Insider-Bedrohungen: Den Tatsachen ins Auge sehen

Eine neue Studie zur Cybersecurity in Deutschland veranschaulicht das Ausmass des Problems: In 41 Prozent der befragten Unternehmen waren eigene fahrlässige oder unvorsichtige Mitarbeitende in den vergangenen zwölf Monaten die Ursache für Datenpannen. Sie öffneten etwa mit Malware infizierte E-Mail-Anhänge, riefen gefälschte Webseiten auf und füllten gefakte Onlineformulare aus oder gaben sensible Informationen preis. In 30 Prozent der Fälle waren Mitarbeitende mit böswilligen oder kriminellen Absichten die Hauptursache für den IT-Sicherheitsvorfall.

Der Faktor Mensch

Generell haben Unternehmen erkannt, dass ihre Mitarbeitenden IT-­Sicherheitsfaktor Nummer eins sind. Erfreulicherweise schlägt sich das in der Praxis nieder. So bestätigten 82 Prozent der befragten Unternehmen, dass sie ein fortlaufendes Schulungsprogramm durchführen, um ihre Mitarbeitenden für Cybersecurity-Bedrohungen zu sensibilisieren. So wichtig derartige Schulungsprogramme auch sind, so wenig können sie jedoch gegen böswillige oder kriminelle Mitarbeitende ausrichten. Deshalb gilt es, die Sicherheit von Daten und Informationen auch durch komplementäre technische Massnahmen zu gewährleisten. Und daran hapert es.

Basismassnahmen ergreifen

Dabei sind grundlegende technische Massnahmen vergleichsweise einfach umzusetzen. Ein Rechtemanagement beispielsweise, das den Zugriff auf sensible Daten nur Mitarbeitenden gewährt, die diese tatsächlich benötigen, ist eine solche wesentliche Massnahme. Laut der aktuellen Studie sperren nur 48 Prozent der Unternehmen den Zugang zu sensiblen Daten für bestimmte Mitarbeitende oder Mitarbeitergruppen; und knapp ein Viertel der Unternehmen (24,5 Prozent) hat nicht einmal einen genauen Überblick darüber, wo die sensibelsten Daten gespeichert sind. Ohne einen solchen Überblick lässt sich mit einem effizienten Rechtemanagement aber gar nicht erst beginnen.

Nächste Schritte auf der Höhe der Zeit

Hat ein Unternehmen eine gute Übersicht über den Speicherort sensibler Daten und ein entsprechendes Zugriffsmanagement realisiert, sollte es diese Massnahmen vor allem mit Lösungen zur Endgerätesicherheit und zum Schutz von Datenverlust (DLP: Data Loss Prevention) ergänzen. Dabei ist es von entscheidender Bedeutung, dass diese Lösungen den Realitäten des modernen Arbeitens gerecht werden. Das heisst, dass sie Endgeräte unabhängig von ihrem Einsatzort (Stichwort ­"Homeoffice") und Daten auch in heterogenen Netzen aus dem unternehmenseigenen Rechenzentrum und/oder der Public Cloud beschützen können.

Unternehmen müssen einen DLP-Ansatz verfolgen, der neue externe und interne Bedrohungen abwehrt, die auf ihre Mitarbeitenden und ihre Daten abzielen. Eine moderne DLP-Strategie verschafft Unternehmen mehr Transparenz und Kontext, ermöglicht schnellere und genauere Entscheidungen, spart Zeit und Verwaltungsaufwand und reduziert das Risiko von Datenverlust.

Den Faktor böswilliger Mensch in den Griff bekommen

Um auch den versierteren böswilligen oder kriminellen Mitarbeitenden auf die Schliche zu kommen, sollten Unternehmen zu guter Letzt Lösungen für das Insider Threat Management (ITM) nutzen, die Technologien der künstlichen Intelligenz (KI) und des Machine Learnings einsetzen, um einen kontextbezogenen Einblick in die Art und Weise zu erhalten, wie Mitarbeitende auf Daten zugreifen. Traditionelle Lösungen ohne KI lassen die IT-­Sicherheitsverantwortlichen zu sehr auf sich allein gestellt und arbeiten zu langsam, als dass sie ein wirksames Mittel gegen Insiderbedrohungen bieten könnten.

----------

Die Gefahr durch Insider-Bedrohungen ist bei KMUs grösser

Nicht jede Cyberbedrohung kommt von aussen: Manchmal sind es die eigenen Mitarbeitenden, die bewusst Vorfälle verursachen. Was Mitarbeitende dazu bewegen könnte, wie man diese Insider-Bedrohungen erkennt und was man ­dagegen unternehmen sollte, sagt Bert Skaletski, Resident CISO für die EMEA-Region bei Proofpoint. Interview: Coen Kaat

Was könnte eine Person dazu veranlassen, absichtlich IT-Sicherheitsvorfälle zu verursachen?

Bert Skaletski: Die Motive der Mitarbeitenden sind vielschichtig. Bei denen, die noch im Unternehmen beschäftigt sind, spielt bei vorsätzlichen Taten oftmals Frustration eine grosse Rolle. Vielleicht wurde ihnen keine Gehaltserhöhung gewährt oder sie wurden bei einer Beförderung übergangen. Finanzielle Motive können auch eine Rolle spielen, wenn beispielsweise ein Konkurrent in den Besitz sensibler Daten gelangen möchte. Nicht selten ist es auch eine Mischung verschiedener Faktoren, die ein solches Verhalten hervorruft. Scheidende oder ehemalige Mitarbeitende entwenden vorsätzlich Geschäftsgeheimnisse beziehungsweise relevante Daten, um sie etwa in ihrer neuen Position nutzen zu können. Diese Insider sind sich zwar der Tatsache bewusst, dass sie illegal handeln, tun dies aber im Glauben, dass sie aufgrund ihrer (früheren) Tätigkeit ein Anrecht auf diese Informationen hätten. Umso wichtiger ist es, dass Unternehmen in dieser Hinsicht klare Vorgaben definieren.

Wie erkennt man ­Mitarbeitende mit böswilligen Absichten?

Das ist eine besondere Herausforderung. Denn es ist nahezu unmöglich, eine Insider-Bedrohung auszumachen, bevor eine entsprechende Tat erfolgt. Aus diesem Grund müssen die Security-­Verantwortlichen technische Vorkehrungen treffen, die zum einen Zugriffsrechte auf Daten nur denjenigen gewähren, die tatsächlich die Daten für ihre Arbeit benötigen, und zum anderen die Aktivitäten der Nutzerinnen und Nutzer überwachen und auffälliges Verhalten unmittelbar melden. Gerade Data-Loss-Prevention-Lösungen sind daher heute unerlässlich geworden, um sich gegen Insider-Bedrohungen zu wappnen.

Wie verhindert man, dass man überhaupt solche Personen ­einstellt?

Im Grunde ist dies ein Ding der Unmöglichkeit. Niemand kann von vornherein wissen, ob ein Bewerber später einmal zu einer Insider-Bedrohung wird. Es sei denn, die Personalverantwortlichen erfahren, dass ein Bewerber bereits eine entsprechende Vorgeschichte hat. Abhängig von den örtlichen Gesetzen und der Position, für die sich der Mitarbeiter bewirbt, kann eine Überprüfung des polizeilichen Führungszeugnisses erforderlich sein. Ansonsten müssen Unternehmen auf Security Awareness Trainings und technische Massnahmen setzen, die ihre Anfälligkeit für Insider-Bedrohungen verringern.

Welchen Schaden könnten diese Insider-Bedrohungen ­anrichten?

Hier gilt es zu unterscheiden. Wollen Mitarbeitende dem Unternehmen tatsächlich massiv schaden und schleusen beispielsweise eine Ransomware in die IT-Systeme ein, sind die finanziellen Schäden aufgrund der Ausfallzeiten enorm. Dabei wird die gesamte Organisation in Mitleidenschaft gezogen und der Geschäftsbetrieb ist unter Umständen für Tage oder Wochen nicht oder nur sehr eingeschränkt gegeben. Werden hingegen sensible Daten gestohlen, kann die Marktposition eines Unternehmens in Gefahr geraten. Je nach Art der gestohlenen Daten können auch Geldstrafen fällig werden. Darüber hinaus drohen Reputationsschäden, sollten Daten-­Leaks öffentlich werden. Laut der aktuellen Studie "Cybersecurity in Deutschland: Menschen und Daten besser schützen" werden Reputationsschäden am häufigsten als Folge eines IT-Sicherheitsvorfalls genannt.

Inwiefern betrifft dieses Risiko auch kleine Schweizer KMUs?

Jedes Unternehmen, unabhängig von seiner Grösse, kann von Insider-Bedrohungen betroffen sein. Da kleinere Organisationen jedoch tendenziell weniger strikt trennen, wer auf welche Datenbestände zugreifen darf, ist die Gefahr durch Insider bei KMUs grösser. Ein böswilliger Insider ist häufig in der Lage, den gesamten Datenbestand eines KMU zu stehlen. Dies kann ein Unternehmen in seiner Existenz gefährden.