News
Podium Insider Threats

Wie man gemäss Check Point "den Wolf im Businesshemd" erkennt

Uhr
von Coen Kaat

Wer sich vor Cyberbedrohungen schützen will, blickt in der Regel über seine Festungsmauern nach draussen. Aber nicht alle ­Gefahren ­drohen von ausserhalb – manche lauern im eigenen Netzwerk. Wie man mit diesen umgeht, sagt Marco ­Eggerling, Chief Information Security Officer EMEA bei Check Point.

Marco ­Eggerling, Chief Information Security Officer EMEA bei Check Point Software Technologies.(Source: zVg)
Marco ­Eggerling, Chief Information Security Officer EMEA bei Check Point Software Technologies.(Source: zVg)

Was macht Insider Threats zu einer so grossen Bedrohung?

Marco Eggerling: Angriffe von innen werden oft von vertrauenswürdigen Mitarbeitenden und Dienstleistern ausgeführt, welche die Schutzmassnahmen kennen und diese zu unterminieren wissen. Daher müssen ­Sicherheitslösungen kontextbezogen reagieren und Abweichungen von Sicherheits-Baselines erkennen. Diese Form von Risikomanagement ist ein Drahtseilakt, weil Geschäftsprozesse nicht unterbrochen werden sollen, gleichzeitig der Schutz vor unbekannten Akteuren hochgehalten werden muss.

Wie gross ist das Risiko für Schweizer Unternehmen?

Die Gefahrenlage ist in der Schweiz vergleichbar mit anderen Ländern, etwa der EU. Kulturelle Aspekte sind, wenn überhaupt, nur als Nuancen in der Statistik über Insider Threats wahrnehmbar und beeinflussen die Bedrohungslage nicht.

Wie unterscheidet man beabsichtigte von unbeabsichtigten ­Vorfällen? Packt man beide Fälle gleich an?

Viele Firmen haben sogenannte Joiners-Movers-Leavers-Prozesse. Sobald Mitarbeitende sich verändern, aktivieren sich technische Kontrollen, um schadhaftes Handeln frühzeitig zu erkennen. Jedoch ist ein Generalverdacht der falsche Ansatz. Unbeabsichtigte Vorfälle kommen zumeist in Form von falsch adressierten E-Mails oder falsch platzierten Dokumenten respektive Klassifizierungsänderungen vor. Diese lassen sich mit DLP-Lösungen kontrollieren. Beabsichtigte Vorfälle sind gezielt, geplant und schwer zu prognostizieren. Oft wird mittels benutzerspezi­fischer Risikoklassifizierung agiert, um Abweichungen zu erkennen - etwa der Upload grosser Mengen von Daten, wenn das bisher nie ­vorkam.

Wie erkennt man den Wolf im Schafspelz beziehungsweise im Businesshemd?

Mit blossem Auge kaum. User-Entity-Behavior-Analytics-Lösungen können das Benutzerverhalten überwachen und schadhafte Handlungen erkennen. Häufig vollzieht ein Dritter über den Account eines anderen, etwa über ein gehacktes Passwort, Handlungen, die dann schwer zurückzuverfolgen sind. Auch hier kommt das Konzept von benutzerspezifischen Risikoprofilen zum Einsatz. Abweichungen werden erkannt und entsprechend beantwortet. Ein "silver bullet" kann jedoch keine Technologie allein liefern. Vielmehr braucht es hier eine Kombination aus unterschiedlichen Tools.

Wie können Channelpartner ihre Kunden dabei unterstützen und sie vor Insider Threats schützen?

Awareness-Trainings und Sensibilisierung für das Thema sind hier probate Verteidigungsmittel. Wenn jeder wachsam und aufmerksam ist, wird das Risiko für alle automatisch reduziert.

Die Antworten der weiteren Teilnehmenden des Podiums

Zum Thema
Tags
Podium
Cybersecurity
check point
Webcode
9hNewJNF
Back to top