist es nicht anders. Wenn ein einzelnes Team versucht, alle Aufgaben zu erledigen, sind die Grenzen schnell erreicht. Wenn jedoch alle Teams ihre Erkenntnisse einbringen und ihren Beitrag leisten, können sie die Gesamtwirkung verstärken und vollständig erfassen, was tatsächlich passiert ist. Und ebenso wie kein Jazzstück dem anderen gleicht, unterscheiden sich auch scheinbar ähnliche Vorfälle voneinander. Deshalb ist es so wichtig, verschiedene Sichtweisen einzubeziehen.
Personenzentrierte, einheitliche Sicherheit bedeutet, dass jedes Team einen Beitrag leistet. Mit gut abgestimmten Übergaben, klar abgegrenzten Aufgabenbereichen und parallelen Prozessen stärken sich die Teams gegenseitig, anstatt Schritte doppelt durchzuführen oder sich gegenseitig zu behindern. Und in dem Zuge, in dem sich die Sicherheitsmaßnahmen weiterentwickeln, um Risiken durch menschliche Interaktionen mit Daten und Systemen abzudecken, rücken auch die Teams immer näher zusammen.
Jedes Team hat eine eigene Aufgabe
Da sich die Aufgabenbereiche häufig überschneiden, stellen mir Insider-Risiko- und Datensicherheitsteams – v. a. solche, die ihre Journey gerade beginnen oder ihr Programm komplett neu evaluieren – immer wieder die gleiche Frage: „Was sollten wir als Kontaktpunkte zwischen Teams betrachten, und wer ist für welchen Teil eines Vorfalls verantwortlich, wenn es Überschneidungen gibt?“
Wenn wir über Kontaktpunkte sprechen, sollten wir bedenken, dass es viele Teams gibt, die einbezogen werden können und sollten, darunter zum Beispiel die Abteilungen für Personalfragen, Mitarbeiterbeziehungen, Recht und Unternehmenssicherheit. Ich möchte mich hier allerdings auf die drei Kerngruppen konzentrieren, die bei Gesprächen mit unseren Kunden am häufigsten genannt werden:
- Datenschutzteams: Sie beschäftigen sich mit der Frage, was passiert ist. Ihre Aufgabe besteht darin, riskante Datenbewegungen zu erkennen und einzudämmen sowie aufkommende Probleme unter Kontrolle zu halten.
- Insider-Risiko-Teams: Sie beschäftigen sich mit der Frage nach dem Warum und befassen sich mit dem Kontext, dem Motiv und dem Verhalten. Sie haben die Aufgabe festzustellen, ob es sich um Betrug, Gewalt am Arbeitsplatz, Sabotage oder eine andere Art von Zwischenfall handelt. Dies ist allein anhand technischer Warnmeldungen nicht immer erkennbar.
- SecOps: Sie stellen fest, wie schwerwiegend der Zwischenfall ist, und konzentrieren sich darauf, Bedrohungen einzudämmen und böswillige Aktivitäten zu unterbinden, bevor sie sich ausbreiten.
Nachdem wir die Teams und ihre Aufgabenbereiche definiert haben, sehen wir uns nun zwei Beispielfälle an.
Fall 1: Kompromittiertes Entwicklerkonto – DLP sieht es zuerst
Daniel, ein Cloud Data Engineer, hat Warnmeldungen ausgelöst, weil er um 2 Uhr nachts Produktionsdatensätze auf ein privates Cloud-Laufwerk hochgeladen hat.
- Datenschutz: Das Risiko wurde sofort erkannt. Dynamische Kontrollen haben die Übertragungen automatisch blockiert und ein Datenleck verhindert.
- Insider-Risiko: Das Team hat sein bisheriges Verhalten und seinen HR-Kontext überprüft und keinen Hinweis auf ein Motiv gefunden. Daniels Leistungsbeurteilungen waren hervorragend, d. h. die Personalabteilung hat keine Probleme gemeldet und seine Aktivitätsprotokolle zeigten außer den ungewöhnlichen Uploads kein Muster für riskantes Verhalten.
- SecOps: Das Team stellt fest, dass seine Anmeldedaten per Phishing gestohlen und aktiv ausgenutzt wurden.
Ergebnis der gemeinsam gewonnenen Erkenntnis: Das Konto wurde gesperrt, die Anmeldedaten wurden aktualisiert und Daniel wurde als Opfer unterstützt – und nicht fälschlicherweise als böswilliger Insider eingestuft.
Fall 2: Verärgerter Analyst mit riskanten Zugriffsrechten – Insider-Score löst Präventionsmaßnahme aus
Sofia, eine Finanzanalystin mit Zugriff auf Unterlagen zu Fusionen und Übernahmen, gehörte aufgrund ihrer Rolle zu einer Anwendergruppe mit hohem Risiko.
- Insider-Risiko: Da Sofia bei Mitbewerbern nach einem Job gesucht hat, bei Leistungsbeurteilungen negativ aufgefallen ist und sich bei interner Kommunikation verärgert geäußert hat, hat ihr Risikowert einen festgelegten Schwellenwert überschritten.
- Datenschutz: Sobald die Risikoschwelle erreicht war, haben die dynamischen Präventionsmaßnahmen wiederholte große Druckversuche blockiert. Außerdem wurde eine Überprüfung durchgeführt, um sicherzustellen, dass keine weiteren Daten verloren gegangen sind.
- SecOps: Es wurde bestätigt, dass die Sitzungen legitim waren, sodass eine Kompromittierung ausgeschlossen werden konnte.
Ergebnis der gemeinsam gewonnenen Erkenntnis: Da Motiv, Mittel und Voraussetzungen zusammenpassten, hatten Personal- und Rechtsabteilung ausreichend Beweise und schränkten Sofias Zugriffsrechte ein. Die Intervention erfolgte, bevor Daten verloren gehen konnten.
Wichtige Best Practices für die Eskalation
Nachfolgend finden Sie Best Practices für Eskalationspfade zwischen Insider-Risiko-, Datenschutz- und SecOps-Teams.
- Parallele Untersuchungen und gemeinsam gewonnenen Erkenntnisse
Warum das wichtig ist: Wenn Insider-Risiko- und SecOps-Teams ihre Datenspuren isoliert überprüfen, kommen sie oft zu unterschiedlichen Ergebnissen, sodass die Personal- oder Rechtsabteilungen dann fragmentierte und mitunter sogar widersprüchliche Informationen erhalten.
Empfohlene Vorgehensweise: Führen Sie Untersuchungen parallel durch, aber warten Sie, bis die Erkenntnisse kombiniert sind, bevor Sie sich an die Verantwortlichen in Ihrem Unternehmen wenden. Eine umfassende Darstellung der gewonnenen Erkenntnisse reduziert unnötige Informationen, vermeidet doppelten Aufwand und schafft Vertrauen darin, dass die Sicherheitsabteilung zu einem klaren Ergebnis gekommen ist. - Keine vorzeitige Kontaktaufnahme
Warum das wichtig ist: Wenn Sie involvierte Mitarbeiter zu früh auf den Zwischenfall ansprechen, kann dies schädlich sein. Das gilt vor allem dann, wenn er Opfer einer Kompromittierung geworden ist, da dies das Vertrauen untergräbt und böswillige Insider warnen kann.
Empfohlene Vorgehensweise: Das Insider-Risiko-Team bestätigt den Kontext, während das SecOps-Team die technischen Auswirkungen validiert. Erst dann wird die Personalabteilung hinzugezogen, um mit dem Mitarbeiter zu sprechen. Die Kontaktaufnahme sollte immer mit der Personal- und der Rechtsabteilung geplant und abgestimmt werden. - Kontext statt Wiederholung
Warum das wichtig ist: Wenn eine ganze Reihe wiederholter DLP-Warnmeldungen eingeht, weist dies eher auf systemische Probleme (Schulungen, Arbeitspensum und Zugriffsdesign) als auf vorsätzliches Fehlverhalten hin. Wenn diese Warnmeldungen als isolierte Zwischenfälle behandelt werden, besteht die Gefahr, dass die Symptome angegangen werden und die eigentliche Ursache übersehen wird.
Empfohlene Vorgehensweise: Aggregieren Sie Warnmeldungen über einen längeren Zeitraum. Muster können auf systemische oder menschliche Faktoren wie Burnout oder unrealistische Fristen hinweisen. In diesen Fällen sind konstruktive Interventionen wie Beratung, Schulungen oder die Anpassung des Arbeitspensums sinnvoll und mit Strafen verbundene Eskalation nicht zielführend. - Umsetzung von RBAC-Grenzen
Warum das wichtig ist: Selbst konvergierte Teams können dazu tendieren, allen Einsicht in alle Informationen zu gewähren. Hochsensible Fälle (z. B. Führungskräfte, Fusionen und Übernahmen sowie regulierte Datensätze) erfordern jedoch strenge Kontrollen darüber, wer was einsehen kann. Dies reduziert Vorurteile, schützt die Vertraulichkeit und stärkt die Position bei Rechtsstreitigkeiten.
Empfohlene Vorgehensweise: Einige Analysten bearbeiten möglicherweise nur Vorfälle mit niedrigem bis mittlerem Schweregrad, während die Bearbeitung schwerwiegender Vorfälle leitenden Mitarbeitern des Insider-Risk-Teams oder funktionsübergreifenden Gruppen unter Aufsicht der Personal- und Rechtsabteilung vorbehalten sein sollte. - Validierung von Beweise durch Sichtbarkeit
Warum das wichtig ist: Das Fehlen von Beweisen sollte niemals als Beweis dafür missverstanden werden, dass etwas nicht oder durch ein Versehen passiert ist – es sei denn, alle Teams sind sich einig, dass die richtigen Überwachungs- und Kontrollmaßnahmen vorhanden sind. Wenn die Aktivität nicht durch eine Überwachungsmaßnahme erkannt wurde, ist das Fehlen von Daten bedeutungslos.
Empfohlene Vorgehensweise: Seien Sie vorsichtig, aus fehlenden Daten Schlussfolgerungen zu ziehen. Überprüfen Sie immer, ob eine Lücke bedeutet, dass keine Aktivität stattgefunden hat, oder ob die vorhandenen Technologien nicht in der Lage waren, eine vorhandene Aktivität zu erkennen. Wenn das Tool zur Datenverlustprävention (DLP) zum Beispiel keine verschlüsselten Uploads erfasst, ist das Fehlen von Warnmeldungen kein Beweis für die Sicherheit. Stattdessen weist dies auf eine Transparenzlücke hin, die geschlossen werden muss. - Kontinuierliche Messung und Anpassung
Warum das wichtig ist: Eskalationsprozesse sind nur wirksam, wenn sie sich mit dem Unternehmen weiterentwickeln. Statische Playbooks führen zu veralteter Berichterstattung, Warnmeldungsmüdigkeit und geringerer Glaubwürdigkeit.
Empfohlene Vorgehensweise: Erfassen Sie, wie viele Warnmeldungen sich als echte Vorfälle erweisen, wie schnell Übergaben erfolgen und welche Interventionsmaßnahmen (z. B. Schulungen, Disziplinarmaßnahmen und Offboarding) ergriffen werden. Verwenden Sie diese Daten, um Richtlinien, Abläufe und die personelle Situation zu optimieren.
Fazit
Wie bei einer tollen Jazz-Performance entsteht Resilienz durch Struktur, Kompetenzen und der Möglichkeit, sich an die Situation anzupassen. Stellen Sie sich die Frage, ob Ihre Teams harmonisch zusammenarbeiten und das volle Potenzial der Sicherheitstechnologien ausschöpfen – oder weiterhin isoliert agieren.
Wenn Sie mehr über Best Practices zur Erkennung und Verhinderung von Insider-Bedrohungen erfahren möchten, sehen Sie sich unser Webinar Biggest & Boldest Insider Threats (Die größten und dreistesten Insider-Bedrohungen) an.
