3 gängige Ansätze zur Bekämpfung von Insider-Bedrohungen und wie sie scheitern

Die Abwehr von Insider-Bedrohungen ist für die meisten Sicherheitsteams schon seit einigen Jahren eine Priorität. In jüngster Zeit hat das Thema jedoch auch Einzug in die Chefetagen gehalten, da die obersten Führungskräfte erkannt haben, dass die Abwehr von Insider-Bedrohungen sowohl für den Schutz als auch für das Wachstum des Unternehmens entscheidend ist. Trotz des gestiegenen Bewusstseins ist die erschreckende Realität, dass das Problem der Insider-Bedrohungen nicht nachlässt. Vorfälle mit Insider-Bedrohungen nehmen zu - und ihre Bewältigung wird immer kostspieliger.

Jede Woche sorgt ein neuer Fall für Schlagzeilen, der alle Branchen betrifft: Ein ausscheidender Mitarbeitervon Pfizer hat Impfstoffgeheimnisse an ein konkurrierendes Unternehmen weitergegeben. Apple ist in verschiedene Rechtsstreitigkeiten mit ehemaligen Mitarbeitern wegen Diebstahls von geistigem Eigentum verwickelt, während Yahoo einen Ex-Mitarbeiter wegen Diebstahls von Geschäftsgeheimnissen verklagt. Tesla verklagt einen weiteren ehemaligen Ingenieur wegen Diebstahls wertvollen Codes. Und schließlich wurde das Fintech-Unternehmen Block Opfer böswilliger Insider-Aktivitäten, die zu einer Datenpanne bei seiner Tochtergesellschaft Cash App führten und das Unternehmen dem Risiko der Nichteinhaltung von Vorschriften aussetzten.

Insider-Bedrohungen schaden Unternehmen auf messbare Weise - und das immer häufiger. Was tun also die meisten Sicherheitsteams dagegen? Lassen Sie uns einen Blick auf drei der gängigsten Ansätze zur Abwehr von Insider-Bedrohungen werfen - und darauf, wie sie in der realen Welt scheitern:

1. Setzen Sie ganz auf den Blocking-First-Ansatz (DLP)

Natürlich ist die erste Reaktion auf eine Bedrohung der Versuch, sie zu stoppen. Die gängigste Strategie, die Sicherheitsteams heute verfolgen, ist der Versuch, bestehende DLP-Lösungenzu nutzen und sie durch CASB und User Entity Behavior Analytics (UEBA) zu ergänzen, um potenziell bösartiges Insiderverhalten genau zu verfolgen - und vorherzusagen.

Das Wesen der herkömmlichen DLP besteht darin, einen Benutzer zu identifizieren, der etwas tut, das als falsch oder riskant angesehen wird, und diese Aktivität zu stoppen. Um es gleich auf den Punkt zu bringen: In den heutigen hybriden Cloud-Arbeitsumgebungen können Sie nicht einfach mit Blockieren führen. Wir ermutigen unsere Mitarbeiter, kreativ Wege zu finden, um Hindernisse bei ihrer Arbeit zu umgehen - und sie finden auch kreativ Wege, um die DLP-Regeln zu umgehen. Die Mitarbeiter von heute verlassen sich auf eine ständig wachsende Anzahl nicht genehmigter, nicht überwachter und potenziell gefährdeter Tools, um produktiv zusammenzuarbeiten. Das bedeutet, dass es immer wieder neue Wege gibt, Daten zu verschieben, die von den DLP-Regeln nicht berücksichtigt werden. 

Herkömmliche Präventions-Tools wie DLP suchen nur nach dem, was Sie ihnen vorgeben zu suchen. Kurz gesagt, zwischen der Datenportabilität und der Kreativität der Benutzer können die Sicherheitsteams einfach nicht an alles denken, worauf sie achten müssen. So können Risiken, einschließlich Ihres Quellcodes, Ihrer Kundenlisten, Produktpläne und technischen Pläne, leicht durch die Maschen des alleinigen Präventionsansatzes fallen. Und da DLP-Tools nicht wissen, wann sie geschlagen wurden, ist es nicht das Sicherheitsteam, das das Unternehmen auf Datenlecks aufmerksam macht - es ist das Rechtsteam, oder es ist eine peinliche Schlagzeile, oder es ist ein Jahr später, wenn ein Konkurrent mit einem Nachahmerprodukt auf den Markt kommt.

Hinzu kommt, dass herkömmliche Präventivmaßnahmen nicht nur nicht jede riskante Aktion verhindern können, sondern oft auch die legitime Zusammenarbeit stören. Eine Überkompensation durch strenge DLP-Richtlinien führt dazu, dass die Produktivität der Benutzer, die Zusammenarbeit und die Innovation unterdrückt werden - Auswirkungen, die dem Unternehmen selbst schaden. Aufgrund der Art und Weise, wie DLP Aktionen ohne vollständigen Kontext blockiert oder kennzeichnet, wird eine nicht bösartige Aktion eines autorisierten Benutzers oft als bösartige Aktion eines Benutzers mit gefährlichen Absichten eingestuft. Dies ist nicht nur eine Verschwendung von Zeit für die Sicherheit und die Benutzer - es ist auch ein Ansatz ohne Empathie für die Mitarbeiter und kann die Kultur und das Vertrauen am Arbeitsplatz erheblich beeinträchtigen.

Prävention allein ist nicht genug.

Herkömmliche DLP-, CASB- und andere Präventionstools können eine Rolle beim Schutz regulierter, strukturierter Daten spielen. Aber sie können nicht alles verhindern - und wenn eine riskante Aktion durch die Maschen fällt, lässt ein reiner Präventionsansatz die Sicherheitsteams im Blindflug fliegen - unfähig, etwas zu entdecken, zu untersuchen und zu reagieren, bevor der Schaden entstanden ist. Aus diesem Grund erleiden 76% der Unternehmen trotz einer DLP-Lösung immer noch eine Datenschutzverletzung.

2. Konzentrieren Sie sich auf den Benutzer und nicht auf die Daten

Wenn Sicherheitsteams schließlich erkennen, dass starre DLP-Richtlinien nicht mit sich entwickelnden, unstrukturierten Daten und dynamischen, kreativen Benutzern umgehen können, wenden sie sich benutzerorientierten Tools zu (z.B. UAM, UEBA), um einen detaillierten Einblick in die Benutzeraktivitäten zu erhalten. Das macht Sinn: Es sind Ihre Benutzer, die den Insider-Diebstahl begehen; die Daten stehlen sich nicht von selbst.

Das Problem ist, dass Benutzer jeden einzelnen Tag so viele Dinge tun - und 99% davon sind völlig legitim und harmlos. Tools für das Benutzerverhalten versuchen, mithilfe von KI zwischen normalem und abnormalem Verhalten zu unterscheiden - was in der Theorie gut klingt. Ohne einen vollständigen Kontext der Benutzeraktivitäten und ohne geschultes Personal werden die Sicherheitsteams jedoch mit Warnungen und viel zu viel Lärmbombardiert. Selbst wenn sie richtig zwischen normalem und abnormalem Verhalten unterscheiden, ist abnormal nicht gleichbedeutend mit riskant. Die Sicherheitsteams sind also immer noch mit Fehlalarmen überlastet und könnten von den falschen Gefahren abgelenkt werden - während echte Datenlecks durch die Maschen schlüpfen.

Aber Sie können das andere große Problem mit den Tools zur Benutzerüberwachung nicht ignorieren: die Privatsphäre der Mitarbeiter. Die Entwicklung von Datenschutzbestimmungen wie GDPR und CCA stellen viele Praktiken der Nutzerüberwachung in Frage. Und dann sind da noch die Auswirkungen von Big Brother. Die Überwachung von Nutzern impliziert unverdientes Misstrauen und schadet zweifellos der Unternehmens- und Arbeitsplatzkultur. Sie beeinträchtigt das Vertrauen und die Selbstbestimmung der Mitarbeiter in einer Zeit, in der die Umarmung und Unterstützung neuer Arbeitsweisen einen starken Wettbewerbsvorteil für ein Unternehmen darstellen kann. 

Viele werden dies als einen wenig einfühlsamen Ansatz für die Sicherheit ansehen, der möglicherweise eine feindselige Beziehung zwischen Sicherheitsteams, Management und Anwendern hervorruft und das wichtigste Element eines jeden Programms für Insider-Bedrohungen gefährdet - die Akzeptanz und Einhaltung durch die Mitarbeiter.

Es ist ein Technologieproblem, kein Menschenproblem

Letzten Endes scheitert ein reiner Benutzeransatz an einer einfachen Wahrheit: Benutzerorientierte Tools gehen in die falsche Richtung. Den Sicherheitsteams ist es eigentlich egal, was Mitarbeiter in der Cloud oder im Internet tun; sie interessieren sich dafür, wohin die Daten des Unternehmens gelangen. Standardmäßig sind wir alle zufällige Insider, ob wir es zugeben wollen oder nicht. Jemand hat unwissentlich auf "Senden" geklickt, um eine E-Mail mit vertraulichen Informationen zu verschicken, jemand hat einen öffentlich zugänglichen Link auf Box erstellt, jemand hat Daten an eine andere, nicht vertrauenswürdige Quelle übermittelt, um seine Arbeit zu erledigen, und natürlich ist jemand einer fortgeschrittenen Phishing-Technik zum Opfer gefallen. 

Unfälle passieren und die Ursache dieser Unfälle sind Menschen. Viel zu lange haben wir das Problem fälschlicherweise als ein Problem der Menschen und nicht als ein Problem der Technologie betrachtet.

3. Löschen Sie die Daten

Der dritthäufigste Ansatz zur Bekämpfung von Insider-Bedrohungen - und eine direkte Antwort auf das Problem des "zu viel Rauschens" - ist das Aussortieren oder Herausfiltern der "unwichtigen" Daten. Dies erfordert die gefürchtete Datenklassifizierung - mühsam, zeitaufwändig und kostspielig. Aber wie bereits erwähnt, können Sicherheitsteams in der Realität nicht an alles denken. In diesem Fall ist es zunehmend unmöglich, alle Ihre wertvollen und gefährdeten Daten in Echtzeit zu erfassen. Das liegt daran, dass unstrukturierte Daten nicht statisch sind - sie entwickeln sich weiter, sind in Bewegung und werden im Rahmen einer modernen Kultur der Zusammenarbeit ausgetauscht und bearbeitet. Und der Wert und die Anfälligkeit ändern sich, wenn sich die Daten ändern.

Sicher, ein Unternehmen könnte versuchen, die dynamische Natur seiner Daten durch eine regelmäßige Datenklassifizierung zu berücksichtigen. Aber die meisten Sicherheitsverantwortlichen schrecken vor dem Zeit- und Kostenaufwand für eine einzige Datenklassifizierung zurück. Und ganz gleich, wie kürzlich Sie Ihre Daten klassifiziert haben, die dynamische Natur Ihrer wertvollen, unstrukturierten Daten bietet Ihnen die Möglichkeit, dass etwas, das Sie als "unwichtig" ignoriert haben, sich als unglaublich wertvoll für Ihr Unternehmen erweist. 

Allzu oft bemerkt das Sicherheitsteam das Versäumnis erst, wenn es erfährt, dass wertvolle, übersehene Daten entwendet wurden. Dann ist es zu spät - sie wurden von der Insider-Bedrohung überrumpelt. Die harte Wahrheit: Die von Mitarbeitern ausgehenden Bedrohungen für Daten haben die heute vorhandenen Programme, Richtlinien und Tools überholt.

Letztlich kommt es auf den Kontext an

Die Kultur der Zusammenarbeit wird durch die rasante Entwicklung unstrukturierter Daten angeheizt. Unternehmen können nicht mehr zwischen "wichtigen" und "unwichtigen" Daten unterscheiden. Sie müssen alle Daten erfassen und überwachen, um zu erkennen, wann und wie wertvolle Dateien an Orte verschoben werden, an denen sie nicht sein sollten, und zwar über alle Endgeräte und die Cloud hinweg, ohne Unterbrechung und mit viel Tuning. Wenn man bedenkt, dass wir eine Ära wirklich unbegrenzter Speicherkapazitäten erreicht haben, ist die Logik, die hinter dem Aussortieren und Klassifizieren von Daten steckt, nicht mehr richtig. Die Ermittlungs- und Reaktionszeit ist dieselbe, wenn nicht sogar schneller. Warum also sollten Sie die Daten herausfiltern, die sich zu einem späteren Zeitpunkt als wichtige Beweise erweisen könnten? 

Aber wenn man so viele Daten sammelt, ist es wichtig zu wissen, welche Dateien wo, wann und von wem katalysiert wurden. Der Kontext sollte sich auch auf das Wissen der Organisation erstrecken, z.B. "wann wird erwartet, dass die Benutzer arbeiten" nach Abteilung und "welche Arten von Dateien werden von den Geschäftsbereichsleitern als wichtig erachtet?" Antworten auf diese Fragen zu haben, fällt unter den Begriff "Kontext", der für Sicherheitsteams unerlässlich ist, um Insider-Bedrohungen verhindern zu können.

Es ist notwendig, einzelne Benutzer und Organisationen je nach ihrer Funktion unterschiedlich zu behandeln. Wenn ein Vertriebsmitarbeiter beispielsweise dafür bestraft würde, dass er ein Slide Deck auf die Dropbox eines Interessenten hochlädt, würde dies seine Möglichkeiten einschränken. Wenn sie jedoch plötzlich anfangen würden, Unmengen von Dateien auf GitHub oder mega.co hochzuladen, könnte es ein Problem geben.

Der Umgang mit der unvermeidlichen Insider-Bedrohung

Unternehmen aller Branchen streben heute nach einer dynamischen, agilen und flexiblen Kultur, die neue Arbeitsweisen fördert, ermöglicht und befähigt und starke Innovationen freisetzt. In diesem Umfeld ist es ein Fehler, die zunehmende Bedrohung durch Insider als ein Problem zu betrachten, das vollständig ausgerottet werden kann. Tatsächlich ist die Bedrohung durch Insider ein natürliches Nebenprodukt einer erfolgreichen Kultur der Zusammenarbeit. Sie stellt eine ernsthafte Bedrohung für das Unternehmen dar - eine Bedrohung, die proaktiv und sorgfältig überwacht und entschärft werden muss.

Prävention ist zweifellos der erste Schritt in einem Programm zur Abwehr von Insider-Bedrohungen. Ohne eine Art Mauer um Ihre wertvollen und gefährdeten Daten ist Ihr Unternehmen Angriffen völlig schutzlos ausgeliefert - von innen oder außen. Aber Vorbeugung allein reicht nicht aus, und der Ansatz, zuerst zu blockieren, ist zu starr und hinterlässt eine enorme Lücke im Sicherheitssystem.

Sie brauchen eine speziell entwickelte Erkennung von und Reaktion auf Insider-Bedrohungen

Die Sicherheitsteams des einundzwanzigsten Jahrhunderts brauchen eine Lösung, die ihnen hilft, schnell und präzise zwischen Fehlern mit geringem Risiko und echten Bedrohungen zu unterscheiden. Sie müssen in der Lage sein, Datenverluste zu verhindern und Verhaltensweisen zu korrigieren, ohne die Zeit der Sicherheit und die Produktivität der Benutzer zu beeinträchtigen. Und da das Risiko nicht nachlässt, haben Sie keine Zeit für eine langwierige, komplizierte Einführung. Sie brauchen ein Tool, das in wenigen Tagen einsatzbereit ist - und Ihnen in Sekundenschnelle den nötigen Überblick verschafft.

Was Sie brauchen, um das Problem zu lösen

Sicherheitsteams müssen nicht nur in der Lage sein, zu überwachen, wohin sich unstrukturierte Daten bewegen, und Bedrohungen kontextbezogen zu priorisieren, sondern sie müssen auch in der Lage sein, die eigentliche Ursache von Insider-Bedrohungen anzugehen: die Mitarbeiter selbst. Moderne Lösungen wie Mimecast Incydr unterscheiden sich von herkömmlichen Lösungen dadurch, dass sie den Sicherheitsteams eine breite Palette von umsetzbaren und der Schwere des Risikos angemessenen Reaktionen bieten . Ein idealer Plan zur Erkennung von Risiken und zur Reaktion darauf sollte:

• Erstellen Sie angemessene Nutzungsrichtlinien, Kommunikationspläne, Verfahren zur Eskalation und Behandlung von Vorfällen sowie Dokumentationsprozesse.
• Ansprechen, korrigieren und ändern Sie das Benutzerverhalten durch angemessene und reaktionsschnelle Lektionen über bewährte Sicherheitsverfahren 
• Eindämmung von Bedrohungen und Verhinderung weiterer risikobehafteter Aktionen von Benutzern durch Zugriffskontrollen, Quarantäneverfahren und Sicherheitsprotokolle

Diese Reaktionen sollten sich letztlich auf die gezielte und einfühlsame Aufklärung der Benutzer konzentrieren , indem sie über die langfristigen Auswirkungen ihrer unmittelbaren Handlungen informiert werden, während sich die Sicherheitsteams darauf konzentrieren, das Ausmaß eines Verstoßes zu ermitteln und weitere Sicherheitslücken zu schließen.

Mitarbeiter als wertvolle Stakeholder der Unternehmenssicherheit zu behandeln - und nicht als potenzielle Bedrohung, die unter die Lupe genommen werden muss - ist nicht nur ein einfühlsamerer Ansatz für den Umgang mit dem Risiko von Insider-Bedrohungen. Es ist auch ein proaktiver Weg für Sicherheitsteams, das Rauschen zu durchdringen - indem sie die Wahrscheinlichkeit versehentlicher Benutzeraktionen reduzieren - so dass sie ihre Ressourcen und Energie darauf konzentrieren können, die wirklichen Insider-Bedrohungen zu identifizieren und auf sie zu reagieren, die sich in der sich ständig verändernden, ständig wachsenden Datenumgebung ihres Unternehmens verstecken.