Wie man gemäss Check Point "den Wolf im Businesshemd" erkennt
Wer sich vor Cyberbedrohungen schützen will, blickt in der Regel über seine Festungsmauern nach draussen. Aber nicht alle Gefahren drohen von ausserhalb – manche lauern im eigenen Netzwerk. Wie man mit diesen umgeht, sagt Marco Eggerling, Chief Information Security Officer EMEA bei Check Point.
Was macht Insider Threats zu einer so grossen Bedrohung?
Marco Eggerling: Angriffe von innen werden oft von vertrauenswürdigen Mitarbeitenden und Dienstleistern ausgeführt, welche die Schutzmassnahmen kennen und diese zu unterminieren wissen. Daher müssen Sicherheitslösungen kontextbezogen reagieren und Abweichungen von Sicherheits-Baselines erkennen. Diese Form von Risikomanagement ist ein Drahtseilakt, weil Geschäftsprozesse nicht unterbrochen werden sollen, gleichzeitig der Schutz vor unbekannten Akteuren hochgehalten werden muss.
Wie gross ist das Risiko für Schweizer Unternehmen?
Die Gefahrenlage ist in der Schweiz vergleichbar mit anderen Ländern, etwa der EU. Kulturelle Aspekte sind, wenn überhaupt, nur als Nuancen in der Statistik über Insider Threats wahrnehmbar und beeinflussen die Bedrohungslage nicht.
Wie unterscheidet man beabsichtigte von unbeabsichtigten Vorfällen? Packt man beide Fälle gleich an?
Viele Firmen haben sogenannte Joiners-Movers-Leavers-Prozesse. Sobald Mitarbeitende sich verändern, aktivieren sich technische Kontrollen, um schadhaftes Handeln frühzeitig zu erkennen. Jedoch ist ein Generalverdacht der falsche Ansatz. Unbeabsichtigte Vorfälle kommen zumeist in Form von falsch adressierten E-Mails oder falsch platzierten Dokumenten respektive Klassifizierungsänderungen vor. Diese lassen sich mit DLP-Lösungen kontrollieren. Beabsichtigte Vorfälle sind gezielt, geplant und schwer zu prognostizieren. Oft wird mittels benutzerspezifischer Risikoklassifizierung agiert, um Abweichungen zu erkennen - etwa der Upload grosser Mengen von Daten, wenn das bisher nie vorkam.
Wie erkennt man den Wolf im Schafspelz beziehungsweise im Businesshemd?
Mit blossem Auge kaum. User-Entity-Behavior-Analytics-Lösungen können das Benutzerverhalten überwachen und schadhafte Handlungen erkennen. Häufig vollzieht ein Dritter über den Account eines anderen, etwa über ein gehacktes Passwort, Handlungen, die dann schwer zurückzuverfolgen sind. Auch hier kommt das Konzept von benutzerspezifischen Risikoprofilen zum Einsatz. Abweichungen werden erkannt und entsprechend beantwortet. Ein "silver bullet" kann jedoch keine Technologie allein liefern. Vielmehr braucht es hier eine Kombination aus unterschiedlichen Tools.
Wie können Channelpartner ihre Kunden dabei unterstützen und sie vor Insider Threats schützen?
Awareness-Trainings und Sensibilisierung für das Thema sind hier probate Verteidigungsmittel. Wenn jeder wachsam und aufmerksam ist, wird das Risiko für alle automatisch reduziert.
Die Antworten der weiteren Teilnehmenden des Podiums
- Christopher Cantieni, Infinigate: "Das Wichtigste ist, Awareness zu schaffen."
- Patrick Michel, Boll Engineering: "Mitarbeitende haben per se einen ‘Pre-Trust’ und Zugriff auf schützenswerte Daten. Dies öffnet dem Missbrauch Tür und Tor."
- Cornelia Lehle, G Data: "Jährlich wird wohl jedes zehnte Unternehmen von eigenen Mitarbeitenden betrogen - absichtlich oder unabsichtlich."
- Stefan Rothenbühler, Infoguard: "Oft erstreckt sich der Zugriff im Gegensatz zu vielen externen Angriffen über längere Zeit, was die Detektion erschwert."
- Michael Schröder, Eset: "Insider Threats verursachen nicht nur finanzielle Verluste, sondern auch erhebliche Reputations- und Vertrauensschäden."
- Michael Unterschweiger, Trend Micro: "Gegen böswillige Insider helfen vor allem ein Rechtemanagement nach dem Least-Access-Prinzip und DLP."
- Gregor Wegberg, Oneconsult: "Eine vertrauens- und respektvolle Unternehmenskultur ist wichtiger, als viele wahrhaben möchten."