Fachkräftemangel, Insiderbedrohungen und Home-Office – Cyber-Risiken mit Wurzeln in den Unternehmen

Hendrik Schless kommentiert die von Unternehmen viel zu häufig unterschätzten Risiken

[datensicherheit.de, 15.02.2022] Cyber-Attacken durch anonyme Angreifer von außen sind bei Weitem nicht die einzige Gefahr, mit denen Unternehmen konfrontiert sind. Nach Einschätzung von Hendrik Schless, „Senior Manager of Security Solutions“ bei Lookout, werde viel zu häufig das vom Fachkräftemangel sowie von Insider-Bedrohungen und Home-Office-Szenarien ausgehende Risiko unterschätzt. In seiner aktuellen Stellungnahme erläutert er die unterschiedlichen Aspekte und Akteure.

Hendrik Schless: Insider-Bedrohungen waren für Unternehmen schon immer ein Problem…

Ausweitung der Unternehmensinfrastruktur und zunehmende Abhängigkeit von der Cloud machen Problem nur noch komplexer

„Insider-Bedrohungen waren schon immer ein Problem. Angesichts der raschen Ausweitung der Unternehmensinfrastruktur und der zunehmenden Abhängigkeit von der ,Cloud‘ wird das Problem nur noch komplexer“, sagt Schless.

In der Vergangenheit seien herkömmliche „Data Loss Prevention“-Lösungen (DLP) an einem definierten Sicherheitsperimeter zum Einsatz gekommen, um den gesamten ein- und ausgehenden Datenverkehr zu überwachen. Die Schwierigkeit bestehe darin, dass diese „Tools“ keinen Einblick in die Interaktion der Benutzer mit den Daten innerhalb dieses Bereichs hätten. „Wenn also ein Benutzer eine Datei lokal herunterlädt oder bestimmte Änderungen vornimmt, wird das Sicherheitsteam möglicherweise nicht alarmiert.“

Einige Unternehmen hätten Lösungen zur Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) implementiert, welche Änderungen auf Dateiebene überwachten. Es gebe aber auch Möglichkeiten, dies zu umgehen.

Insider haben in Unternehmen oft Zugriff auf weit mehr Ressourcen als notwendig

Die „Cloud“ habe zwar enorme Fortschritte bei der Zusammenarbeit, der Skalierbarkeit und dem Datenzugriff von jedem Ort aus ermöglicht – sie habe aber auch mehr Risiken mit sich gebracht. Schless erläutert: „Insider haben oft Zugriff auf weit mehr Ressourcen, als sie eigentlich für ihre Arbeit benötigen. Angreifer haben sich daher zuletzt auf das Phishing von Zugangsdaten der Mitarbeiter konzentriert, um ihre Angriffe zu starten.“

Ein umfassender Zugriff auf die Infrastruktur bedeute auch, dass ein verärgerter, abtrünniger Mitarbeiter große Probleme für das Unternehmen verursachen könne.

Moderne DLP-Lösungen seien in der Lage, die Datennutzung zu überwachen – „unabhängig davon, wo sich die Daten in der Infrastruktur befinden und ob sie im Ruhezustand oder in Bewegung sind“. Die Kombination mit „User and Entity Behaviour Analytics“ (UEBA) als Teil einer größeren „Cloud Access Security Broker“-Lösung (CASB) sei der beste Weg, „um zu verhindern, dass Insider-Bedrohungen Daten gefährden“.

Fernarbeit macht es für Unternehmen nur noch schwieriger, den Überblick darüber zu behalten

Fernarbeit mache es für Unternehmen nur noch schwieriger, den Überblick darüber zu behalten, „wie ihre Benutzer auf Unternehmensdaten zugreifen, sie bearbeiten und verwalten“. Die notgedrungene Nutzung von nicht verwalteten Smartphones, Tablets, Laptops und PCs habe dazu geführt, dass viele Unternehmen die Kontrolle über ihre Daten verloren hätten.

„Sie konnten somit nicht sicherstellen, dass diese Geräte beim Umgang mit sensiblen Daten frei von Malware sind. Darüber hinaus gab es ohne die richtigen Tools keine Möglichkeit sicherzustellen, dass die Daten geschützt sind oder ordnungsgemäß behandelt wurden, sobald sie auf dem nicht verwalteten Gerät ankamen“, berichtet Schless.

Der Einsatz einer CASB-Lösung, welche den Benutzerzugriff und die Dateninteraktion sowohl von verwalteten als auch von nicht verwalteten Geräten überwachen könne, sei der Schlüssel, „um im Zeitalter der Fernarbeit die Datensicherheit zu gewährleisten“.

Sicherheits-Teams der Unternehmen müssen ausscheidende Mitarbeiter aus der Ferne ordnungsgemäß ausgliedern und gesamten Zugang sperren können

Die „Great Resignation“ setze die IT- und Sicherheitsteams aus zwei Gründen noch mehr unter Druck: „Erstens könnte ein Mitarbeiter, der kündigen will, versuchen, Daten zu stehlen – vor allem, wenn er zu einem Konkurrenten wechselt.“ Lookout habe dies im Jahr 2021 mehrfach in verschiedenen Branchen beobachtet, und es sei einer der häufigsten Anwendungsfälle für Insider-Bedrohungen. Zweitens müssten diese Teams die Mitarbeiter aus der Ferne ordnungsgemäß ausgliedern und ihren gesamten Zugang sperren. Außerdem müssten sie sicherstellen, „dass alles, was lokal auf dem Laptop gespeichert war, nicht auf ein persönliches Cloud-Konto oder einen Computer übertragen wurde“.

Im Sicherheitsbereich müsse ein gesundes Gleichgewicht zwischen dem Einsatz von Technologie und dem menschlichen Aspekt der Arbeit bestehen. Einige der erfolgreichsten Sicherheitsteams verließen sich auf „Tools“, um Risiken zu erkennen, „bevor sie auftreten“. Schless erklärt: „Genau dann, wenn ein Ereignis eine Regel auslöst, schalten sie jedoch einen Mitarbeiter ein, der die Situation beobachtet, um sicherzustellen, dass richtig gehandelt wird.“

Ein Beispiel hierfür sei der Schutz vor Datenverlust. Das „Tool“ fange eine sensible, freigegeben oder geänderte Datei ab, protokolliere die Aktion und stelle diese Datei vielleicht sogar unter Quarantäne. „Ein Mitglied des Sicherheitsteams kann dadurch die Situation bewerten, um dafür zu sorgen, dass keine längerfristigen Auswirkungen zu befürchten sind“, so Schless abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 31.03.2020
TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“