Thought Leadership
Cyberangriffe wie z.B. Ransomware, Locky, WannaCry oder Petya steigern das Bedürfnis nach Schutz vor illegalen Zugriffen. Die am schnellsten wachsende Bedrohung geht allerdings von fehlerhaftem oder riskantem Umgang mit Daten aus. Was man im Ernstfall tun kann, darüber sprach Ulrich Parthier, Herausgeber it security, mit Albert Schöppl, Enterprise Sales Manager CEUR bei Forcepoint.
Die aktuellen Fälle von Cyberkriminalität wie die Angriffe mit Ransomware, Locky, WannaCry oder Petya zeigen, dass mit der Auslagerung von kritischen Informationen in die Cloud, das Bedürfnis nach Schutz vor illegalen Zugriffen steigt. Gleichermaßen bringt auch die Notwendigkeit von mobilen Arbeitsprozessen Herausforderungen an die IT-Sicherheit mit sich. Die am schnellsten wachsende Bedrohung geht allerdings von fehlerhaftem oder riskantem Umgang mit Daten aus.
Wir nehmen eine gesteigerte Taktung an Cyberangriffen und Datenverlusten weltweit wahr. Trotz Bemühungen scheint eher mehr als weniger zu passieren?
Albert Schöppl: Aus der Verschmelzung der digitalen und analogen Welt geht eine neue Welt hervor. Der Prozess der digitalen Transformation bringt insbesondere für die Cybersecurity große Herausforderungen mit sich. Unternehmen agieren global, managen ihre Daten in der Cloud und Mitarbeiter greifen jederzeit von verschiedenen Devices und von unterschiedlichen Orte auf diese Daten zu. Ein althergebrachter Sicherheitsansatz, der sich mit dem Schutz von Infrastruktur beschäftigt, greift da zu kurz. Neben den allgegenwärtigen Bedrohungen durch Hacker- Attacken, sehen wir eine ebenso große Bedrohung durch den Umgang mit sensiblen Daten in Unternehmen.
Heißt das, der eigentliche Feind ist der Mitarbeiter?
Albert Schöppl: Ganz im Gegenteil, der Mitarbeiter muss in einer digitalen Welt mit verschiedensten Tools und Lösungen umgehen und läuft dadurch Gefahr, zum Schlupfloch für Cyberattacken gemacht oder zu kriminellen Zwecken missbraucht zu werden. Unternehmen sind es ihren Mitarbeitern schuldig, hier aufzuklären, die nötige Infrastruktur zu schaffen und aktiv zu schützen.
Wie lässt sich diesem Umstand Rechnung tragen?
Albert Schöppl: Ein Perspektivwechsel ist dringend notwendig. Wir sehen seit Jahren, dass der Schutz von Infrastruktur nicht ausreicht, um Mitarbeiter und geistiges Eigentum vor Cyberkriminalität zu schützen. Im Zentrum unserer Sicherheitsstrategie steht deswegen der Schutz des Mitarbeiters. Ausschlaggebend für die Informationssicherheit ist das Verständnis, wie Menschen mit sensiblen Daten umgehen. Während Unternehmen und Security-Anbieter weltweit Unsummen in den Schutz vor Cyber-Attacken investieren, geht die Branche sehenden Auges einer wachsenden Gefahr entgegen: Der Bedrohung von innen.
Aufgrund aktueller Beispiele ist die mediale Präsenz von Ransomware berechtigt hoch. Die Gefahren von innen, sogenannte Insider Threats, werden aber zu wenig thematisiert: Zum einen, weil Unternehmen Reputationsverlust fürchten und zum anderen, weil oft die nötigen Tools zur Abwehr und zur Aufklärung solcher Vorfälle fehlen. Zusätzlich besteht Unsicherheit darüber, wie der Spagat zwischen Datenschutz und Informationsschutz gewährleistet werden kann. Das kürzliche Urteil des Bundesarbeitsgerichts zur Keylogger-Thematik zeigt, dass mit dem Thema Mitarbeiter-Monitoring nicht transparent genug umgegangen wird.
Wie lässt sich hier ein System implementieren, das sowohl den Rechten der Mitarbeiter als auch dem Schutz von Geistigem Eigentum der Unternehmen gerecht wird?
Albert Schöppl: Grundlegend geht es nicht darum, flächendeckend Mitarbeiter auszuspähen, sondern um den Schutz von privilegierten Usern. Mitarbeiter mit besonderen Berechtigungen und Zugriffsrechten, wie zum Beispiel Systemadministratoren, werden besonders häufig für kriminelle Zwecke instrumentalisiert. Sicherheitskritische Vorfälle und Schäden werden auch oft durch versehentliches Fehlverhalten oder durch Unwissenheit von Mitarbeitern provoziert. Ob nun ein Chefarzt Patientendaten über ein ungesichertes Device einsieht oder ein Sales-Consultant Daten in einer privaten Cloud speichert, um von zuhause aus noch etwas zu erledigen, so entstehen die Sicherheitslücken, die es zu schließen gilt. Dazu ist aber zuallererst das Bewusstsein für die Gefahren von innen nötig.
Angriffe auf das Unternehmensnetzwerk von außen treffen normalerweise auf eine Reihe von Abwehrmaßnahmen, beispielsweise sogenannte Intrusion Detection (IDS) und Intrusion Prevention Systeme (IPS). Gegen die Gefahr von innen, sogenannte Insider Threats, sind Unternehmen und Behörden oft noch nicht mit den nötigen Abwehrmöglichkeiten ausgestattet.
Wie definieren Sie Insider Threats?
Albert Schöppl: Wir unterscheiden zwischen den folgenden Typen von Insider Threats: Absichtlicher Datendiebstahl, also die Veruntreuung von Daten durch Mitarbeiter mit einem kriminellen Motiv; kompromittierte User, das heißt, Angriffe über die Zugangsdaten oder Rechner von Mitarbeitern; oder unwissentliche bzw. unbeabsichtigte Handlungen von Mitarbeitern, die durch Fehlverhalten oder Fahrlässigkeit eine Datenabwanderung begünstigen. Für alle drei gilt: Der Schaden wird meist erst entdeckt, wenn es zu spät ist. Zudem lässt sich der genaue Sachverhalt im Nachhinein nur sehr schwer aufklären.
Welche Antwort hat Forcepoint auf die Bedrohung von innen?
Albert Schöppl: Ein Tool zur User Behavior Analytics schafft Transparenz über Datenbewegungen im Netzwerk und trägt zum Schutz der Mitarbeiter bei. Illegale oder gefährdende Tätigkeiten im Firmennetzwerk werden frühzeitig erkannt und können verhindert werden, bevor Schaden entsteht. Ein automatisches Frühwarnsystem erfasst durch automatisiertes Baselining den Normalzustand für das Verhalten eines oder mehrerer Mitarbeiter.
Diese Informationen zum Nutzerverhalten bilden die Basis für eine Risikobewertung bestimmter Verhaltensmuster. In Kombination mit einer Data Loss Prevention (DLP) korreliert diese Benutzerverhaltensanalyse (UBA) die Informationen mit anderen IT- und Geschäftsvorgängen. So lässt sich forensisch belegen, ob eine Bedrohung tatsächlich auf einen Insider oder einen Eindringling mit gestohlenen Anmeldeinformationen zurückgeht und außerdem verhindern, dass Daten das Unternehmen verlassen.
Wie stellen Sie sicher, dass die Datenschutzrichtlinien beachtet werden?
Albert Schöppl: Es geht, wie schon erwähnt, nicht darum flächendeckend Mitarbeiter auszuspähen, sondern darum sicherzustellen, dass Mitarbeiter mit besonderen Rechten nicht versehentlich oder beabsichtigt zur Abwanderung von Daten beitragen. Der Einsatz einer solchen Lösung sollte transparent kommuniziert und in Zusammenarbeit mit dem Betriebsrat oder einem anderen Kontrollgremium erfolgen. Zur Gewährleistung des Datenschutzes werden Informationen zum Nutzerverhalten pseudonymisiert erfasst.
Das kann man sich wie bei einem Flugschreiber vorstellen: Die Informationen zum Nutzerverhalten werden zunächst anonymisiert erfasst. Alle Daten sind mehrstufig verschlüsselt und können nur bei Vorliegen eines konkreten Verdachtsfalls und nach Zustimmung eines autorisierten Gremiums, beispielsweise aus IT-Leiter, Betriebsrat und Unternehmensführung, entschlüsselt und einem bestimmten Mitarbeiter zugeordnet werden.
Ulrich Parthier: Herr Schöppl, wir danken für dieses Gespräch.
