Suchen

Expertenbeitrag

Frank Limberger

Frank Limberger

Data and Insider Threat Security Specialist, Forcepoint Deutschland GmbH

Security

Unternehmenssicherheit: Insider Threats erfolgreich abwehren

| Autor/ Redakteur: Frank Limberger /

In einer digitalen Welt ohne klare Grenzen gilt es nicht mehr nur, ein geschlossenes Firmennetzwerk gegen Gefahren von außen abzusichern. Insider Threats, also Bedrohungen von innen, spielen eine wichtige Rolle.

Firmen zum Thema

Eine Möglichkeit zur Abwehr der Risiken bieten Lösungen für Data Loss Prevention (DLP). Sie beinhalten herkömmliche Funktionen für Identitätsmanagement, Monitoring, Verschlüsselung sowie Zugriffskontrolle. Zudem steuern und überwachen sie Nutzer-Aktivitäten und bieten Mechanismen, um Datenströme im Unternehmensnetzwerk zu filtern und zu schützen.
Eine Möglichkeit zur Abwehr der Risiken bieten Lösungen für Data Loss Prevention (DLP). Sie beinhalten herkömmliche Funktionen für Identitätsmanagement, Monitoring, Verschlüsselung sowie Zugriffskontrolle. Zudem steuern und überwachen sie Nutzer-Aktivitäten und bieten Mechanismen, um Datenströme im Unternehmensnetzwerk zu filtern und zu schützen.
( Forcepoint-DDP )

Moderne Systeme für Dynamic Data Protection helfen dabei, Daten vor Verlust und Diebstahl verlässlich zu schützen. Sie ermöglichen flexible und dynamische Sicherheitsmechanismen auf Basis eines individuellen Risiko-Scores. Auf diese Weise lässt sich die höchstmögliche Produktivität der Mitarbeiter beibehalten und ein maximaler Schutz der Daten sicherstellen.

Das größte Risiko für die Datensicherheit in Unternehmen kommt von innen – durch so genannte Insider Threats. Dabei lassen sich verschiedene Arten von Bedrohungen unterscheiden: Häufig begünstigen Mitarbeiter unwissentlich oder unbeabsichtigt die Abwanderung sensibler Unternehmensdaten. Beispielsweise können durch die arglose Mitnahme und fahrlässige Verwendung von firmeninternen USB-Sticks oder anderen Datenträgern betriebliche Informationen in fremde, unberechtigte Hände gelangen. Ein weiterer Risikofaktor ist der absichtliche Datendiebstahl durch Firmenangehörige: In diesem Fall handeln die Täter mit Vorsatz oder kriminellem Motiv und nehmen einen Schaden für das Unternehmen durch die Veruntreuung von Daten bewusst in Kauf. Eine dritte Kategorie von Bedrohungen sind kompromittierte Anwender. Dabei haben sich Kriminelle Zugang zu den Anmeldedaten eines Mitarbeiters verschafft und missbrauchen diese für Angriffe.

Eine Möglichkeit zur Abwehr der Risiken bieten Lösungen für Data Loss Prevention (DLP). Sie beinhalten herkömmliche Funktionen für Identitätsmanagement, Monitoring, Verschlüsselung sowie Zugriffskontrolle. Zudem steuern und überwachen sie Nutzer-Aktivitäten und bieten Mechanismen, um Datenströme im Unternehmensnetzwerk zu filtern und zu schützen. Konventionelle DLP-Systeme sind aber in der Regel sehr starr und bieten nicht die nötige Dynamik, um auf die verschiedenen Spezies von Insider Threats adaptiv zu reagieren. Die Lösungen fokussieren häufig nur den reinen Infrastrukturschutz oder die Abwehr von externen Gefahren. Dabei nutzen sie meist statische Auswertungen, die sich nicht flexibel an verschiedene Arten von Benutzern und Transaktionen anpassen und dadurch zusätzliche Sicherheitslücken verursachen. So verwenden solche Systeme für alle User immer die gleichen Policies und Richtlinien, verbieten von vornherein bestimmte Aktionen und schränken dadurch die Produktivität der Mitarbeiter erheblich ein. Überdies senden die meisten DLP-Lösungen an die Sicherheitsverantwortlichen in Unternehmen eine riesige Anzahl von teilweise unnötigen Alerts, auf die reagiert werden muss. Dies erhöht den Administrationsaufwand und verursacht zusätzliche Kosten.

Sicherheit im Einklang mit Produktivität und Effizienz

Einen weitaus effektiveren Schutz vor Insider Threats bieten moderne Lösungen für Dynamic Data Protection (DDP). Sie schneiden interne Sicherheitsrichtlinien ohne Zutun eines Administrators automatisch und adaptiv auf alle Nutzer oder Geräte zu. Dadurch können Unternehmen die Sicherheit ihrer Nutzer und Daten lückenlos mit den Anforderungen an Produktivität und Effizienz in Einklang bringen. Das Besondere: Flexibel und individuell passen DDP-Systeme die Reaktion auf einen Sicherheitsvorfall anhand des jeweiligen Risikos an. Auf diese Weise wird der momentane Sicherheitslevel automatisch und situativ an die jeweiligen Anforderungen angeglichen. Dabei besteht die Möglichkeit, dynamisch und je nach Rolle oder Verhalten eines Mitarbeiters spezielle Policies zu generieren.

Ein Beispiel: Eine bestimmte Person darf interne Daten auf einen USB-Stick kopieren und diesen mit nach Hause nehmen, um dort beispielsweise an einer Firmenpräsentation weiterzuarbeiten. Handelt es sich jedoch um kritische oder sensible Unternehmensdaten, besteht ein höheres Risiko. In diesem Fall regelt eine Richtlinie, dass der Mitarbeiter die Daten nur verschlüsselt kopieren darf. Ein weiteres Szenario beschreibt noch höhere Sicherheitsanforderungen: Hat ein Betriebsangehöriger bereits ein auffälliges Verhalten gezeigt – zum Beispiel durch einen versuchten Zugriff auf Daten, für die er nicht berechtigt ist – ist höchste Vorsicht geboten. Dann sollte eine entsprechende Policy ihm die Mitnahme von Daten komplett verbieten.

Risiko-Score resultiert aus Nutzerverhalten

Grundlage der Erkennungsmechanismen ist die Technologie „User and Entity Behaviour Analytics“ (UEBA). Die DDP-Lösung beobachtet dabei das Verhalten der Nutzer, definiert daraus automatisch einen bestimmten Risiko-Score und passt die Berechtigungen des Betroffenen adaptiv an die jeweiligen Risiken an. Beschäftigte mit geringem Risikofaktor verfügen dann über mehr Rechte und können dadurch produktiver arbeiten. Besonders wichtig ist es dabei auch, bestimmte Verhaltensänderungen eines Mitarbeiters zu erkennen. Greift er beispielsweise von einem anderen Ort als üblich auf Daten zu oder meldet er sich von einem bisher nicht genutzten Gerät an, wird ein erhöhtes Risiko festgestellt. Das DDP-System ist hierbei in der Lage, die jeweiligen Datenpunkte zu identifizieren und zu korrelieren. So lassen sich potenzielle Probleme und Bedrohungen frühzeitig erkennen und gezielt Gegenmaßnahmen einleiten. Beim Einsatz einer solchen Lösung ist jedoch das berechtigte Interesse von Mitarbeitern auf Privatsphäre gegenüber des zu erwartenden Schadens abzuwägen.

Dabei wird der Risiko-Score herangezogen, um die jeweilige Berechtigung des Users passgenau zu definieren, um also den Datenzugriff lediglich zu überwachen und zuzulassen, ihn zu verschlüsseln oder vollständig zu blockieren. So werden beispielsweise die Security-Experten im Unternehmen in hohem Maße entlastet. Diese können sich durch den hohen Automatisierungsgrad und die adaptiven, risikobasierten Anpassungen ganz auf relevante, auffällige Aktivitäten konzentrieren. Zudem lässt sich die benötigte Zeit für die verlässliche Erkennung von Risiken und Bedrohungen auf nur wenige Sekunden reduzieren.

 

Fazit

Insider Threats zählen zu den größten Risiken für die Sicherheit von Unternehmensdaten. Herkömmliche Security-Tools wie etwa DLP-Systeme reichen meist nicht mehr aus, um die Bedrohungen effektiv abzuwehren. Hilfreicher sind moderne Dynamic-Data-Protection-Lösungen, die auf einem risikoadaptiven Ansatz basieren. Sie richten sich nicht nach starren Policies, sondern passen sich dynamisch an das Verhalten der User und die damit verbundenen Risiken an. Dies wirkt sich positiv auf die Produktivität aus und gewährleistet gleichzeitig den optimalen Schutz der Daten.

Über den Autor

Frank Limberger

Frank Limberger

Data and Insider Threat Security Specialist, Forcepoint Deutschland GmbH