Imperva-Studie verrät Siebenstufen-Plan gegen internen Datenmissbrauch

Viele Unternehmen unterschätzen

Sicherheitsrisiken durch eigene Mitarbeiter 

Beim Vergleich von 1.000 Unternehmen und ihren Sicherheitsstrategien fanden die Sicherheitsexperten heraus: Das Vorgehen der 40 Unternehmen mit den erfolgreichsten Gegenmaßnahmen ähnelt sich in Aufbau und Durchführung. So verbinden diese Firmen technische Aspekte mit unternehmerischen und menschlichen Faktoren. Sie setzen auf leistungsstarke IT-Sicherheit, messen aber auch gut informierten Mitarbeitern und einer durchdachten Verknüpfung der verschiedenen Geschäftsbereiche, Abteilungen und Partnerschaften eine große Bedeutung bei. Im Folgenden stellt Imperva die wichtigsten Punkte erfolgreicher Sicherheitsstrategien gegen internen Datenmissbrauch vor.

Die Analysten von IDC haben in einer Erhebung herausgefunden, dass sich viele Unternehmen der potenziellen Risiken durch interne Nutzer zwar bewusst sind. Jedoch stehen Security-Schwachstellen wie sorgloses Zugriffsverhalten oder regelwidriger Umgang mit sensiblen Daten oftmals im Hintergrund, da sie von äußeren Bedrohungen überschattet werden. Dietmar Kenzle, Regional Sales Director DACH and Eastern Europe bei Imperva, erläutert: „Wir haben in unserem Unternehmensvergleich herausgefunden, dass Sicherheitsbedrohungen nicht nur die IT sondern alle Mitarbeiter gleichermaßen angehen. Firmen müssen starke Sicherheitspartnerschaften etablieren, klare Vorgehensweisen definieren und Mitarbeiter sensibilisieren, Zugriffsrechte kontrollieren und Technologie implementieren. Erst durch dieses Zusammenspiel lassen sich geschäftskritische Daten verlässlich absichern.“ Interner Datenmissbrauch könne sowohl vorsätzlich als auch versehentlich geschehen. Oft werden Mitarbeiter aber auch zu Opfern anderer – Beispiel Malware.

1. Sicherheitspartnerschaften aufbauen und etablieren

Unternehmensmitarbeitern außerhalb der IT fällt es manchmal schwer, den tatsächlichen Wert der Information Security (InfoSec) für ihr tagtägliches Arbeiten zu erkennen. Viele Sicherheitsexperten wiederum versäumen es, ihren Nicht-IT-Kollegen verständlich darzustellen, wie sehr ihre Bemühungen wertvolle Daten oder gar den Ruf des Unternehmens schützen. Deshalb ist eine engere Zusammenarbeit zwischen den Geschäftseinheiten oder Abteilungen ratsam, die ihre sensiblen Informationen absichern möchten. Beispiele sind der HR- oder der Finanzbereich. Um die Aufmerksamkeit außen stehender Kollegen zu gewinnen, bietet es sich an, möglichst persönliche und konkrete Beispiele von Datenmissbrauch für das jeweilige Team zu benennen. Auch Anekdoten oder Szenarien sind sinnvoll, da sie länger im Gedächtnis bleiben als trockene Rechtsgrundlagen oder Zahlenreihen. Ein Beispiel: Bei einem Hersteller medizinischer Geräte erklärte das InfoSec-Team, dass ein Datenleck die Produktion lahm legen könne. 

2. Unternehmensweites Sicherheitsnetz spannen

Wichtig sind zudem Compliance-Vorschriften sowie die Etablierung eines Datensicherheitsteams, das alle Unternehmensbereiche abdeckt. Information Security lässt sich hierbei sowohl zentralisiert als auch dezentralisiert umsetzen. Essentiell ist zudem die enge Zusammenarbeit von IT mit HR- und Rechtsabteilung. Schon bei der Einstellung neuer Mitarbeiter sollte der Sicherheitsaspekt eine besondere Rolle spielen. Denkbar sind psychologische Tests und Fragen zum Umgang mit sensiblen Daten beim zuvorigen Arbeitgeber. Mitarbeiter sollten außerdem aufgeklärt werden, dass Datenmissbrauch disziplinarische Konsequenzen hat. Verlässt ein Mitarbeiter das Unternehmen, lassen sich Zugriffsrechte zudem schnell und automatisch beenden. Erfolgreiche Abwehrmaßnahmen gegen interne Datenbedrohungen setzen darüber hinaus eine enge Zusammenarbeit mit der Rechtsabteilung voraus. Richtlinien und rechtliche Voraussetzungen müssen an die Mitarbeiter kommuniziert, ihr Verhalten kontrolliert und Drittpartei-Verträge überprüft werden. 

3. Sicherheitsbewusstsein der Mitarbeiter stärken

Von großer Bedeutung für verlässlich abgesicherte sensible Daten ist auch eine stete Sensibilisierung sowie Information der Angestellten. Diese Trainings sollten möglichst untechnisch, aber konkret und anschaulich sein. Workshops zweimal im Jahr sind organisatorisch zumeist schwierig und teurer. Viele der von Imperva befragten Unternehmen setzen daher auch auf E-Mails, Newsletter oder Flyer mit Sicherheitstipps im Umschlag mit der Gehaltsabrechnung. Weitere Möglichkeiten sind Online-Trainings und -Tests. Das InfoSec-Team sollte zudem immer über die neusten Entwicklungen und Trends informiert sein. Datensicherheit lässt sich so zum festen Bestandteil des persönlichen Sicherheitsbewusstseins antrainieren.

4. Sicherheitsstrategien klar strukturieren

Die Unternehmen, die sich erfolgreich gegen Datenmissbrauch aus den eigenen Reihen zur Wehr setzen, wissen, wo ihre Prioritäten liegen. Sie analysieren potenzielle Bedrohungen, verfügen aber auch über innovative Methoden, ihre Anforderungen zu strukturieren. Zunächst geht es darum, Risiken und besonders schützenswerte Unternehmensinformationen zu identifizieren. Hinzukommt eine genaue Evaluierung aller Personen, die Zugriff auf Interna haben. Dies sind neben den festangestellten Mitarbeitern, mobile Angestellte oder Partner. Risiken, vertrauliche Daten und Personenkreis sollten im Anschluss miteinander in Beziehung gesetzt werden. So kann das InfoSec-Team überprüfen, dass sich Zugriffsrechte passgenau vergeben lassen. Wichtig ist zudem eine Klassifizierung sensibler Informationen. Auch die Analyse und das Monitoring tatsächlicher Datenzugriffe sollte nicht außer Acht gelassen werden.

5. Konsequenzen beachten, Prozesse automatisieren

Sicherheitsbewusste Unternehmen definieren ihre Ziele klar verständlich und strukturieren die Gegenmaßnahmen je nach Dringlichkeit. Hierbei stehen die wichtigsten Prioritäten im Vordergrund. Eine zu lange und unstrukturierte Liste an potenziellen Bedrohungen könnte die Handlungsfreiheit signifikant einschränken. Zu viele Maßnahmen auf einmal schrauben die Erwartungen und Arbeitslast zu hoch und verwirren die verschiedenen Abteilungen. Stattdessen ist es besser – vor allem zu Beginn – zu priorisieren und erste kleine Erfolge einzufahren. Viele Unternehmen automatisieren zudem Prozesse wie Online-Trainings, Systeminventur, Betrugsprävention, Provisionierung sowie On- und Offboarding von Mitarbeitern. 

6. Zugriffsrechte kontrollieren

Zugriffskontrolle ist ein weiteres Muss jeder internen Datensicherheitsstrategie. Hierzu gehört ein Ausschluss von Administratoren oder Super-Usern. Sie sind oftmals die ersten, die die Datensicherheit gefährden, indem sie auf Informationen zugreifen, die sie nichts angehen. Besonders interessant sind Daten über Kollegen, beispielsweise Gehälter. Vertrauliche Transaktionen sollten daher durch zusätzliche Genehmigungen abgesichert werden. Privilegierte Anwender sollten außerdem separate Richtlinien erhalten und gesondert überprüft werden. Darüber hinaus ist es ratsam, das InfoSec-Team über geschäftliche Änderungen, Personalwechsel oder sensible Transaktionen zeitnah zu informieren. Sicherheitsexperten, die nicht über tagtägliche Geschäftsereignisse Bescheid wissen, übertragen Firmenlenkern die Verantwortung, Zugriffsrechte zu verifizieren und zu überprüfen. Sinnvoll ist zudem die Analyse ungewöhnlichen oder abweichenden Verhaltens. Läuft etwas nicht wie gewohnt, ist dies oftmals ein erstes Anzeichen für anstehende Probleme. Bei mobilen Geräten ist Fernzugriff und -löschung empfehlenswert. 

7. Leistungsstarke Technologie implementieren

Alle zuvor genannten Strategien sind die Grundlage eines ausgefeilten Sicherheitskonzeptes, das dem Datenmissbrauch durch Insider entgegen wirkt. Nichtsdestotrotz sind professionelle Security-Lösungen essentiell, um Bedrohungen einzudämmen oder abzuwenden. Das technische Lösungspaket sollte jährlich überprüft und gegebenenfalls an neue Herausforderungen angepasst werden. Jedes Unternehmen setzt dabei auf die Technologie, die am besten zu den individuellen Anforderungen und Strategien passt.

Den vollständigen Report „An Inside Track on Insider Threats“ finden Sie hier:

http://www.imperva.com/docs/WP_An_Inside_Track_on_Insider_Threats.pdf