Der Mensch im Mittelpunkt – wie etabliert man ein Insider-Threat-System?

bei

 / 27. November. 2017

Wie schütz man die Zero-Perimeter-World, eine digitale Welt ohne klare Grenzen? Die Unternehmen sehen sich mit der Aufgabe konfrontiert, ein stetig im Wandel befindliches, hybrides Konstrukt aus öffentlichen, privaten und Unternehmensnetzwerken zu schützen, auf das rund um die Uhr unkontrolliert zugegriffen wird. Verschiedene Cloud-Applikationen, Private-Cloud- und Storage-Lösungen oder auch andere Services, die oft nicht vom Unternehmen gemanagt werden, machen heutige IT-Landschaften überkomplex. Die Strategie über reinen Infrastrukturschutz für Cybersicherheit zu sorgen, hat dadurch ausgedient.

Neue Bedrohungen

Insider Threats oder auch die Gefahren von innen rücken mehr und mehr ins Bewusstsein der Sicherheitsverantwortlichen. Warum sind diese Bedrohungen so gefährlich?
Erstens, wer erst einmal im Unternehmensnetzwerk ist, kann dort beinahe ungestört agieren, ohne dass er große Gefahr läuft, entdeckt zu werden. Zweitens, ein Großteil dieser Bedrohungen kommt ohne Schadcode aus und wird deswegen von gängigen Tools nicht entdeckt. Eine Welt ohne klare Netzwerk-Perimeter verlangt einen ganzheitlichen Sicherheitsansatz. Den Umgang mit und die Bewegungen von Daten im Unternehmen zu verstehen, ist der Schlüssel zu einem solchen. Welche Daten sind schützenswert und welche Compliance-Vergehen gilt es zu verhindern? Das sind die Fragen, die sich Unternehmen zu allererst stellen müssen. Dazu ist es auch allerhöchste Zeit, denn im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) werden Unternehmen Fragen beantworten müssen, zum Umgang mit sensiblen Daten. Ohne Transparenz über vorhandene Datenströme ist das nicht zu schaffen.

Was schützen?

Welche Daten müssen geschützt werden, wo befinden sich diese und wer greift auf diese wann und wie zu? Neben der örtlichen Zuordnung der Daten, also ob diese sich im Unternehmensnetzwerk, in Rechenzentren, bei Dienstleistern oder in Cloud-Anwendungen befinden, gilt es auch festzustellen, in welchem Zustand die Daten sind. Also Data at Rest (gespeichert), Data in Use (von Mitarbeitern benutzt) oder Data in Motion (in den oben beschriebenen Netzwerken unterwegs). Moderne Data-Leakage-Prevention-Lösungen (DLP) können hier aufwändige Datenklassifizierungen weitgehend ersetzen und die sensiblen Daten automatisiert identifizieren sowie erfassen.

Transparenz schaffen

Ein Monitoring-Tool mit User Behavior Baselining lernt automatisiert das Normalverhalten im Umgang mit schützenswerten Daten und kann in Abgleich mit vorher erstellten Compliance-Regeln entscheiden, welche riskanten Aktionen überprüft werden müssen. Administratoren bekommen wesentlich weniger falsche Benachrichtigungen, denen sie nachgehen müssen und können sich auf wirklich relevante Vorfälle konzentrieren. Über ein Dashboard sieht der Sicherheitsverantwortliche einen Risk-Score, der anzeigt, wo es im Netzwerk riskantes Verhalten im Umgang mit sensiblen Daten gibt. Um den Datenschutz zu gewährleisten, funktioniert ein User Behavior Monitoring (UBM) etwa wie ein Flugschreiber. Informationen zum Nutzerverhalten werden pseudonymisiert erfasst. Diese Daten sind mehrstufig verschlüsselt, sie können nur dekodiert und einem Mitarbeiter zugeordnet werden, wenn ein konkreter Verdacht vorliegt. Ein autorisiertes Gremium aus IT-Leiter, Geschäftsführung und Betriebsrat muss dazu eine Freigabe erteilen.

Analysieren und gegensteuern

User and Entity Behavior Analytics (UEBA) analysieren „out of the box“ das riskante Verhalten und setzt dieses in Zusammenhang mit Informationen aus dem gesamten Netzwerk. So entsteht ein umfassendes Bild, das auch Aufschluss über eine Zielsetzung oder Motive geben kann. Moderne Lösungen kombinieren UEBA mit DLP und stellen dadurch sicher, dass keine sensiblen Daten das Unternehmen verlassen. Mit dieser Kombination lässt sich das forensische Potenzial eines Insider-Threat-Systems voll ausschöpfen und Vorfälle vom ersten bis zum letzten Moment verfolgen. Die forensischen Erkenntnisse sind außerdem auch vor Gericht ein gültiges Beweismaterial. Ein durchgängiges Insider-Threat-Programm mit den genannten Komponenten gewährleistet umfassenden Schutz vor Infiltration, vor unbeabsichtigtem Fehlverhalten von Mitarbeitern sowie vor Datendiebstahl. Nur so lassen sich Mitarbeiter und Daten in der Zero-Perimeter-World effektiv schützen.

Der Autor: Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint Deutschland.

Vorheriger ArtikelCyber Security versus Informationssicherheit versus Netzwerksicherheit
Nächster ArtikelChancen und Herausforderungen der Blockchain