Andrey Popov - stock.adobe.com
Tipps zur Vermeidung von Datendiebstahl durch Mitarbeiter
Wie schafft man ein Gleichgewicht zwischen dem Vertrauen in die Mitarbeiter und der Sicherheit seiner Daten und seines geistigen Eigentums? Die folgenden Tipps helfen dabei.
Datendiebstahl durch die eigenen Mitarbeiter ist ein heikles Thema, schließlich möchte man im Unternehmen eine Atmosphäre des Vertrauens schaffen und nicht allen Mitarbeitern mit Misstrauen begegnen und nicht sie und ihre Arbeitsleistung permanent überwachen. Und dennoch ist diese spezielle Form der Insider-Bedrohung leider Realität. So kopierte ein Tesla-Mitarbeiter 300.000 – für Konkurrenten – wertvolle Dateien mit Autopilot-Code, um diese bei seinem neuen Job bei einem chinesischen Hersteller von selbstfahrenden Autos „einzubringen“.
Was macht nun den Datendiebstahl durch die eigenen Mitarbeiter zu einer Herausforderung? Neben den sozialen und (arbeits-)rechtlichen Themen ist dies vor allem die Tatsache, dass sich in diesem Fall der „Angreifer“ bereits im Unternehmensnetzwerk befindet. Er hat Zugang zu vertraulichen Daten, die für andere Unternehmen überaus wertvoll sind. Diese reichen von geistigem Eigentum wie proprietären Quellcode oder Produktionszeichnungen bis hin zu Listen mit Verkaufskontakten oder Lieferanten.
Die Herausforderung für Unternehmen besteht darin, die Grenze zwischen Produktivität und Sicherheit zu finden. Es gilt ein Gleichgewicht zwischen dem Vertrauen in die Mitarbeiter, dem Schutz der Daten und des geistigen Eigentums zu finden. Wir sind darauf ausgelegt, einander zu vertrauen und arbeiten dann am besten, wenn Vertrauen in uns gesetzt wird. Gleichzeitig macht uns dies anfällig für Insider mit bösen Absichten: Fehlende Kontrollen können im digitalen Zeitalter schnell zu Datenschutzverletzungen und Datendiebstahl durch Mitarbeiter führen.
Mit Hilfe dieser sieben Tipps können Unternehmen die nötige Balance finden, um Datendiebstahl zu verhindern, ohne ihre Mitarbeiter unter Generalverdacht zu stellen.
1. Erkennen Sie, welche Daten geschützt werden müssen
Die Grundlage sämtlicher Schutzmaßnahmen (auch gegen externe Angreifer) besteht in der Identifizierung der wertvollsten Daten. Hierzu müssen die Daten entsprechend bestimmter Richtlinien identifiziert und klassifiziert werden, um darauf basierend die Datensicherheitsstrategie zu priorisieren.
Definieren Sie präzise, welche Dateien Compliance-Anforderungen unterliegen und welches geistige Eigentum klassifiziert werden muss. Beachten Sie, dass Unternehmen heutzutage grundsätzlich verpflichtet sind, Daten zu klassifizieren.
Automatisieren Sie die Erkennung Ihrer kritischen Daten in Ihren gesamten Unternehmensdatenspeichern.
Implementieren Sie manuelle Klassifizierungsmöglichkeiten, so dass Benutzer Schutzvorkehrungen etwa auf geistiges Eigentum initiieren können.
2. Legen Sie fest, wer Zugang zu diesen Informationen haben soll
Sobald man die Daten kategorisiert hat, muss man entscheiden, wer Zugang zu ihnen erhalten soll. Vermeiden Sie hierbei unbedingt Kategorien wie „Jeder“ oder „Authentifizierte Nutzer“. Das Risiko für Datenverstöße und Datendiebstähle nimmt – ganz logisch – mit der Anzahl der Personen zu, die auf Daten zugreifen können. Entsprechend sollte man ein Least-Privilege-Modell umsetzen. Dies besagt, dass nur diejenigen Zugriff auf Daten erhalten, die ihn auch wirklich für ihre Arbeit benötigen.
In der Realität ufern diese Zugriffsrechte jedoch im Laufe der Zeit aus: Mitarbeiter wechseln die Position oder sind in abteilungsübergreifende Projekte involviert. Leider wird in den seltensten Fällen regelmäßig überprüft, ob die entsprechend gewährten Berechtigungen überhaupt noch erforderlich sind. Infolgedessen sind Unternehmen dem Datendiebstahl durch Mitarbeiter viel stärker ausgesetzt, als ihnen bewusst ist.
Die meisten Unternehmen beginnen oftmals damit, den globalen Zugang und die Probleme vererbter Zugriffsrechte zu regeln, bevor sie den Zugang zu Daten nach dem „need-to-know“-Prinzip einschränken. Allerdings ist die Eliminierung des globalen Zugriffs nicht so trivial wie es zunächst erscheint.
Ohne entsprechenden Audit Trail der Datenzugriffsereignisse könnten dabei auch benötigte Zugriffsrechte für Personen oder auch Anwendungen versehentlich entzogen werden. Deshalb ist es sinnvoll zu überprüfen, wer auf Daten zugreifen kann beziehungsweise wer auf geschäftliche Daten tatsächlich zugreift. Auf dieser Grundlage können dann Änderungen in den Benutzerverzeichnissen und die Zugehörigkeit zu erstellten Sicherheitsgruppen sicher automatisiert werden.
Sind diese „Altlasten“ beseitigt, kann man sich der Fragestellung widmen, wer zukünftig Zugriff auf welche Dateien haben sollte. Dabei empfiehlt es sich, Datenverantwortliche einzubeziehen, die typischerweise in den jeweiligen Abteilungen verortet sind und über ein genaues Wissen über die Mitarbeiter und die entsprechenden Anforderungen verfügen. Auf diese Weise wird dauerhaft verhindert, dass sich die eben erst beschränkten Zugriffsrechte erneut verselbstständigen.
3. Erstellen Sie eine Richtlinie
Erstellen Sie eine Datensicherheitsrichtlinie, die auf einem der etablierten Regelwerke wie dem Data Security Governance Framework von Gartner oder dem NIST-Rahmenwerk basiert. Diese beinhalten bewährte Verfahren, die Sie als Grundlage zur Erstellung einer eigenen Richtlinie, angepasst an Ihre konkreten Anforderungen, nutzen können und dafür sorgt, dass Risiko und Produktivität ausbalanciert werden.
4. Nutzen Sie Sicherheitsanalysen und kontrollieren Sie das Nutzerverhalten
Die Überwachung der Datensicherheit und Verhaltensanalysen können dabei helfen, mögliche Verletzungen der Sicherheitsrichtlinien zu identifizieren, bevor sie zu Datenvorfällen oder Datendiebstählen werden. Überwachen Sie insbesondere die Benutzeraktivitäten auf Abweichungen von ihrem normalen Verhalten, etwa wenn ein Benutzer plötzlich beginnt, Daten zu horten, oder Daten öffnet, auf die er normalerweise nicht zugreift.
Nicht jeder Verstoß gegen die Datensicherheitsrichtlinien deutet jedoch gleich auf einen Datendiebstahl hin. Ihre Mitarbeiter geben in den meisten Fällen ihr Bestes und sind keine böswilligen Insider, Datendiebstahl durch Mitarbeiter ist die Ausnahme. Entsprechend kann die Datenanalyse nur aufzeigen, dass sich die Verhaltensmuster eines Benutzers geändert haben und sind nicht wie oft irrtümlich angenommen dazu geeignet die Produktivität eines Nutzers zu bewerten.
Es bleibt die Aufgabe der Sicherheitsverantwortlichen, bei einem Verdacht auf Datenverlust weitere Untersuchungen einzuleiten. Hier spielt auch der Kontext eine entscheidende Rolle. Je mehr Informationen aus unterschiedlichen Quellen miteinander in Bezug gesetzt werden können, desto klarer wird das Bild der Situation.
Wenn beispielsweise ein Mitarbeiter zu einer unüblichen Zeit von einem unüblichen Ort auf Ressourcen zugreift, kann dies ein Hinweis auf illegitime Aktivitäten sein. Es kann aber auch plausible Gründe hierfür geben. Werden dann jedoch massenweise Dateien kopiert, sollten die Alarmglocken läuten und entsprechende Maßnahmen eingeleitet werden.
„Die Herausforderung für Unternehmen besteht darin, die Grenze zwischen Produktivität und Sicherheit zu finden.“
Michael Scheffler, Varonis Systems
5. Implementieren Sie Watchlists
Legen Sie Kriterien fest, um (auffällige) Benutzer zu einer Beobachtungsliste hinzuzufügen, die Ihnen dann eine zusätzliche Überwachung ermöglicht. Scheidet zum Beispiel ein Mitarbeiter in Kürze aus dem Unternehmen aus, sollte man diesen im Rahmen der Sicherheitsanalyse einer Watchlist hinzufügen, um Exfiltrationsversuche frühzeitig zu erkennen.
6. Sensibilisieren Sie Ihre Mitarbeiter für das Sicherheitsprotokoll
Schulen Sie Ihre Mitarbeiter bei Eintritt in das Unternehmen über die Datensicherheitspolitik und führen Sie regelmäßige Auffrischungen durch. Hierdurch werden die Mitarbeiter für die weitreichenden Folgen fahrlässigen Umgangs oder auch gezielter Aktivitäten sensibilisiert. Weisen Sie auf die möglichen wirtschaftlichen Konsequenzen für das Unternehmen hin: Letztlich geht es um jeden einzelnen Arbeitsplatz. Deshalb kommt es auch auf die Mitarbeiter selbst an, erste Warnsignale zu erkennen und weiterzugeben, damit diese vom Sicherheitsteam untersucht werden können.
7. Erstellen Sie einen Aktionsplan für den Fall eines Datendiebstahls
Implementieren Sie einen Ablaufplan und einen Prozess, der diesen Plan in Kraft setzt, wenn Sie den Datendiebstahl durch Mitarbeiter entdecken. Dieser umfassende Plan muss neben dem Cybersicherheitsteam auch alle potenziellen Interessenvertreter wie HR und die Rechtsabteilung einbeziehen. Verfügen Sie bereits über einen Vorfallreaktionsplan, stellen Sie sicher, dass er auch im Falle eines Insider-Vergehens greift.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
