Unternehmen unterschätzen die Gefahr aus den eigenen Reihen
Wer sich vor Cyberbedrohungen schützen will, blickt in der Regel über seine Festungsmauern nach draussen. Aber nicht alle Gefahren drohen von ausserhalb – manche lauern im eigenen Netzwerk. Wie man mit diesen umgeht, sagt Gregor Wegberg, Head of Digital Forensics & Incident Response bei Oneconsult.
Was macht Insider Threats zu einer so grossen Bedrohung?
Gregor Wegberg: Es ist unsere Menschlichkeit. Wir Menschen sind von Natur aus freundlich, hilfsbereit und vertrauensselig – bis wir eines Besseren belehrt werden. Erst recht, wenn es sich um eine Kollegin oder einen Kollegen aus unserem Arbeitsumfeld handelt. Wir können uns kaum vorstellen, dass unser Gegenüber etwas Böses plant oder tun wird. So unterschätzen wir das Risiko, handeln unzureichend und in den meisten Fällen viel zu spät. Sei es, dass wir die Benutzerkonten eines Mitarbeiters nicht sperren, wenn er entlassen wird, oder dass wir den Austausch von sensiblen Dokumenten innerhalb des Unternehmens unzureichend einschränken und überwachen.
Wie gross ist das Risiko für Schweizer Unternehmen?
Niemand weiss es genau. Im Moment liegt der Fokus klar auf Ransomware-Angriffen und damit auf Angriffen aus dem Internet. Diese sind laut, sichtbar und täglich in den Medien präsent. Nur eine Handvoll Unternehmen setzt sich ernsthaft mit dem Risiko von Insiderbedrohungen auseinander. Gleichzeitig sind diese noch weniger bereit, über solche Vorfälle zu sprechen, als es Unternehmen im Zusammenhang mit erlittenen Ransomware-Vorfällen sind. Und auf Basis meiner täglichen Arbeit glaube ich auch, dass diese Priorisierung derzeit die richtige ist.
Wie unterscheidet man beabsichtigte von unbeabsichtigten Vorfällen? Packt man beide Fälle gleich an?
Man sollte immer möglichst unvoreingenommen an ein Ereignis herangehen. Sonst ist die Wahrscheinlichkeit gross, dass man nur Indizien sammelt, die die eigene Meinung bestätigen. Gerade deshalb sind Aussenstehende bei solchen Vorfällen besonders wichtig. Erst nach der Spurensicherung und -auswertung lässt sich eine seriöse Bewertung hinsichtlich Fahrlässigkeit und Vorsatz vornehmen. Eine Unterscheidung findet daher in aller Regel erst im Nachhinein statt.
Wie erkennt man den Wolf im Schafspelz beziehungsweise im Businesshemd?
Dies hängt ganz von der Organisation, den zu schützenden Informationen und dem zugrunde liegenden Bedrohungsmodell ab. Für die meisten Unternehmen ist besondere Vorsicht bei unzufriedenen und ausscheidenden Mitarbeitenden geboten. Eine vertrauens- und respektvolle Unternehmenskultur ist wichtiger, als viele wahrhaben möchten. Unternehmen sollten sich bewusst sein, dass der Schutz vor Insiderbedrohungen ressourcenintensiv ist und eine Vielzahl unterschiedlicher Massnahmen erfordert. Fachexpertise bei der Planung und Umsetzung ist bei dieser Art der Bedrohung sehr zu empfehlen.
Wie können Dienstleister ihre Kunden dabei unterstützen und sie vor Insider Threats schützen?
Vor allem müssen die Kunden über die Grenzen des Angebots informiert werden. Ein Werkzeug allein wird das Risiko nie adäquat adressieren. Im Bereich der Informationssicherheit müssen Werkzeuge immer mit Menschen kombiniert werden, um ihre positive Wirkung entfalten zu können.
Die Antworten der weiteren Teilnehmenden des Podiums
- Christopher Cantieni, Infinigate: "Das Wichtigste ist, Awareness zu schaffen."
- Marco Eggerling, Check Point: "Ein 'silver bullet' kann jedoch keine Technologie allein liefern."
- Patrick Michel, Boll Engineering: "Mitarbeitende haben per se einen ‘Pre-Trust’ und Zugriff auf schützenswerte Daten. Dies öffnet dem Missbrauch Tür und Tor."
- Cornelia Lehle, G Data: "Jährlich wird wohl jedes zehnte Unternehmen von eigenen Mitarbeitenden betrogen - absichtlich oder unabsichtlich."
- Stefan Rothenbühler, Infoguard: "Oft erstreckt sich der Zugriff im Gegensatz zu vielen externen Angriffen über längere Zeit, was die Detektion erschwert."
- Michael Schröder, Eset: "Insider Threats verursachen nicht nur finanzielle Verluste, sondern auch erhebliche Reputations- und Vertrauensschäden."
- Michael Unterschweiger, Trend Micro: "Gegen böswillige Insider helfen vor allem ein Rechtemanagement nach dem Least-Access-Prinzip und DLP."