Datendiebstahl durch Mitarbeiter ist in modernen Unternehmen ein ernstzunehmendes Problem. Lesen Sie weiter, um mehr darüber zu erfahren, wie Sie Ihr Unternehmen vor böswilligen Insidern schützen können. Datendiebstahl durch Mitarbeiter ist eine spezifische Insider-Bedrohung, bei der ein böswilliger Insider Daten von dem Unternehmen stiehlt, bei dem er oder sie beschäftigt ist, um sich einen finanziellen Gewinn bzw. einen Vorteil für ein Konkurrenzunternehmen zu verschaffen. Der Vorfall bei Tesla ist ein perfektes Beispiel für Datendiebstahl durch Mitarbeiter. Ein Tesla-Mitarbeiter kopierte 300.000 Dateien des Autopilot-Codes, während er sich darauf vorbereitete, eine neue Stelle bei einem konkurrierenden chinesischen Hersteller selbstfahrender Autos anzunehmen.
Man kennt das Motiv aus Horrorfilmen: „Der Anruf kommt aus unserem Haus!“ So ist auch der Datendiebstahl durch Mitarbeiter. Die böswilligen Akteure befinden sich bereits in Ihrem Netzwerk und haben Zugriff auf geistiges Eigentum (IP, Intellectual Property), das für andere Unternehmen wertvoll sein kann. Dabei kann es sich um beliebige Informationen handeln: von der Vertriebskontaktliste bis hin zu tausenden Zeilen von proprietärem Quellcode. Die Herausforderung für Unternehmen besteht darin, die Balance zwischen Produktivität und Sicherheit zu halten. Wie halten Sie das Vertrauen zu Ihren Mitarbeitern und die Sicherheit Ihrer Daten und Ihres geistigen Eigentums miteinander im Gleichgewicht? Menschen haben ein natürliches Bedürfnis nach Vertrauen, und wir arbeiten am besten, wenn wir das Gefühl haben, dass unser Unternehmen uns vertraut. Das jedoch macht uns anfällig für einige wenige böswillige Akteure. Und im digitalen Zeitalter können zu laxe Sicherheitskontrollen zu Datenlecks und Datendiebstahl durch Mitarbeiter führen.
Es ist wichtig, zwischen böswilliger Absicht und Datenmissbrauch zu unterscheiden. Datenmissbrauch impliziert unbeabsichtigte Konsequenzen aus schlechten Datenverarbeitungsprozessen, während böswillige Absichten einen gewissen Vorsatz umfassen.
Es lässt sich darüber streiten, ob Edward Snowden böswillig gehandelt oder nicht. Sein Diebstahl geheimer Regierungsdokumente war jedoch zweifellos vorsätzlich.
Der „God Mode“-Vorfall bei Uber ist ein hervorragendes Beispiel für Datenmissbrauch. Dabei benutzten Mitarbeiter von Uber interne Tools, um Prominente oder andere wichtige Personen auf ihren Uber-Fahrten zu verfolgen. Die Mitarbeiter profitierten nicht vom Datenmissbrauch, aber sie haben die Privatsphäre ihrer Kunden verletzt und wurden vom Staat New York mit einer Geldstrafe von 20.000 Dollar belegt.
Was sind also die Best Practices, um Datendiebstahl durch Mitarbeiter zu verhindern? Und wie bringen Sie Produktivität und Sicherheit miteinander in Einklang? Werfen wir einen näheren Blick auf dieses Problem.
Zunächst müssen Sie wissen, wo Ihre allerwichtigsten Daten sind, und eine Datenklassifizierungsrichtlinie erstellen. Mit dieser können die Daten genau identifiziert und kategorisiert werden, damit Sie Ihre Datensicherheitsstrategie priorisieren können.
Sobald Sie ermittelt haben, welche Ihrer Daten wirklich wichtig sind, müssen Sie festlegen, wer Zugang zu diesen Daten haben muss. Profi-Tipp: Es sind auf jeden Fall nicht „Alle“ oder „Authentifizierte Benutzer“. Eine wichtige Risikoquelle für Datendiebstahl durch Mitarbeiter sind Benutzer, die irrtümlicherweise Zugang zu Daten haben, den sie nicht haben sollten. Laut dem Prinzip der notwendigsten Berechtigungen erhalten Benutzer nur Zugriff auf diejenigen Daten, die sie für ihre Arbeit benötigen. Aber wir alle wissen, dass die Leute mit der Zeit mehr Zugang erhalten, wenn sie ihre Positionen wechseln und an verschiedenen Projekten arbeiten, die sich über mehrere Abteilungen erstrecken. Selten nimmt sich jemand die Zeit und überprüft, ob alte Berechtigungen noch benötigt werden. Infolgedessen besteht für Unternehmen ein deutlich höheres Risiko für Datendiebstahl durch Mitarbeiter, als ihnen bewusst ist. Die meisten Unternehmen fangen damit an, Probleme im Zusammenhang mit globalem Zugriff und defekten Vererbungsstrukturen zu beheben, bevor sie den Zugriff auf erforderliche Daten beschränken. Die Aufhebung des globalen Zugangs ist nicht trivial. Ohne einen umfassenden Audit Trail der Datenzugriffsereignisse kann es vorkommen, dass geschäftskritischen Mitarbeitern (oder Anwendungen) versehentlich der Zugriff entzogen wird. Varonis ordnet zu, wer auf Daten zugreifen kann und wer tatsächlich auf sie zugreift, und zeigt so, wo Benutzer zu viel Zugriff haben. Dadurch können Sie Änderungen an Access Control Lists und Sicherheitsgruppen risikofrei automatisieren. Varonis ist in der Lage, Probleme mit defekter Vererbung und globalem Zugriff automatisch zu beheben und neue Einzweck-Zugriffsgruppen mit den aktiven Benutzern dieser Daten hinzuzufügen, und zwar wesentlich schneller als ein Team das manuell tun könnte. Nachdem dieses Monster besiegt ist, müssen Sie herausfinden, wer Zugriff auf die Daten haben sollte, und ein System einrichten, das sowohl den Zugriff als auch den Audit-Zugriff einschränkt, um Ihr schönes System der notwendigsten Berechtigungen aufrechtzuerhalten. Für diese Aufgabe müssen regelmäßige Nutzer dieser Daten einbezogen und gefragt werden, wer Zugang zu den Daten benötigt. Das ist auch eine gute Gelegenheit, ein System zu implementieren, das Datenzugriffsanforderungen automatisiert und prüft, so dass Sie das Prinzip der notwendigsten Berechtigungen einfach beibehalten können.
Erstellen Sie eine Datensicherheitsrichtlinie, die auf einem der etablierten Frameworks wie dem Data Security Governance Framework von Gartner oder dem NIST-Framework basiert. Diese Frameworks skizzieren bewährte Verfahren für die Datensicherheit, mit denen Sie die Richtlinie für Ihre Organisation anpassen können. Erstellen Sie eine umfassende Richtlinie, die die geschäftlichen Anforderungen an die Datensicherheitsrichtlinie festlegt und zeigt, wie Risiken und Produktivität ausgeglichen werden können.
Die Überwachung der Datensicherheit und Analyse des Verhaltens können dazu beitragen, potenzielle Verstöße gegen die Datenschutzrichtlinien zu erkennen, bevor bei einem Vorfall Daten durch einen Mitarbeiter gestohlen werden. Überwachen Sie insbesondere die Benutzeraktivität auf Abweichungen von ihrem normalen Datennutzungsverhalten. Auffällig ist es beispielsweise, wenn ein Benutzer beginnt, Daten zu horten, oder auf Daten zugreift, auf die er normalerweise nicht zugreift. Achten Sie darauf, alle Faktoren im Zusammenhang mit dem aktuellen Verhalten eines Benutzers zu berücksichtigen, und schlagen Sie nicht bei jedem Verstoß gegen die Datensicherheitsrichtlinien direkt Alarm. Die allermeisten Benutzer tun ihr Bestes und sind keine böswilligen Insider. Mitarbeiter, die Daten stehlen, stellen eine Ausnahme dar. Daher kann Ihnen die Datenanalyse nur sagen, dass sich die Verhaltensmuster eines Benutzers geändert haben. Es liegt an Ihnen, das weiter zu untersuchen. Die Datenanalyse kann keine Motive zuordnen oder Umstände berücksichtigen.
Varonis DatAlert korreliert Metadaten aus mehreren Streams, um Ereignisreaktions-Teams mit den notwendigen Informationen zu versorgen, um Insider-Bedrohungen und potenziellen Datendiebstahl durch Mitarbeiter schnell untersuchen zu können. Hier sind nur zwei Beispiele dafür, wie Varonis potenziellen Datendiebstahl durch Mitarbeiter im Ernstfall aufgedeckt hat:
Legen Sie Kriterien fest, damit Sie Benutzer zu einer Beobachtungsliste hinzufügen können, um so eine zusätzliche Überwachung zu ermöglichen. Wenn ein Benutzer beispielsweise mit zweiwöchiger Frist kündigt, fügen Sie ihn zu einer Beobachtungsliste in Ihrer Datensicherheitsanalyse hinzu, um jegliche Exfiltrationsversuche zu entdecken. Mit Varonis lassen sich Benutzer zur Beobachtungsliste hinzufügen und wieder entfernen, so dass Ihr Sicherheitsteam potenziellen Datendiebstahl durch Mitarbeiter besser vorhersehen und verhindern kann.
Schulen Sie Ihre Mitarbeiter in Bezug auf die Datensicherheitsrichtlinien, wenn diese Teil des Unternehmens werden, und bieten Sie jährliche Auffrischkurse an. Das dient unter anderem dazu, Ihr Unternehmen abzusichern – Mitarbeiter können sich nicht auf Unwissenheit berufen, wenn sie unterschrieben haben, dass sie die Schulung abgeschlossen haben. Sie können die Schulung aber auch dazu nutzen, Ihren Mitarbeitern die Möglichkeit zu geben, ihr Bewusstsein bezüglich möglicher Datendiebstähle zu schärfen. Sie können anonyme Hinweistelefone einrichten, damit das Sicherheitsteam Vorfälle in aller Ruhe untersuchen kann, bevor daraus Datenlecks werden.
Implementieren Sie einen Ereignisreaktionsplan und einen Prozess, der diesen Plan in Kraft setzt, wenn Sie Datendiebstahl durch einen Mitarbeiter entdecken. Der Plan muss umfassend sein und neben dem Cybersicherheitsteam auch alle potentiellen Interessenvertreter einbeziehen, etwa die Personal- und Rechtsabteilungen. Der Ereignisreaktionsplan bildet die Grundlage für die Reaktion auf jegliche Vorfälle im Bereich der Cybersicherheit, einschließlich des Diebstahls von Mitarbeiterdaten. Weitere Informationen zum Erstellen eines Ereignisreaktionsplans finden Sie im Blog. Der Datendiebstahl durch Mitarbeiter ist für jedes Unternehmen ein berechtigter Grund zur Sorge. Während ich diesen Artikel schreibe, ist soeben ein neuer Vorfall über Amazon-Mitarbeiter ans Licht gekommen, die ihren Zugang im Austausch gegen Schmiergelder missbrauchten. Es sieht so aus, als hätten diese Mitarbeiter Terabytes an proprietären Daten gestohlen. Darunter waren auch Algorithmen, die es einigen Verkäufern ermöglichten, sich einen Wettbewerbsvorteil zu sichern. Schauen Sie sich das Cyberangriffs-Labor an, in dem wir zeigen, wie Varonis den Datendiebstahlversuch eines Mitarbeiters in flagranti erkennt.