So gefährden Insider Threats die Unternehmenssicherheit
Mit einem Virenschutz ist es bei der IT-Sicherheit nicht getan. Die grösste Sicherheitslücke für die IT ist heutzutage der Mensch. Für die Einhaltung der Sicherheit ist es ratsam, eine Mischung aus Vorbeugung, Ritualen und der Aufmerksamkeit gegenüber Veränderungen walten zu lassen.
Ein Mensch besteht heutzutage aus einigen tausend Datenpunkten, die im Internet verstreut sind. Diese miteinander vereint geben ein sehr gutes Bild unserer Persönlichkeit ab. Bezahlsysteme, Wearables, Aktivitäten auf Internetplattformen gehören genauso dazu wie unsere Geschäftstätigkeiten. Dies führt dazu, dass die grösste Sicherheitslücke der Unternehmen der Mensch geworden ist. Eine Grosszahl der entstandenen Schäden in Firmen geht nicht zulasten von fehlenden Sicherheitsvorkehrungen auf der technologischen Seite, sondern beziehen sich auf Unfälle durch persönliche Aktivitäten.
Wo entstehen die Gefahren?
Dabei scheinen die Gefahren auf den ersten Blick harmlos:
Threat 1: Mitarbeiter fokussieren sich auf ihre tägliche Arbeitslast. Dabei fühlen sie sich durch die Firmen-IT gesichert und sehen ihre eigene Rolle in der Unternehmenssicherheit oft nicht.
Threat 2: Vertrauen in bekannte Absender. Unser Vertrauen wird bei den meisten «Insider Threat»-Attacken ausgenutzt. Die Angriffe werden hochgradig individualisiert und arbeiten mit bekannten Absenderadressen. Einige Angreifer melden sich sogar per Telefon und weisen auf ihre E-Mails hin, etwa wenn sie mit einer Rechnungsnummer getarnt sind.
Threat 3: Vernetztes Arbeiten. Bei Angriffen auf Unternehmen ist der Mitarbeiter nur Mittel zum Zweck, je besser dieser vernetzt ist, egal ob über gute Kontakte oder eine vielseitig technische Anbindung, desto gefährlicher ist er.
Threat 4: Die Familie. Nach dem Feierabend ist noch lange nicht Schluss mit der Sicherheit. Unsere Devices stehen oft allen Familienmitgliedern zur Verfügung. Angreifer machen sich dieses Wissen zunutze und verstecken sich auch mal auf Kinder-Websites oder hinter Shopping-Anbietern.
Threat 5: Passwörter sind ein nerviger Störfaktor. Gut einprägsam, nicht zu kompliziert zu schreiben, mit persönlichem Bezug – so stellt sich der Nutzer sein Passwort vor. Gerade diese Vorstellung führt dazu, dass in den Hitlisten weltweit immer noch Passwörter wie «Schalke04» oder «Sandra» unter den 10 beliebtesten zu finden sind.
SecOps – eine valide Lösung?
Viele Unternehmen versuchen inzwischen den Faktor «Mensch» – sogenannte Insider Threats – durch ein hohes Mass an Technologie zu entkräften. Es werden Programme zum vermeintlichen Schutz installiert, Verbote erstellt und Prozesse durch Sicherheitsschlaufen erweitert. Dies führt zu Überregulierung und fehlender Flexibilität der Unternehmen und damit zu einer Abschwächung ihrer Marktfähigkeit.
Sicherheit kann also nicht mehr rein auf der technologischen Basis definiert werden. Einflüsse aus der Führung von Mitarbeitern, der Automatisierung von Prozessen und der Transparenz innerhalb der Unternehmensstrukturen haben eine bedeutende Rolle gewonnen.
Dies verlangt bereits von mittelgrossen Unternehmen enorme Anstrengungen, um ihre Sicherheit aufrechtzuerhalten. Daten müssen kategorisiert werden, und entsprechend ihrer Einstufung sollte die Datenhaltung und der Datenfluss angepasst werden. Dies nicht zuletzt auch, um den zahlreichen rechtlichen Anforderungen, wie etwa der EU-Datenschutz-Grundverordnung, zu entsprechen. Ein guter Weg ist es darum, Security in das operationelle Arbeiten zu integrieren oder sogar als Managed Service in Erwägung zu ziehen.
Wie vorgehen?
Wie bei der Sicherheit und der Gesundheit eines Menschen, ist es auch bei der Unternehmenssicherheit ratsam, eine gute Mischung aus Vorbeugung, gesunden Ritualen, der Aufmerksamkeit gegenüber Veränderungen und dem Handeln im Ernstfall anzuwenden. Achten Sie als Unternehmen darauf, dass Sie Ihre Massnahmen einem kontinuierlichen Anpassungsprozess unterziehen, dass Sie mit den richtigen Partnerschaften Ihr Wissen und Ihre Technik stets auf dem neuesten Stand halten und Ihre Mitarbeiter gut geschult sind.