Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

7 Tipps zur Vermeidung von Datendiebstahl durch Mitarbeiter

Geschrieben von Adrien Rahmati-Georges | Jun 7, 2021 5:54:00 AM

Datendiebstahl durch Mitarbeiter ist in modernen Unternehmen ein ernstzunehmendes Problem. Lesen Sie weiter, um mehr darüber zu erfahren, wie Sie Ihr Unternehmen vor böswilligen Insidern schützen können. Datendiebstahl durch Mitarbeiter ist eine spezifische Insider-Bedrohung, bei der ein böswilliger Insider Daten von dem Unternehmen stiehlt, bei dem er oder sie beschäftigt ist, um sich einen finanziellen Gewinn bzw. einen Vorteil für ein Konkurrenzunternehmen zu verschaffen. Der Vorfall bei Tesla ist ein perfektes Beispiel für Datendiebstahl durch Mitarbeiter. Ein Tesla-Mitarbeiter kopierte 300.000 Dateien des Autopilot-Codes, während er sich darauf vorbereitete, eine neue Stelle bei einem konkurrierenden chinesischen Hersteller selbstfahrender Autos anzunehmen.

Warum ist Datendiebstahl durch Mitarbeiter ein Problem?

Man kennt das Motiv aus Horrorfilmen: „Der Anruf kommt aus unserem Haus!“ So ist auch der Datendiebstahl durch Mitarbeiter. Die böswilligen Akteure befinden sich bereits in Ihrem Netzwerk und haben Zugriff auf geistiges Eigentum (IP, Intellectual Property), das für andere Unternehmen wertvoll sein kann. Dabei kann es sich um beliebige Informationen handeln: von der Vertriebskontaktliste bis hin zu tausenden Zeilen von proprietärem Quellcode. Die Herausforderung für Unternehmen besteht darin, die Balance zwischen Produktivität und Sicherheit zu halten. Wie halten Sie das Vertrauen zu Ihren Mitarbeitern und die Sicherheit Ihrer Daten und Ihres geistigen Eigentums miteinander im Gleichgewicht? Menschen haben ein natürliches Bedürfnis nach Vertrauen, und wir arbeiten am besten, wenn wir das Gefühl haben, dass unser Unternehmen uns vertraut. Das jedoch macht uns anfällig für einige wenige böswillige Akteure. Und im digitalen Zeitalter können zu laxe Sicherheitskontrollen zu Datenlecks und Datendiebstahl durch Mitarbeiter führen.

Böswillige Absichten oder Datenmissbrauch

Es ist wichtig, zwischen böswilliger Absicht und Datenmissbrauch zu unterscheiden. Datenmissbrauch impliziert unbeabsichtigte Konsequenzen aus schlechten Datenverarbeitungsprozessen, während böswillige Absichten einen gewissen Vorsatz umfassen.

Beispiel für Datendiebstahl in böswilliger Absicht

Es lässt sich darüber streiten, ob Edward Snowden böswillig gehandelt oder nicht. Sein Diebstahl geheimer Regierungsdokumente war jedoch zweifellos vorsätzlich.

Beispiel für Datendiebstahl aufgrund von Datenmissbrauch

Der „God Mode“-Vorfall bei Uber ist ein hervorragendes Beispiel für Datenmissbrauch. Dabei benutzten Mitarbeiter von Uber interne Tools, um Prominente oder andere wichtige Personen auf ihren Uber-Fahrten zu verfolgen. Die Mitarbeiter profitierten nicht vom Datenmissbrauch, aber sie haben die Privatsphäre ihrer Kunden verletzt und wurden vom Staat New York mit einer Geldstrafe von 20.000 Dollar belegt.

Schutz vor Datendiebstahl durch Mitarbeiter

Was sind also die Best Practices, um Datendiebstahl durch Mitarbeiter zu verhindern? Und wie bringen Sie Produktivität und Sicherheit miteinander in Einklang? Werfen wir einen näheren Blick auf dieses Problem.

1. Ermitteln Sie, welche Daten geschützt werden müssen

Zunächst müssen Sie wissen, wo Ihre allerwichtigsten Daten sind, und eine Datenklassifizierungsrichtlinie erstellen. Mit dieser können die Daten genau identifiziert und kategorisiert werden, damit Sie Ihre Datensicherheitsstrategie priorisieren können.

  • Legen Sie klar fest, welche Compliance-Vorschriften und welches geistige Eigentum klassifiziert werden müssen.
  • Automatisieren Sie die Erkennung Ihrer kritischen Daten in Ihren Unternehmensdatenspeichern.
  • Implementieren Sie manuelle Klassifizierungsfunktionen, sodass Benutzer Schutzmaßnahmen auf geistiges Eigentum anwenden können.

2. Entscheiden Sie, wer Zugang zu diesen Informationen haben soll

Sobald Sie ermittelt haben, welche Ihrer Daten wirklich wichtig sind, müssen Sie festlegen, wer Zugang zu diesen Daten haben muss. Profi-Tipp: Es sind auf jeden Fall nicht „Alle“ oder „Authentifizierte Benutzer“. Eine wichtige Risikoquelle für Datendiebstahl durch Mitarbeiter sind Benutzer, die irrtümlicherweise Zugang zu Daten haben, den sie nicht haben sollten. Laut dem Prinzip der notwendigsten Berechtigungen erhalten Benutzer nur Zugriff auf diejenigen Daten, die sie für ihre Arbeit benötigen. Aber wir alle wissen, dass die Leute mit der Zeit mehr Zugang erhalten, wenn sie ihre Positionen wechseln und an verschiedenen Projekten arbeiten, die sich über mehrere Abteilungen erstrecken. Selten nimmt sich jemand die Zeit und überprüft, ob alte Berechtigungen noch benötigt werden. Infolgedessen besteht für Unternehmen ein deutlich höheres Risiko für Datendiebstahl durch Mitarbeiter, als ihnen bewusst ist. Die meisten Unternehmen fangen damit an, Probleme im Zusammenhang mit globalem Zugriff und defekten Vererbungsstrukturen zu beheben, bevor sie den Zugriff auf erforderliche Daten beschränken. Die Aufhebung des globalen Zugangs ist nicht trivial. Ohne einen umfassenden Audit Trail der Datenzugriffsereignisse kann es vorkommen, dass geschäftskritischen Mitarbeitern (oder Anwendungen) versehentlich der Zugriff entzogen wird. Varonis ordnet zu, wer auf Daten zugreifen kann und wer tatsächlich auf sie zugreift, und zeigt so, wo Benutzer zu viel Zugriff haben. Dadurch können Sie Änderungen an Access Control Lists und Sicherheitsgruppen risikofrei automatisieren. Varonis ist in der Lage, Probleme mit defekter Vererbung und globalem Zugriff automatisch zu beheben und neue Einzweck-Zugriffsgruppen mit den aktiven Benutzern dieser Daten hinzuzufügen, und zwar wesentlich schneller als ein Team das manuell tun könnte. Nachdem dieses Monster besiegt ist, müssen Sie herausfinden, wer Zugriff auf die Daten haben sollte, und ein System einrichten, das sowohl den Zugriff als auch den Audit-Zugriff einschränkt, um Ihr schönes System der notwendigsten Berechtigungen aufrechtzuerhalten. Für diese Aufgabe müssen regelmäßige Nutzer dieser Daten einbezogen und gefragt werden, wer Zugang zu den Daten benötigt. Das ist auch eine gute Gelegenheit, ein System zu implementieren, das Datenzugriffsanforderungen automatisiert und prüft, so dass Sie das Prinzip der notwendigsten Berechtigungen einfach beibehalten können.

3. Erstellen Sie eine Richtlinie

Erstellen Sie eine Datensicherheitsrichtlinie, die auf einem der etablierten Frameworks wie dem Data Security Governance Framework von Gartner oder dem NIST-Framework basiert. Diese Frameworks skizzieren bewährte Verfahren für die Datensicherheit, mit denen Sie die Richtlinie für Ihre Organisation anpassen können. Erstellen Sie eine umfassende Richtlinie, die die geschäftlichen Anforderungen an die Datensicherheitsrichtlinie festlegt und zeigt, wie Risiken und Produktivität ausgeglichen werden können. 

4. Wenden Sie Sicherheitsanalysen an und überwachen Sie das Verhalten

Die Überwachung der Datensicherheit und Analyse des Verhaltens können dazu beitragen, potenzielle Verstöße gegen die Datenschutzrichtlinien zu erkennen, bevor bei einem Vorfall Daten durch einen Mitarbeiter gestohlen werden. Überwachen Sie insbesondere die Benutzeraktivität auf Abweichungen von ihrem normalen Datennutzungsverhalten. Auffällig ist es beispielsweise, wenn ein Benutzer beginnt, Daten zu horten, oder auf Daten zugreift, auf die er normalerweise nicht zugreift. Achten Sie darauf, alle Faktoren im Zusammenhang mit dem aktuellen Verhalten eines Benutzers zu berücksichtigen, und schlagen Sie nicht bei jedem Verstoß gegen die Datensicherheitsrichtlinien direkt Alarm. Die allermeisten Benutzer tun ihr Bestes und sind keine böswilligen Insider. Mitarbeiter, die Daten stehlen, stellen eine Ausnahme dar. Daher kann Ihnen die Datenanalyse nur sagen, dass sich die Verhaltensmuster eines Benutzers geändert haben. Es liegt an Ihnen, das weiter zu untersuchen. Die Datenanalyse kann keine Motive zuordnen oder Umstände berücksichtigen.

Varonis-Bedrohungsmodelle

Varonis DatAlert korreliert Metadaten aus mehreren Streams, um Ereignisreaktions-Teams mit den notwendigen Informationen zu versorgen, um Insider-Bedrohungen und potenziellen Datendiebstahl durch Mitarbeiter schnell untersuchen zu können. Hier sind nur zwei Beispiele dafür, wie Varonis potenziellen Datendiebstahl durch Mitarbeiter im Ernstfall aufgedeckt hat:

  • Eine Gesundheitsorganisation hatte den Verdacht, dass Systemadministratoren ihren Zugriff missbrauchten, um personenbezogene Kundendaten anzuzeigen, was einen klaren Verstoß gegen die HIPAA-Vorschriften darstellt. Varonis hat mit dem Kunden zusammengearbeitet, um den ungewöhnlichen Dateizugriff zu analysieren. Dabei wurde nicht nur nachgewiesen, welche Systemadministratoren gegen die Regeln verstoßen hatten, sondern auch, welche das nicht getan haben. Wir haben dem Kunden genau gezeigt, auf welche Aufzeichnungen die Systemadministratoren zugegriffen hatten, damit sie den Verstoß selbst melden und so eine hohe Geldstrafe vermeiden konnten.
  • Ein Kunde in der Finanzbranche erhielt einen Alarm wegen übermäßigen Zugriffs auf Dateien durch einen einzelnen Benutzer und schaltete das Ereignisreaktions-Team von Varonis ein. Unser Ereignisreaktions-Team prüfte den Dateizugriff, um genau aufzuzeigen, auf welche Daten der Benutzer geöffnet und kopiert hatte, als er sich darauf vorbereitete, die Firma zu verlassen. Varonis erstellte einen Zeitplan des Vorfalls, den das Sicherheitsteam des Kunden dem Management vorlegen konnte. So wurde der Datendiebstahl durch den Mitarbeiter verhindert.

5. Implementieren Sie Beobachtungslisten

Legen Sie Kriterien fest, damit Sie Benutzer zu einer Beobachtungsliste hinzufügen können, um so eine zusätzliche Überwachung zu ermöglichen. Wenn ein Benutzer beispielsweise mit zweiwöchiger Frist kündigt, fügen Sie ihn zu einer Beobachtungsliste in Ihrer Datensicherheitsanalyse hinzu, um jegliche Exfiltrationsversuche zu entdecken. Mit Varonis lassen sich Benutzer zur Beobachtungsliste hinzufügen und wieder entfernen, so dass Ihr Sicherheitsteam potenziellen Datendiebstahl durch Mitarbeiter besser vorhersehen und verhindern kann. 

6. Schulen Sie Ihre Mitarbeiter über das Sicherheitsprotokoll

Schulen Sie Ihre Mitarbeiter in Bezug auf die Datensicherheitsrichtlinien, wenn diese Teil des Unternehmens werden, und bieten Sie jährliche Auffrischkurse an. Das dient unter anderem dazu, Ihr Unternehmen abzusichern – Mitarbeiter können sich nicht auf Unwissenheit berufen, wenn sie unterschrieben haben, dass sie die Schulung abgeschlossen haben. Sie können die Schulung aber auch dazu nutzen, Ihren Mitarbeitern die Möglichkeit zu geben, ihr Bewusstsein bezüglich möglicher Datendiebstähle zu schärfen. Sie können anonyme Hinweistelefone einrichten, damit das Sicherheitsteam Vorfälle in aller Ruhe untersuchen kann, bevor daraus Datenlecks werden.

7. Halten Sie einen Aktionsplan für den Fall bereit, dass ein Datendiebstahl entdeckt wird

Implementieren Sie einen Ereignisreaktionsplan und einen Prozess, der diesen Plan in Kraft setzt, wenn Sie Datendiebstahl durch einen Mitarbeiter entdecken. Der Plan muss umfassend sein und neben dem Cybersicherheitsteam auch alle potentiellen Interessenvertreter einbeziehen, etwa die Personal- und Rechtsabteilungen. Der Ereignisreaktionsplan bildet die Grundlage für die Reaktion auf jegliche Vorfälle im Bereich der Cybersicherheit, einschließlich des Diebstahls von Mitarbeiterdaten. Weitere Informationen zum Erstellen eines Ereignisreaktionsplans finden Sie im Blog. Der Datendiebstahl durch Mitarbeiter ist für jedes Unternehmen ein berechtigter Grund zur Sorge. Während ich diesen Artikel schreibe, ist soeben ein neuer Vorfall über Amazon-Mitarbeiter ans Licht gekommen, die ihren Zugang im Austausch gegen Schmiergelder missbrauchten. Es sieht so aus, als hätten diese Mitarbeiter Terabytes an proprietären Daten gestohlen. Darunter waren auch Algorithmen, die es einigen Verkäufern ermöglichten, sich einen Wettbewerbsvorteil zu sichern. Schauen Sie sich das Cyberangriffs-Labor an, in dem wir zeigen, wie Varonis den Datendiebstahlversuch eines Mitarbeiters in flagranti erkennt.