Cyberattacken durch anonyme Angreifer von außen sind bei weitem nicht die einzige Gefahr, mit denen Unternehmen konfrontiert sind. Viel zu häufig wird das Risiko unterschätzt, das von Fachkräftemangel, Insiderbedrohungen und Homeoffice-Szenarien ausgeht.

Insider-Bedrohungen waren schon immer ein Problem. Angesichts der raschen Ausweitung der Unternehmensinfrastruktur und der zunehmenden Abhängigkeit von der Cloud wird das Problem nur noch komplexer. In der Vergangenheit kamen herkömmliche Data Loss Prevention (DLP)-Lösungen an einem definierten Sicherheitsperimeter zum Einsatz und überwachten den gesamten ein- und ausgehenden Datenverkehr.

Die Schwierigkeit besteht darin, dass diese Tools keinen Einblick in die Interaktion der Benutzer mit den Daten innerhalb dieses Bereichs haben. Wenn also ein Benutzer eine Datei lokal herunterlädt oder bestimmte Änderungen vornimmt, wird das Sicherheitsteam möglicherweise nicht alarmiert. Einige Unternehmen haben Lösungen zur Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) implementiert, die Änderungen auf Dateiebene überwachen. Es gab aber auch Möglichkeiten, dies zu umgehen.

Die Cloud hat uns zwar enorme Fortschritte bei der Zusammenarbeit, der Skalierbarkeit und dem Datenzugriff von jedem Ort aus ermöglicht, sie hat aber auch mehr Risiken mit sich gebracht. Insider haben oft Zugriff auf weit mehr Ressourcen, als sie eigentlich für ihre Arbeit benötigen. Angreifer haben sich daher zuletzt auf das Phishing von Zugangsdaten der Mitarbeiter konzentriert, um ihre Angriffe zu starten. Ein umfassender Zugriff auf die Infrastruktur bedeutet auch, dass ein verärgerter, abtrünniger Mitarbeiter große Probleme für das Unternehmen verursachen kann.

Moderne DLP-Lösungen sind in der Lage, die Datennutzung zu überwachen, unabhängig davon, wo sich die Daten in der Infrastruktur befinden und ob sie im Ruhezustand oder in Bewegung sind. Die Kombination mit User and Entity Behaviour Analytics (UEBA) als Teil einer größeren Cloud Access Security Broker (CASB)-Lösung ist der beste Weg, um zu verhindern, dass Insider-Bedrohungen Daten gefährden.

Fernarbeit macht es für Unternehmen nur noch schwieriger, den Überblick darüber zu behalten, wie ihre Benutzer auf Unternehmensdaten zugreifen, sie bearbeiten und verwalten. Die notgedrungene Nutzung von nicht verwalteten Smartphones, Tablets, Laptops und PCs führte dazu, dass viele Unternehmen die Kontrolle über ihre Daten verloren haben.

Sie konnten somit nicht sicherstellen, dass diese Geräte beim Umgang mit sensiblen Daten frei von Malware sind. Darüber hinaus gab es ohne die richtigen Tools keine Möglichkeit sicherzustellen, dass die Daten geschützt sind oder ordnungsgemäß behandelt wurden, sobald sie auf dem nicht verwalteten Gerät ankamen.

Der Einsatz einer CASB-Lösung, die den Benutzerzugriff und die Dateninteraktion sowohl von verwalteten als auch von nicht verwalteten Geräten überwachen kann, ist der Schlüssel, um im Zeitalter der Fernarbeit die Datensicherheit zu gewährleisten. Die Great Resignation setzt die IT- und Sicherheitsteams aus zwei Gründen noch mehr unter Druck:

  • Erstens könnte ein Mitarbeiter, der kündigen will, versuchen, Daten zu stehlen – vor allem, wenn er zu einem Konkurrenten wechselt.
    Lookout hat dies im Jahr 2021 mehrfach in verschiedenen Branchen beobachtet, und es ist einer der häufigsten Anwendungsfälle für Insider-Bedrohungen.
  • Zweitens müssen diese Teams die Mitarbeiter aus der Ferne ordnungsgemäß ausgliedern und ihren gesamten Zugang sperren. Außerdem müssen sie sicherstellen, dass alles, was lokal auf dem Laptop gespeichert war, nicht auf ein persönliches Cloud-Konto oder einen Computer übertragen wurde.

Im Sicherheitsbereich muss ein gesundes Gleichgewicht zwischen dem Einsatz von Technologie und dem menschlichen Aspekt der Arbeit bestehen. Einige der erfolgreichsten Sicherheitsteams verlassen sich auf Tools, um Risiken zu erkennen, bevor sie auftreten. Genau dann, wenn ein Ereignis eine Regel auslöst, schalten sie jedoch einen Mitarbeiter ein, der die Situation beobachtet, um sicherzustellen, dass richtig gehandelt wird.

Ein Beispiel hierfür ist der Schutz vor Datenverlust. Das Tool fängt eine sensible Datei ab, die freigegeben oder geändert wurde, protokolliert die Aktion und stellt die Datei vielleicht sogar unter Quarantäne. Ein Mitglied des Sicherheitsteams kann dadurch die Situation bewerten, um dafür zu, dass keine längerfristigen Auswirkungen zu befürchten sind.

Hendrik Schless ist Senior Manager of Security Solutions bei Lookout.

Lookout