Mit granularem Rechtemanagement gegen Bedrohungen von innen
Wer sich vor Cyberbedrohungen schützen will, blickt in der Regel über seine Festungsmauern nach draussen. Aber nicht alle Gefahren drohen von ausserhalb – manche lauern im eigenen Netzwerk. Wie man mit diesen umgeht, sagt Michael Unterschweiger, Regional Director ALPS bei Trend Micro.
Was macht Insider Threats zu einer so grossen Bedrohung?
Michael Unterschweiger: Unternehmen rechnen vor allem mit Cyberbedrohungen von aussen und richten ihre Sicherheitssysteme entsprechend aus. Nach innen sind Analyse- und Erkennungsfähigkeiten hingegen häufig nur eingeschränkt - oder gar nicht - vorhanden. Das führt dazu, dass Insider-Bedrohungen lange unerkannt bleiben und grosse Schäden anrichten können.
Wie gross ist das Risiko für Schweizer Unternehmen?
Das Risiko für Insider-Bedrohungen ist dort besonders hoch, wo grosse Geldbeträge verwaltet oder sensible Informationen wie Zahlungsdaten oder geistiges Eigentum vorhanden sind – also vor allem im Finanzwesen, der Dienstleistungsbranche, dem Detailhandel und dem produzierenden Gewerbe. Gerade diese Branchen machen einen nicht unerheblichen Teil der Schweizer Wirtschaft aus.
Wie unterscheidet man beabsichtigte von unbeabsichtigten Vorfällen? Packt man beide Fälle gleich an?
Gegen böswillige Insider - also beabsichtigte Vorfälle - helfen vor allem ein granulares Rechtemanagement nach dem Least-Access-Prinzip sowie Lösungen wie Data Loss Prevention und Detection & Response. Die unbeabsichtigten Fälle sind noch einmal zu unterscheiden in solche, die wirklich zufällig geschehen - etwa, weil die Mitarbeitenden durch Betrüger überlistet werden - und solchen, bei denen negative Konsequenzen billigend in Kauf genommen werden, weil nachlässige Mitarbeitende vorhandene Policies bewusst ignorieren. Letztere sind besonders schadensträchtig. Während bei Ersteren mit Awareness-Trainings nachgeholfen werden kann, sind bei nachlässigen Insidern vor allem konsequent durchgesetzte Security-Policies notwendig - etwa Update- und Patchmanagement, Credential-Management oder DLP-Regeln.
Wie erkennt man den Wolf im Schafspelz beziehungsweise im Businesshemd?
Bei der Erkennung von nachlässigen Insidern können Angriffs- und Phishing-Simulationen ebenso helfen wie Daten aus einer DLP-Lösung. Geht es um böswillige Insider sind besonders Lösungen für Detection & Response gefragt, um ungewöhnliche Dateizugriffe, Netzwerk-Traffic etc. zu erkennen.
Wie können Channelpartner ihre Kunden dabei unterstützen und sie vor Insider Threats schützen?
Abgesehen vom Ausrollen und der korrekten Konfiguration der genannten Lösungen sind Partner auch als Berater gefragt. Um Bedrohungen von innen und aussen zukünftig wirkungsvoll zu begegnen, werden sich immer mehr Unternehmen für eine Zero-Trust-Strategie entscheiden. Bei deren Planung und Umsetzung benötigen sie Unterstützung.
Die Antworten der weiteren Teilnehmenden des Podiums
- Christopher Cantieni, Infinigate: "Das Wichtigste ist, Awareness zu schaffen."
- Marco Eggerling, Check Point: "Ein 'silver bullet' kann jedoch keine Technologie allein liefern."
- Patrick Michel, Boll Engineering: "Mitarbeitende haben per se einen ‘Pre-Trust’ und Zugriff auf schützenswerte Daten. Dies öffnet dem Missbrauch Tür und Tor."
- Cornelia Lehle, G Data: "Jährlich wird wohl jedes zehnte Unternehmen von eigenen Mitarbeitenden betrogen - absichtlich oder unabsichtlich."
- Stefan Rothenbühler, Infoguard: "Oft erstreckt sich der Zugriff im Gegensatz zu vielen externen Angriffen über längere Zeit, was die Detektion erschwert."
- Michael Schröder, Eset: "Insider Threats verursachen nicht nur finanzielle Verluste, sondern auch erhebliche Reputations- und Vertrauensschäden."
- Gregor Wegberg, Oneconsult: "Eine vertrauens- und respektvolle Unternehmenskultur ist wichtiger, als viele wahrhaben möchten."