Podium Insider Threats

Unternehmen unterschätzen die Gefahr aus den eigenen Reihen

Uhr
von Coen Kaat

Wer sich vor Cyberbedrohungen schützen will, blickt in der Regel über seine Festungsmauern nach draussen. Aber nicht alle ­Gefahren ­drohen von ausserhalb – manche lauern im eigenen Netzwerk. Wie man mit diesen umgeht, sagt Gregor ­Wegberg, Head of Digital Forensics & Incident Response bei Oneconsult.

Gregor ­Wegberg, Head of Digital Forensics & Incident Response bei Oneconsult. (Source: zVg)
Gregor ­Wegberg, Head of Digital Forensics & Incident Response bei Oneconsult. (Source: zVg)

Was macht Insider Threats zu einer so grossen Bedrohung?

Gregor Wegberg: Es ist unsere Menschlichkeit. Wir Menschen sind von Natur aus freundlich, hilfsbereit und vertrauensselig – bis wir eines Besseren belehrt werden. Erst recht, wenn es sich um eine Kollegin oder einen Kollegen aus unserem Arbeitsumfeld handelt. Wir können uns kaum vorstellen, dass unser Gegenüber etwas Böses plant oder tun wird. So unterschätzen wir das Risiko, handeln unzureichend und in den meisten Fällen viel zu spät. Sei es, dass wir die Benutzerkonten eines Mitarbeiters nicht sperren, wenn er entlassen wird, oder dass wir den Austausch von sensiblen Dokumenten innerhalb des Unternehmens unzureichend einschränken und überwachen.

Wie gross ist das Risiko für Schweizer Unternehmen?

Niemand weiss es genau. Im Moment liegt der Fokus klar auf Ransomware-Angriffen und damit auf Angriffen aus dem Internet. Diese sind laut, sichtbar und täglich in den Medien präsent. Nur eine Handvoll Unternehmen setzt sich ernsthaft mit dem Risiko von Insiderbedrohungen auseinander. Gleichzeitig sind diese noch weniger bereit, über solche Vorfälle zu sprechen, als es Unternehmen im Zusammenhang mit erlittenen Ransomware-Vorfällen sind. Und auf Basis meiner täglichen Arbeit glaube ich auch, dass diese Priorisierung derzeit die richtige ist.

Wie unterscheidet man beabsichtigte von unbeabsichtigten ­Vorfällen? Packt man beide Fälle gleich an?

Man sollte immer möglichst unvoreingenommen an ein Ereignis herangehen. Sonst ist die Wahrscheinlichkeit gross, dass man nur Indizien sammelt, die die eigene Meinung bestätigen. Gerade deshalb sind Aus­senstehende bei solchen Vorfällen besonders wichtig. Erst nach der Spurensicherung und -auswertung lässt sich eine seriöse Bewertung hinsichtlich Fahrlässigkeit und Vorsatz vornehmen. Eine Unterscheidung findet daher in aller Regel erst im Nachhinein statt.

Wie erkennt man den Wolf im Schafspelz beziehungsweise im ­Businesshemd?

Dies hängt ganz von der Organisation, den zu schützenden Informationen und dem zugrunde liegenden Bedrohungsmodell ab. Für die meisten Unternehmen ist besondere Vorsicht bei unzufriedenen und ausscheidenden Mitarbeitenden geboten. Eine vertrauens- und respektvolle Unternehmenskultur ist wichtiger, als viele wahrhaben möchten. Unternehmen sollten sich bewusst sein, dass der Schutz vor Insiderbedrohungen ressourcenintensiv ist und eine Vielzahl unterschiedlicher Massnahmen erfordert. Fachexpertise bei der Planung und Umsetzung ist bei dieser Art der Bedrohung sehr zu empfehlen.

Wie können Dienstleister ihre Kunden dabei unterstützen und sie vor Insider Threats schützen?

Vor allem müssen die Kunden über die Grenzen des Angebots informiert werden. Ein Werkzeug allein wird das Risiko nie adäquat adressieren. Im Bereich der Informationssicherheit müssen Werkzeuge immer mit Menschen kombiniert werden, um ihre positive Wirkung entfalten zu können.

Die Antworten der weiteren Teilnehmenden des Podiums

Webcode
VoL5NsL7