Ihre unternehmensweiten Kollaborationsplattformen könnten eine offene Tür für die Datenexfiltration sein.
Was wäre, wenn wir Ihnen sagen würden, dass es einen Ort gibt, an dem vertrauliche Informationen für fast Ihr gesamtes Unternehmen zugänglich sind? Wo Außenstehende eingeladen werden und Daten mit einem Klick abgerufen, heruntergeladen oder kopiert werden können. Wenn Sie keine Maßnahmen ergriffen haben, um dies zu verhindern, passiert es gerade jetzt in Ihrem Unternehmen.
Wir sprechen hier von Tools für die Zusammenarbeit in Unternehmen und sozialen Netzwerken. Die meisten Unternehmen verwenden mindestens zwei. Slack, Microsoft Teams, Workplace von Meta, Yammer.... All diese Plattformen tragen dazu bei, Silos aufzubrechen und die Produktivität am Arbeitsplatz zu steigern. Aber zu welchem Preis?
Die Grundlagen eines Datenlecks: Definition und wichtige Fakten
Jedes Mal, wenn eingeschränkte Daten versehentlich veröffentlicht werden, handelt es sich um ein Datenleck. Datenlecks sind nicht das Gleiche wie Datenschutzverletzungen. In Fällen von Datenschutzverletzungen wird das Unternehmen von einem bösen Akteur angegriffen, der diese Informationen stehlen will. Datenlecks entstehen durch Nachlässigkeit oder Versäumnisse und erfordern nicht immer einen Angriff, um sie auszulösen.
Moderne Unternehmen verfügen über Schutzmechanismen und Sicherheitstools, um sich gegen Datenschutzverletzungen zu schützen. Aber viele Unternehmen übersehen immer noch das Risiko, das von modernen internen Kollaborationsplattformen ausgeht. Und das kann katastrophale Folgen haben.
Datenleck vs. Datenschutzverletzung
Die meisten Datenlecks stellen ein kleines, aber überschaubares Risiko für die Finanzen eines Unternehmens, den Ruf der Marke und das Vertrauen der Mitarbeiter dar, während eine Datenschutzverletzung ein Datenleck ist, das außer Kontrolle geraten ist. Die Auswirkungen einer Datenschutzverletzung auf das Unternehmen verursachen erhebliche Kosten, die das Überleben des Unternehmens gefährden.
Da kein Unternehmen dem anderen gleicht, kann ein Datenleck bei einem Unternehmen je nach Unternehmensgröße, Finanzlage und Ressourcen ein Verstoß gegen die Datenschutzbestimmungen sein. Ein großes, etabliertes Unternehmen ist vielleicht in der Lage, hohe Geldstrafen, verlorenes Kundenvertrauen und Gerichtsverfahren zu überstehen, aber ein kleines Startup-Unternehmen könnte schon nach ein paar kleinen Datenlecks untergehen. Aber sowohl für Unternehmen als auch für kleinere Akteure sollte das Aufspüren und Reparieren eines Lecks oberste Priorität haben, da die Folgen eines Lecks, das sich zu einem Sicherheitsverstoß entwickelt, schwerwiegend sein können. Sowohl Datenlecks als auch Datenschutzverletzungen können innerhalb einer Organisation entstehen, oft durch einen versehentlichen Fehler eines Mitarbeiters. Allerdings sind nicht alle Datenlecks auf Nachlässigkeit der Mitarbeiter zurückzuführen. Zum Beispiel könnte ein Insider böswillig Daten an Dritte weitergeben. Um es klar zu sagen: 80% der Vorfälle sind nicht böswillig, aber unabhängig von der Absicht haben Lecks das Potenzial, sich auszuweiten und Ihr Unternehmen zu schädigen.
Undichte Stellen erhalten nicht die gleiche Aufmerksamkeit wie Datenschutzverletzungen. Wir hören oft von großen Datenschutzverletzungen, die Schlagzeilen machen und Unternehmen Millionen kosten. Aber Datenlecks sind zwar kleiner, können aber immer noch sehr schmerzhaft sein, besonders für diejenigen, die im Sicherheitsbereich arbeiten. Mit den jüngsten Aktualisierungen der SEC-Verordnung vom Dezember 2023 müssen Sie möglicherweise selbst kleine Lecks melden, wenn sie den Ruf Ihres Unternehmens in Sachen Sicherheit insgesamt erheblich beeinträchtigen.
Was sind die Ursachen für Datenlecks?
Wenn von Datenlecks die Rede ist, denkt man vielleicht an Computerhacker und Wirtschaftsspionage, aber die Realität ist viel banaler. Im Jahr 2021 war die häufigste Ursache für Datenlecks eine falsche Softwarekonfiguration. UpGuard entdeckte zum Beispiel Einstellungen in Microsoft Power Apps, die 38 Millionen Datensätze offenlegten.
Fehlkonfigurationen sind eine wachsende Ursache für Datenlecks in Unternehmen und für mehr als 40% der Vorfälle im Jahr 2019 verantwortlich. Das ist ein Anstieg um das Fünffache seit 2015 - ein Anstieg, der Hand in Hand mit der digitalen Transformation des modernen Arbeitsplatzes geht. Wenn Sie mehr Cloud-basierte Anwendungen verwenden, bedeutet das einfach, dass mehr Daten durch die Maschen fallen können.
Die Verwendung von Standardpasswörtern oder wiederverwendeten Passwörtern stellt ebenfalls eine Gefahr für die Informationssicherheit dar. Dies ist besonders problematisch, wenn Geräte aus dem Internet der Dinge mit einem größeren Unternehmensnetzwerk verbunden sind. Der intelligente Kühlschrank, das Thermostat oder der Fitness-Tracker könnten eine Hintertür zum digitalen Tresor Ihres Unternehmens öffnen.
Und wenn skrupellose Akteure Zugang zu den sensiblen Daten Ihres Unternehmens haben wollen, ist es für viele einfacher, Ihre Mitarbeiter zu hacken als Ihre Software. Social-Engineering-Betrügereien nutzen Unternehmenshierarchien aus, um Mitarbeiter dazu zu bringen, Zugangsdaten preiszugeben. Stellen Sie sich vor, eine Empfangsdame erhält eine SMS vom CEO, in der er nach den Kreditkartendaten des Unternehmens fragt. Oder eine E-Mail von Mike aus der IT-Abteilung, die besagt, dass alle Mitarbeiter auf einen Link klicken müssen, um eine Sicherheitsanmeldung durchzuführen. Außer natürlich, dass der CEO keine solche Nachricht geschickt hat und dass es keinen Mike in der IT gibt.
Häufige Risiken von Datenlecks: Schützen Sie Ihre sensiblen Informationen
Der Begriff "Datenleck" kann ziemlich weit gefasst sein. Welche Arten von Informationen könnten Teil eines Datenlecks sein? Die meisten Daten, die von Lecks betroffen sind, haben das Potenzial, die Kunden, Mitarbeiter und das geschützte interne Wissen Ihres Unternehmens zu gefährden:
- Kundendaten: Telefonnummern, Adressen, E-Mails, Kreditkartennummern, Sozialversicherungsnummern und andere persönlich identifizierbare Informationen
- Interne Mitarbeiterdaten: Adressen und E-Mails sowie Personalinformationen wie Hintergrundprüfungen, Pass-Scans und Vergütungsdaten
- Geistiges Eigentum: Forschung, Geschäftsgeheimnisse, interne Dokumentation und Quellcode
- Sicherheitsnachweise: Passwörter oder Telefonnummern für die Multi-Faktor-Authentifizierung (MFA)
Sind Datenlecks ernst zu nehmen?
Nicht alle Informationen, die bei einem Datenleck offengelegt werden, sind für das Unternehmen entscheidend. Allerdings ist das Vorhandensein des Lecks selbst ein ernstes Problem. Ein durchschnittlicher Datenschutzverstoß kostet 3,92 Millionen Dollar, um ihn zu beheben, und 280 Tage, um ihn aufzudecken und einzudämmen. Einige der Folgen von Datenlecks sind:
- Verlust des Vertrauens von Klienten oder Kunden
- Ordnungsrechtliche Geldbußen
- Operative Ausfallzeiten
- Wettbewerber, die auf geistiges Eigentum zugreifen
Da Datenlecks in der Regel das Ergebnis von Nachlässigkeit oder Versehen sind, können sie dem Ruf des Unternehmens mehr schaden als ein targeted attack durch böswillige Akteure. Dennoch wenden die meisten Unternehmen weitaus mehr Zeit und Ressourcen für die Verteidigung gegen Hacker auf. Es ist leicht, die Ausbildung und die Technologie zu übersehen, die versehentliche Lecks verhindern könnten.
Beispiele für Datenverluste
Viele Unternehmen haben Lecks wie die oben beschriebenen erlebt. Einige wichtige Beispiele von Branchenführern zeigen, wie viel Schaden ein Datenleck anrichten kann.
Boeing
Das weltweit tätige Luft- und Raumfahrtunternehmen Boeing hatte ein Leck, als einer seiner Mitarbeiter 2017 eine Tabelle per E-Mail an seine Frau, eine Nichtangestellte, schickte. Er hoffte, dass sie ihm bei einigen Formatierungsproblemen helfen könnte, aber ihm war nicht klar, dass die Tabelle in versteckten Spalten persönliche Daten von 36.000 Boeing-Mitarbeitern enthielt.
Indem er die Tabelle per E-Mail an ein ungesichertes Gerät und an ein E-Mail-Konto eines Nicht-Mitarbeiters schickte, umging er die Sicherheitsprotokolle und kompromittierte die Mitarbeiter-IDs, den Geburtsort und die Sozialversicherungsdaten seiner Arbeitskollegen.
Boeing sagte, man sei zuversichtlich, dass die Daten auf das Gerät des Mitarbeiters und seiner Frau beschränkt blieben, bot aber allen betroffenen Mitarbeitern zwei Jahre lang eine kostenlose Kreditüberwachung an - geschätzte Kosten von 7 Millionen Dollar.
Microsoft
Der Software-Gigant Microsoft hat am eigenen Leib erfahren, was aus unbedachten Fehlern entstehen kann.
Im August 2022 entdeckte das Cybersicherheitsunternehmen spiderSilk durchgesickerte Anmeldedaten in der Github-Umgebung von Microsoft. Hätten die Cyberkriminellen die Zugangsdaten gefunden, hätten sie sich damit Zugang zu den Azure-Servern von Microsoft und möglicherweise zu anderen internen Systemen verschaffen können.
Die Auswirkungen der offengelegten Microsoft-Daten und des Quellcodes hätten für das Unternehmen, seine Kunden und seine Mitarbeiter katastrophale Folgen haben können. Microsoft hat zwar nicht bekannt gegeben, zu welchen Systemen die Zugangsdaten Zugang gewährten, aber wenn Außenstehende Zugang zu Kundendaten in der Europäischen Union erlangt hätten, hätte Microsoft eine Geldstrafe von bis zu 20 Millionen Euro wegen Verstoßes gegen die Datenschutzbestimmungen erhalten können.
Nach weiteren Untersuchungen hat Microsoft bestätigt, dass niemand auf die Daten zugegriffen hat, und führt neue Sicherheitsmaßnahmen ein, um ein weiteres Leck zu verhindern.
Amazon
Viele Unternehmen verlassen sich auf AWS-Produkte, einschließlich Amazon S3, aber falsche Konfigurationen von S3-Buckets haben zu Lecks geführt. So fanden Forscher der Firma vpnMentor im Jahr 2019 einen öffentlich zugänglichen s3-Bucket voller Daten aus den Personalabteilungen mehrerer britischer Beratungsfirmen. Diese Dateien enthielten sensible Personaldaten wie Pässe, Steuerdokumente, Hintergrundprüfungen, Geburtsdaten und Telefonnummern.
Wie Sie Datenlecks verhindern
Die Mehrzahl der Datenlecks wird durch menschliches Versagen verursacht. Das bedeutet, dass sie menschliche Lösungen brauchen. Die Schulung des Personals über die richtigen Verfahren für den Zugriff auf oder die Weitergabe von Informationen sollte ein kontinuierlicher Prozess sein. Es reicht nicht aus, wenn neue Mitarbeiter während der Einarbeitung ein einstündiges Video sehen. Da sich die Technologie weiterentwickelt - und die Betrüger immer raffinierter werden - müssen die Schritte zur Verhinderung eines Lecks aktualisiert werden.
Routinemäßige Auffrischungskurse zu den besten Datensicherheitspraktiken sollten Teil des normalen Geschäftsbetriebs Ihres Unternehmens sein. Erstellen Sie klare Richtlinien für den Umgang mit Informationen, den Aufbewahrungsort von Passwörtern und das Vorgehen bei ungewöhnlichen Anfragen.
Die Verlagerung der Arbeit in die Ferne während der Pandemie hat das Risiko für Unternehmen drastisch erhöht. Die über Nacht eingeführten neuen Technologien haben große Löcher in die digitale Sicherheit gerissen. Angesichts der beispiellosen Umwälzungen wussten die Mitarbeiter nicht, wie sie sich oder ihr Unternehmen schützen sollten. Da die Arbeit aus der Ferne immer wichtiger wird, müssen Unternehmen ihre aktuelle Technologie überprüfen, um potenzielle Schwachstellen zu identifizieren und zu schließen.
Kollaborationsplattformen und Datenlecks
Neben einer verbesserten Mitarbeiterschulung sollten Unternehmen ihren Mitarbeitern auch die richtigen Werkzeuge zur Verfügung stellen, um ihre Daten zu schützen. Es gibt zwar keine Clean-Desk-Richtlinie für die Fernarbeit, aber die Sicherheit ist trotzdem entscheidend. Die Mitarbeiter sollten wissen, wie sie Passwörter speichern, auf Unternehmensdateien zugreifen und Informationen austauschen können.
Passwort-Manager, VPNs, zentralisierte Speicherlösungen und SSO/Zero-Trust können alle dazu beitragen, vertrauliche Informationen am entfernten Arbeitsplatz zu schützen. Es gibt jedoch einen gemeinsamen Ort, an dem Informationen frei geteilt werden und an dem Außenstehende oft zur Teilnahme eingeladen werden. Das sind Ihre Plattformen für die digitale Zusammenarbeit.
Das Ziel der Zusammenarbeit ist es, interne Silos aufzubrechen und den Zugang zu Informationen zu demokratisieren. Je schneller und einfacher die Kommunikation zwischen den Mitarbeitern eines Unternehmens ist, desto besser können sie ihre Arbeit erledigen. Um den Informationsaustausch zu vereinfachen, können Kollaborationsplattformen mit einer beliebigen Anzahl anderer Programme verbunden werden. Slack ermöglicht Hunderte von verschiedenen Integrationen, von Projektmanagement- und Produktivitätstools bis hin zu Dateifreigabe, sozialen Medien und Spielen. Genauso verhält es sich mit Microsoft Teams und Workplace von Meta. Sogar Yammer erlaubt etwa hundert Anwendungen von Drittanbietern, sich mit Ihrem entfernten Büro zu verbinden.
Jede dieser Anwendungen setzt Ihren Online-Arbeitsplatz neuen Schwachstellen aus. Ein Verstoß gegen ein solches System könnte eine Hintertür zu allen Informationen öffnen, die über Ihr Kooperationsnetzwerk ausgetauscht werden. Deshalb ist es wichtig, jede Integration, die Ihre Mitarbeiter mit Ihren Plattformen verbinden, sorgfältig zu prüfen und zu genehmigen - bevor sie es tun. Ein weiteres Problem für Unternehmen, die Collaboration nutzen, ist der Zugriff von Drittanbietern. Mit Slack Connect können Benutzer Kunden, Auftragnehmer und Lieferanten in die Slack-Umgebung am Arbeitsplatz einladen, um die Kommunikation und den Austausch von Dokumenten noch einfacher zu gestalten. Ähnliche Funktionen gibt es in den meisten Plattformen für die Zusammenarbeit, einschließlich Teams Connect, unternehmensübergreifenden Workplace-Gruppen und externen Yammer-Gruppen.
Dritten den Zugang zu den Kollaborationsplattformen des Unternehmens zu ermöglichen, hat nachweislich Vorteile für das Unternehmen. Sie kann Projekte beschleunigen, Arbeitsbeziehungen stärken und bessere Ergebnisse für alle Beteiligten erzielen. Aber das ist nicht ohne Risiko. Geschäftsbeziehungen können sich ändern, und wenn sie enden, möchten Sie nicht, dass alte Dokumente, geistiges Eigentum und andere sensible Informationen in einem single gemeinsamen Repository verbleiben.
Selbst wenn Sie sich mit einem Geschäftspartner in einem gemeinsam genutzten Bereich gut verstehen, wie können Sie sicher sein, dass dessen Sicherheitsrichtlinien mit Ihren eigenen übereinstimmen? Haben sie ihre Zugangsdaten aufgeschrieben oder an Dritte weitergegeben, z. B. an einen Auftragnehmer, der in ihrem Namen arbeitet? Woher wissen Sie, ob sie es getan haben? Und wie können Sie sicher sein, dass jeder Akteur in Ihrem Collaboration-Ökosystem Maßnahmen ergreift, um die vertraulichen Informationen zu schützen, die in seinem Netzwerk von Nachrichten und Chats ausgetauscht werden?
Wie Mimecast helfen kann, Datenlecks in der Zusammenarbeit zu verhindern
Viele potenzielle Datenlecks können durch die Implementierung einer single, sicheren Überwachungslösung verhindert werden. Unsere Plattform lässt sich über API und Webhooks mit allen wichtigen Kollaborationsnetzwerken verbinden, so dass keine zusätzliche IT-Leistung erforderlich ist. Von dort aus können Sie Richtlinien festlegen, die für Ihr gesamtes Collaboration-Ökosystem gelten, und wir kümmern uns um die Umsetzung.
Kontinuierliches Hochladen bedeutet, dass wir den gesamten Kontext der Zusammenarbeit nahezu in Echtzeit erfassen, einschließlich Änderungen und Löschungen. Andere Sicherheitstools für die Zusammenarbeit stützen sich auf Batch-Ingests, um Daten zu erfassen, was zu Informationsverlusten und unvollständigem Kontext führt. Nur wir können einen vollständigen, kontextbezogenen 360-Grad-Überblick über die Aktivitäten im Rahmen der Zusammenarbeit bieten.
Dann gehen wir noch einen Schritt weiter, indem wir die Konversation automatisch überwachen und mit Hilfe von KI/ML Erkenntnisse gewinnen, die darauf trainiert sind, kurze Kooperationsnachrichten zu verstehen. Unser Prozessor für natürliche Sprache ist der beste seiner Klasse für die Zusammenarbeit, da er speziell für diese Aufgabe entwickelt und trainiert wurde. Gewinnen Sie authentische Einblicke in die Stimmung Ihrer Mitarbeiter und erkennen Sie, wo Risiken in Ihrer Collaboration-Umgebung bestehen. Wir befähigen einige der größten Unternehmen der Welt, die Datensicherheit bei der Zusammenarbeit proaktiv zu gestalten.
