Wie man gemäss Infoguard "den Wolf im Businesshemd" erkennt
Wer sich vor Cyberbedrohungen schützen will, blickt in der Regel über seine Festungsmauern nach draussen. Aber nicht alle Gefahren drohen von ausserhalb – manche lauern im eigenen Netzwerk. Wie man mit diesen umgeht, sagt Stefan Rothenbühler, Principal Cyber Security Analyst bei Infoguard.
Was macht Insider Threats zu einer so grossen Bedrohung?
Stefan Rothenbühler: Mitarbeitende kennen die internen Systeme und Prozesse und verfügen über erforderliche Zugriffsrechte auf Daten. Das erleichtert den unbemerkten Zugriff auf sensible Dokumente oder mögliche Sabotagen. Oft erstreckt sich der Zugriff im Gegensatz zu vielen externen Angriffen über längere Zeit, was die Detektion erschwert. Durch Insider Threats drohen hohe finanzielle und Reputationsschäden.
Wie gross ist das Risiko für Schweizer Unternehmen?
Im internationalen Vergleich sind Schweizer Mitarbeitende tendenziell besser entlohnt und loyaler gegenüber dem Arbeitgeber. Allerdings beheimatet die Schweiz viele multinationale Unternehmen und agiert in sensiblen Geschäftsfeldern wie der Finanzbranche. Andere Motive ausser den finanziellen sind etwa Rache, Neugier oder mangelndes Sicherheitsbewusstsein.
Wie unterscheidet man beabsichtigte von unbeabsichtigten Vorfällen? Packt man beide Fälle gleich an?
Während bei beabsichtigten Vorfällen die Zugriffskontrolle und -überwachung im Vordergrund stehen, können unbeabsichtigte Verstösse vor allem durch Schulungen zur Sensibilisierung der Mitarbeitenden reduziert werden. Bei der Sanktionierung sollte bedacht werden, dass unbeabsichtigte Vorfälle zu absichtlichem Verhalten umschlagen kann, wenn Mitarbeitende darin Vorteile sehen.
Wie erkennt man den Wolf im Schafspelz beziehungsweise im Businesshemd?
Eine offene Kommunikationskultur und ein konstruktiver Umgang mit Fehlern können bei der Erkennung von Insider Threats helfen. Verhaltensänderungen wie vermehrte Geheimhaltung, übertriebenes Engagement oder plötzliche Leistungsschwankungen können Warnsignale sein. Bei gehäuften Auffälligkeiten sollte man gemeinsam mit der Personalabteilung das Gespräch suchen.
Wie können Channelpartner ihre Kunden dabei unterstützen und sie vor Insider Threats schützen?
Externe Partner können bei der Prävention, Detektion und Reaktion Unterstützung bieten. Das umfasst etwa die Unterstützung bei Sensibilisierungsschulungen, Beratungen im Umgang mit Insider Threats oder die Implementierung von Sicherheitslösungen und -konzepten wie Data Loss Prevention, Tools zur Benutzerverhaltensanalyse, Privileged Identity Management und Zero-Trust-Ansätze. Es kann zudem hilfreich sein, diese Vorfälle durch einen externen Partner forensisch aufarbeiten zu lassen – sowohl wegen seiner Unvoreingenommenheit als auch, um gerichtsverwertbare Ermittlungsresultate für arbeitsrechtliche Sanktionierungen zu erhalten.
Die Antworten der weiteren Teilnehmenden des Podiums
- Christopher Cantieni, Infinigate: "Das Wichtigste ist, Awareness zu schaffen."
- Marco Eggerling, Check Point: "Ein 'silver bullet' kann jedoch keine Technologie allein liefern."
- Patrick Michel, Boll Engineering: "Mitarbeitende haben per se einen ‘Pre-Trust’ und Zugriff auf schützenswerte Daten. Dies öffnet dem Missbrauch Tür und Tor."
- Cornelia Lehle, G Data: "Jährlich wird wohl jedes zehnte Unternehmen von eigenen Mitarbeitenden betrogen - absichtlich oder unabsichtlich."
- Michael Schröder, Eset: "Insider Threats verursachen nicht nur finanzielle Verluste, sondern auch erhebliche Reputations- und Vertrauensschäden."
- Michael Unterschweiger, Trend Micro: "Gegen böswillige Insider helfen vor allem ein Rechtemanagement nach dem Least-Access-Prinzip und DLP."
- Gregor Wegberg, Oneconsult: "Eine vertrauens- und respektvolle Unternehmenskultur ist wichtiger, als viele wahrhaben möchten."