Wie man gemäss G Data "den Wolf im Businesshemd" erkennt
Wer sich vor Cyberbedrohungen schützen will, blickt in der Regel über seine Festungsmauern nach draussen. Aber nicht alle Gefahren drohen von ausserhalb – manche lauern im eigenen Netzwerk. Wie man mit diesen umgeht, sagt Cornelia Lehle, Head of Sales DACH bei G Data.
Was macht Insider Threats zu einer so grossen Bedrohung?
Cornelia Lehle: Insider Threats sind deutlich schwieriger zu erkennen, denn die Täter kommen aus den eigenen Reihen und müssen weniger Schutzmauern überwinden als Angreifergruppen von aussen. Zahlreiche Schutzmechanismen wie etwa eine Firewall greifen hier einfach nicht. Verdächtige Aktivitäten von Innentätern sind weniger sichtbar, an dieser Stelle braucht es schon ein gutes Monitoring und versierte Angestellte, die solche Aktionen erkennen können.
Wie gross ist das Risiko für Schweizer Unternehmen?
Das Risiko hält sich nicht an Ländergrenzen. Jedes Unternehmen sollte sich der Gefahr bewusst sein, dass es einem Insider Threat zum Opfer fallen kann. Ich halte es für realistisch, dass jährlich jedes zehnte Unternehmen von eigenen Mitarbeitenden betrogen wird – absichtlich oder unabsichtlich.
Wie unterscheidet man beabsichtigte von unbeabsichtigten Vorfällen? Packt man beide Fälle gleich an?
Das ist immer eine Einzelfall-Entscheidung. Bei einem beabsichtigten Vorfall will der Täter oder die Täterin dem Unternehmen aktiv schaden – sei es aus finanziellen Gründen oder aus Rache, etwa wegen einer verweigerten Beförderung. Unbeabsichtigt ist ein Insider Threat, wenn ein Angestellte auf eine Phishing-Mail oder auf Social Engineering hereinfallen und durch die Weitergabe ihrer Credentials Unbefugte ins Netzwerk lassen.
Wie erkennt man den Wolf im Schafspelz beziehungsweise im Businesshemd?
Wenn das so einfach wäre, liesse sich das Problem schnell aus der Welt schaffen. Aber viele Innentäter wissen, wie sie sich unauffällig verhalten müssen. Das ist vergleichbar mit Spionen, die oft jahrelang unerkannt agieren. Letztlich geht es darum, ungewöhnliche Aktivitäten zu erkennen. Betritt eine Person andere Bereiche im Unternehmen, ist sie zu anderen Arbeitszeiten aktiv oder es gibt bei ihrem Benutzerkonto auffällige Aktionen.
Wie können Channelpartner ihre Kunden dabei unterstützen und sie vor Insider Threats schützen?
Der Schutz vor Insider Threats basiert auf den gleichen Prinzipien wie derjenige vor externen Angreifergruppen. Dabei spielen Channelpartner eine wichtige Rolle. Zunächst geht es darum, die gespeicherten Informationen im Unternehmen zu klassifizieren und besonders schützenswerte Daten zu definieren. Dann braucht es eine eindeutige Definition von Nutzerrollen und ein entsprechendes Berechtigungsmanagement. Keine Mitarbeiterin und kein Mitarbeiter muss auf alle Informationen zugreifen können – auch nicht die Vorstände oder Geschäftsführer. Auch eine Netzwerksegmentierung kann den unberechtigten Zugriff auf sensible Informationen verhindern.
Die Antworten der weiteren Teilnehmenden des Podiums
- Christopher Cantieni, Infinigate: "Das Wichtigste ist, Awareness zu schaffen."
- Marco Eggerling, Check Point: "Ein 'silver bullet' kann jedoch keine Technologie allein liefern."
- Patrick Michel, Boll Engineering: "Mitarbeitende haben per se einen ‘Pre-Trust’ und Zugriff auf schützenswerte Daten. Dies öffnet dem Missbrauch Tür und Tor."
- Stefan Rothenbühler, Infoguard: "Oft erstreckt sich der Zugriff im Gegensatz zu vielen externen Angriffen über längere Zeit, was die Detektion erschwert."
- Michael Schröder, Eset: "Insider Threats verursachen nicht nur finanzielle Verluste, sondern auch erhebliche Reputations- und Vertrauensschäden."
- Michael Unterschweiger, Trend Micro: "Gegen böswillige Insider helfen vor allem ein Rechtemanagement nach dem Least-Access-Prinzip und DLP."
- Gregor Wegberg, Oneconsult: "Eine vertrauens- und respektvolle Unternehmenskultur ist wichtiger, als viele wahrhaben möchten."