Insider-Schutz für jedermann
Der Münchner Online-Vermögensverwalter Scalable Capital musste vor Kurzem einen schwerwiegenden IT-Sicherheitsvorfall einräumen. Jemand hatte sich unrechtmäßig Zugriff auf Kontaktdaten, Ausweiskopien, Steuernummern, Wertpapierabrechnungen und Kontonummern von rund 20.000 Kunden verschafft. Der illegale Zugriff erfolgte dabei aber nicht etwa durch externe Angreifer, sondern aus dem Inneren der Firma. Ans Licht kam er erst durch einen versuchten Identitätsmissbrauch, der sich dem Zugriff zuordnen ließ.
Dieser Vorfall wirft ein Schlaglicht auf ein häufig unterschätztes Phänomen: Cyberattacken durch Innentäter. Die Möglichkeit, dass eigene Mitarbeiter Daten stehlen könnten, ist in unserem öffentlichen Bewusstsein kaum vorhanden. Das liegt vor allem daran, dass Unternehmen Angriffe durch Insider oft gar nicht auffallen; und dass betroffene Unternehmen damit meist nur an die Öffentlichkeit gehen, wenn sie dazu rechtlich verpflichtet sind.
Um derartige Attacken rechtzeitig zu erkennen, bevor Schaden angerichtet werden kann, oder sie vielleicht sogar von vornherein zu verhindern, stehen Unternehmen spezielle Softwarelösungen für das Monitoring der Nutzeraktivitäten zur Verfügung. Diese hatten bis dato allerdings ein großes Manko: Sie erforderten eine umfangreiche Infrastruktur, und zur Modellierung von Verhaltensweisen, die als riskant einzuschätzen sind, brauchte es ein Team von Spezialisten. Deshalb kam eine solche Software bislang praktisch nur in Hochsicherheitsbereichen zum Einsatz.
Unsere neue Lösung Dynamic User Protection ändert das grundlegend. Zum einen steht sie als Cloud-Lösung zur Verfügung, sodass sich Unternehmen keine Gedanken mehr über Infrastruktur machen müssen. Zum anderen ist sie umfassend vorkonfiguriert. Sie enthält „out of the box“ hunderte von vordefinierten riskanten Verhaltensweisen, die wir gemeinsam mit Psychologen ausgearbeitet haben. Damit kann sie von jedem Unternehmen praktisch sofort eingesetzt werden.
Um risikobehaftetes Verhalten zu identifizieren, vergleicht die Software die hinterlegten Verhaltensweisen laufend mit dem tatsächlichen Verhalten der Nutzer. Zudem erstellt sie anonymisiert und damit datenschutzkonform typische Verhaltensmuster und gleicht auch sie kontinuierlich ab. So wird offensichtlich, wenn ein Nutzer auffällig agiert – etwa durch Verhalten, das per se riskant ist, oder durch ein plötzlich verändertes Verhalten.
In solchen Fällen reagiert die Software automatisch und dynamisch. Abhängig von Art und Häufigkeit der Ungereimtheiten leitet sie unterschiedliche, gestaffelte Maßnahmen ein. Das kann damit beginnen, dass ein Nutzer zwar weiterhin Daten auf einen USB-Stick kopieren kann, diese aber verschlüsselt werden; damit weitergehen, dass er keine Daten mehr im Homeoffice auf seinem privaten Drucker ausdrucken kann; und mit dem Entzug sämtlicher Rechte enden.
Die Technik ist aber nur die halbe Miete. Unserer Erfahrung nach werden interne Attacken vor allem von Mitarbeitern verübt, die in privaten Problemen wie etwa Spielschulden stecken oder die Schwierigkeiten mit ihren Vorgesetzten haben. Diese beiden Fälle decken viele Insider-Angriffe ab. Deshalb ist auch Achtsamkeit im Umgang mit den Mitarbeitern gefragt. Beginnt ein Kollege, sich seltsam zu verhalten, oder benötigt er Hilfe, sollte auf ihn eingegangen werden. Das ist oft die beste Prävention.
Wie unsere neue Lösung das User Activity Monitoring „demokratisiert“, beleuchtet auch ein Blogbeitrag von Ravi Srinivasan, Vice President of Solution and Platform Marketing bei Forcepoint.