„Stellen Insider Threats das größte Sicherheitsrisiko für Unternehmen dar?“

bei

 / 19. June. 2019

Bei der Diskussion rund um das Thema IT-Sicherheit geht es oftmals um Fälle, in denen Unternehmen oder andere Organisationen Opfer eines gezielten Angriffs von außen werden und wie hier Datenverluste vermieden werden können. Bei aller Fokussierung auf Attacken von außen, tritt die Gefahr, welche die eigenen Mitarbeiter für den jeweiligen Betrieb spielen, häufig in den Hintergrund. Dabei sind sowohl aktuelle als auch ehemalige Beschäftigte gemeint. Selbstverständlich muss in diesem Zusammenhang betont werden, dass nicht alle Innentäter böswillig handeln – in einigen Fällen begehen Angestellte aus Unwissenheit Fehler, die den Datenschutz betreffen und zu Kompromittierungen führen können. Zum Ende letzten Jahres erschien die Studie „Insider Threat 2018 Report“ des Marktforschungsunternehmens Crowd Research Partners, die gemeinsam von der Online-Plattform Cybersecurity Insiders und der Information Security Community auf LinkedIn mit Unterstützung von Quest Software in Auftrag gegeben wurde. Laut der Studie fühlen sich 90% der befragten Unternehmen anfällig gegenüber dem Risiko, das von Innentätern ausgeht. Es gibt einige Aspekte innerhalb des Betriebs, der die Wahrscheinlichkeit, Opfer eines solchen zu werden, stark erhöht. Zu diesen Aspekten gehört der Umstand, dass zu viele Nutzer über umfangreiche Zugriffsrechte verfügen (37%). Auch die Tatsache, dass es eine große Menge an Geräten gibt, die den Zugriff auf sensible Daten erlauben, stellt einen Risikofaktor dar (36%). Zuletzt nennt die Studie noch die steigende Komplexität der Informationstechnologie als Faktor (35%). Die gute Nachricht ist in diesem Zusammenhang, dass sich zahlreiche Firmen der großen Gefahr, die von Insider Threats ausgeht, durchaus bewusst sind. So halten zwei Drittel der Organisationen geplante Angriffe von innen oder auch versehentliche Datenschutzverletzungen für wahrscheinlicher als Attacken von außen.

Auch die Tatsache, dass in den Medien immer wieder über Fälle von Datenklau und Angriffen durch eigene Mitarbeiter berichtet wird, trägt dazu bei, die Bedrohungslage zu erkennen. Wie Anfang dieses Jahres erst bekannt wurde, gelang es vor einigen Jahren einem AXA-Mitarbeiter im britischen Manchester, tausende Pfund nebenher zu verdienen, indem er Kundendaten entwendete und weiterverkaufte. Wie polizeiliche Ermittlungen ergaben, konnte der Versicherungsmitarbeiter wöchentlich etwa 100 Datenzeilen per Whatsapp an seinen Komplizen weitergeben – einen ehemaligen Mitarbeiter des Unternehmens. Der externe Partner überwies dem Innentäter schließlich in regelmäßigen Abständen Summen zwischen 250 und 650 Pfund. Er selbst erhielt mehrere Tausend Pfund von einer Schadenmanagementgesellschaft im Gegenzug für die Daten. Insgesamt sechs Monate lang konnten die Täter dieses Vorgehen aufrechterhalten. Der Fall zeigt, wie Kriminelle mit einfachen Mitteln Daten aus dem Betrieb abführen und zu Geld machen können. In diesem speziellen Falle dürfte der Imageschaden und Vertrauensverlust besonders verheerend für den Versicherungsdienstleister sein.

Es sei darauf hingewiesen, dass im Zeitalter der EU-DSGVO der böswillige Mitarbeiter möglicherweise nicht für einen finanziellen Gewinn handelt, sondern durch das Durchsickern von Informationen versucht, dem Ruf des Unternehmens zu schaden und sicherzustellen, dass es eine beträchtliche Geldstrafe erhält. Dieses „hacktivistische“ Verhalten kann weitaus größere Auswirkungen auf das Unternehmen haben als ein üblicher Ansatz, der zu finanziellen Gewinnen führt.

Die Frage ist also, wie Arbeitgeber sich vor solch einem Fall schützen und das Risiko eines unbefugten Datendiebstahls minimieren können. Die Antwort auf diese Frage beinhaltet zwei verschiedene Dimensionen – die technische und die organisatorische. Eine der bewährtesten Methoden auf technischer Ebene ist die Implementierung einer Lösung aus dem Bereich Data Loss Prevention (DLP). Damit diese effektiv ist, müssen alle Ausgangspunkte abgedeckt sein – E-Mail, Web und Endpunkt.

Durch die Suche nach sensiblen Informationen und die Blockierung der Übertragung dieser oder dem Redigieren wird das Risiko für Datenabfluss gemindert. Es bedeutet auch, dass unbeabsichtigte Fehler durch Angestellte – welche eine der größten Quellen für Informationsverlust darstellt – ebenfalls gemildert werden können.

Weiterhin gibt es auf organisatorischer Ebene eine Reihe von Verhaltensmaßnahmen, die im einzelnen Fall sinnvoll sein können. Ein Punkt ist hier, im Blick zu behalten, ob Mitarbeiter ungewöhnliche Dinge tun. Während dies in der Theorie einfach klingt, verhält es sich in der Praxis deutlich schwieriger. Im Wesentlichen geht es um „seltsame“ Aktivitäten und Datenzugriff, beziehungsweise -übertragung. Nehmen wir jedoch das einfache Beispiel von einem Angestellten im Bereich Accounting, der eine andere Person vertritt, die im Urlaub oder krank ist. Ihre Zugriffsrechte werden für ihren regulären Aufgabenbereich anders sein, da sie eine andere Rolle einnehmen – dies schafft ein „False Positive“ und eine Häufung dieser kann das System letztendlich unpraktisch und unzuverlässig machen.

Schließlich sei in diesem Zusammenhang außerdem noch die Personalabteilung erwähnt, die stets „am Puls der Mitarbeiter“ bleiben sollte, insbesondere derjenigen, die ihre Kündigung eingereicht haben oder Angestellte, welche die Personalabteilung bereits wegen verschiedenen Themen aufgesucht haben. Auf diese Weise können die jeweiligen Manager auf mögliche Probleme aufmerksam gemacht werden und es bietet sich Ihnen die Möglichkeit, im stetigen Kontakt mit dem Arbeitnehmer zu bleiben – in diesem Falle wissen die Vorgesetzten, auf welche Warnzeichen sie achten sollten. Im begründeten Verdachtsfall ist es von Vorteil, dass die Personalabteilung in der Regel auch Zugriff auf Dinge wie etwa Telefonprotokolle hat, sodass sie Berichte über ungewöhnliche Aktivitäten zu diesen Themen erstellen kann. Ein Beispiel wäre, dass ein Beschäftigter in einem Monat 100% mehr Anrufe tätigt, oder wenn ein vermeintlicher „Lieferant“ besonders viele Anrufe erhält, etc.

Die erste Option, die Anschaffung einer DLP-Lösung ist in der Regel die kostengünstigste, da Einzelpersonen, die zum Innentäter werden, normalerweise mehrere Versuche unternehmen, bis ihr Plan, Daten aus dem Betrieb abzuführen, gelingt. Oftmals versuchen sie, E-Mails an ihre privaten Accounts zu senden – wenn dies nicht funktioniert, versuchen sie, sich in ihren Privat-Account einzuloggen oder Daten auf einen USB-Stick zu kopieren. Jedes dieser Ereignisse sollte einen Alarm an die IT (oder HR, beziehungsweise Audit und Compliance) auslösen – als Signal, dass ein solcher Vorgang einer weiteren Untersuchung bedarf.

Insgesamt lässt sich festhalten, dass es bei effektiver Sicherheit immer um Menschen, Prozesse und Technologien gehen muss. Mitarbeiter müssen ihre Verantwortlichkeiten (und Konsequenzen) verstehen, insbesondere im Umgang mit kritischen Informationen. Dies sollte sich auch darauf erstrecken, welche technischen Lösungen es gibt, die ihnen helfen, ihre Arbeit zu erledigen und die Informationen sicher zu halten. Alleine darüber zu sprechen, wird in vielen Fällen dazu führen, dass diejenigen, die erwägen, Unternehmensdaten für persönliche Zwecke zu nutzen, davon abgehalten werden. Schließlich wissen diese nun, dass die Organisation ein Auge auf ihre Aktivitäten hat – nicht wegen kriminellen Aktivitäten, sondern vorwiegend wegen unbeabsichtigten Fehlern. Doch dies wird auch unerlaubte Pläne zur Datenkompromittierung eindämmen.

Wichtig ist hier, dass das Unternehmen in jedem Falle „offen“ sein muss, denn ein ehrlicher Fehler ist genau dies, ein Fehler. Falsch wäre es hier, direkt zum Schluss zu gelangen, dass etwas Böswilliges geplant wurde. Es müssen Prozesse sowie Richtlinien für den Umgang mit kritischen Informationen und Maßnahmen im Falle einer Verletzung vorhanden sein. Technologie ist die letzte Verteidigungslinie – und sollte Richtlinien und Prozesse durchsetzen und letztlich das Unternehmen, seine Mitarbeiter und Kunden sicher halten.

Das Thema Insider Threats stellt eine ernstzunehmende Gefahr für die Cybersicherheit von Organisationen jeglicher Größe und Branche dar. Dem Betrieb böswillig gestimmte Mitarbeiter haben legitimen Zugriff auf kritische Informationen und wissen, wo sie sich befinden. Sie nutzen die Daten schließlich täglich zur Erfüllung ihrer Aufgaben. Während ein Hacker in das Unternehmen eindringen und die Anwendungen oder den Speicherort finden, in die Anwendung eindringen und schließlich die Daten kopieren und aus dem Unternehmen herausholen muss, hat der Mitarbeiter alle diese Informationen bereits. Theoretisch könnte dies also verheerender sein als andere Mittel des Datendiebstahls – allerdings gilt es hier zu beachten, dass die Menschen im Wesentlichen nur das Beste möchten – in der Regel auch für seine Arbeitgeber. Die allermeisten Angestellten sind nicht bösartig gestimmt und haben keine schlechten Absichten, sie erhalten ein Gehalt, um einen Job zu erledigen – und dies ist es auch, was sie tun. Unternehmen dürfen nicht plötzlich davon ausgehen, dass jeder Arbeitnehmer darauf aus ist, geistiges Eigentum des Unternehmens (einschließlich Kundendaten) zu entwenden und zu verkaufen, aber sie dürfen gleichzeitig auch nicht nachsichtig mit der Idee sein. Es ist ein schmaler Grat zwischen beiden – und einer, der durch eine verbesserte Kommunikation über Risiken und Konsequenzen, die Investition in neue Richtlinien und Prozesse und die Verwendung geeigneter Technologien angegangen werden muss.

Dr. Guy Bunker ist Chief Technology Officer bei Clearswift. Dort ist er verantwortlich für die Produktstrategie, Technologiepartnerschaften, M&A und Marketing. Dr. Bunker ist international anerkannter IT-Experte mit über 20 Jahren Erfahrung in der IT-Sicherheit.