Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Definition, Beispiele und Tipps zur Prävention von Datendiebstahl durch Mitarbeiter | Varonis

Geschrieben von Josue Ledesma | May 7, 2021 4:00:00 AM

Nicht alle Angriffe kommen von externen Bedrohungen. Mit erschreckender Häufigkeit werden Unternehmen Opfer von Insider-Bedrohungen und Datendiebstahl durch Mitarbeiter. Dabei werden Daten und wichtiges geistiges Eigentum gestohlen und das Unternehmen in Gefahr gebracht.

Mitarbeiter können aus einer Vielzahl von Gründen die Daten eines Unternehmens stehlen – beispielsweise ist es möglich, dass sie für einen Konkurrenten arbeiten bzw. zu ihm wechseln oder durch einen anderen Täter kompromittiert worden sind. Außerdem könnte Rache das Motiv sein, oder der Wunsch, von einem arglosen Unternehmen zu profitieren.

In weniger bösartigen Szenarien können Mitarbeiter (oder Dritte) auch einfach unvorsichtig sein und einem opportunistischen Angreifer die Möglichkeit bieten, in Ihr Netzwerk einzudringen.

In diesem Artikel zeigen wir Ihnen die verschiedenen Arten von Insider-Bedrohungen, mit denen Sie möglicherweise konfrontiert werden. Außerdem erklären wir, wie Sie Datendiebstahl durch Mitarbeiter verhindern und dafür sorgen können, dass derartige Gefahren in Ihrem Unternehmen weniger Schaden verursachen.

Was versteht man unter Datendiebstahl durch Mitarbeiter?

Von Datendiebstahl durch Mitarbeiter spricht man, wenn ein Angestellter eines Unternehmens Informationen des Unternehmens zu einem schädlichen oder böswilligen Zweck und zum Schaden des Unternehmens stiehlt. Solche Angriffe sind besonders schwer abzuwehren, da sie generell von innen heraus kommen und von einem Mitarbeiter ausgehen.

Insider-Datendiebstahl und Mitarbeiter-Datendiebstahl im Vergleich

Der Datendiebstahl durch Mitarbeiter ist eine Art von Insider-Bedrohung – als Insider-Bedrohung wird jede interne Bedrohung bezeichnet, ob böswillig oder nicht. Wir konzentrieren uns in diesem Artikel hauptsächlich auf Datendiebstahl durch Mitarbeiter, gehen aber auch auf Insider-Bedrohungen ein, wo diese Informationen relevant sind.

Laut IBMs Insider Theft Report haben Insider-Bedrohungen (aller Art, einschließlich Datendiebstahl durch Mitarbeiter) Unternehmen 11,45 Millionen Dollar gekostet, und die Vorfälle haben sich seit 2016 verdreifacht. In 204 Organisationen, die Teil des Benchmarks waren, wurden über 4.700 Insider-Vorfälle beobachtet.

Auf welche Arten von Insider-Datendiebstahl Sie achten sollten

Es gibt mehrere verschiedene Arten von Bedrohungen durch Insider-Datendiebstahl, die unterschiedliche Risiken für Ihre Organisation mit sich bringen. Wir modellieren diese Typen auf der Grundlage der Definition von Verizon, die zuletzt in dessen DBIR-Bericht 2020 verwendet wurde.

Böswillige Insider

Böswillige Insider sind auf irgendeine Art von Gewinn aus, ob finanziell oder persönlich, indem sie die Daten Ihres Unternehmens oder den Zugang zu Ihren Informationen verkaufen. Sie wissen, wie wertvoll Ihre Systeme sind und verkaufen sie möglicherweise an den Höchstbietenden bzw. an Ihren nächsten Konkurrenten.

Insider-Agenten

Diese Art von Insidern ist für Sie womöglich am gefährlichsten, da diese im Auftrag einer externen Partei arbeiten. Dabei kann es sich z. B. um einen Konkurrenten oder eine Hackergruppe handeln. Der Zugriff Ihrer Mitarbeiter zusammen mit ihren bösartigen Absichten bildet eine gefährliche Kombination.

Verärgerte Mitarbeiter

Es kann sein, dass Mitarbeiter sich an einem Arbeitgeber rächen wollen, der sie bei einer Beförderung übergangen hat oder sie gerade über ihre Kündigung informiert hat. Was auch immer der Grund ist, diese Mitarbeiter versuchen möglicherweise, bestehende Systeme, Daten oder Prozesse zu zerstören oder zu beschädigen.

Nachlässige Mitarbeiter

Es liegt keine böswillige Absicht vor, aber die Gefahr ist trotzdem da. Ein unvorsichtiger Mitarbeiter, der auf eine Phishing-E-Mail klickt oder sich nicht an Ihre BYOD-Richtlinien hält, kann Ihr Unternehmen unnötigen Risiken aussetzen.

Drittparteien

Drittparteien wie Cloud-Dienstleister und Software-Anbieter haben oft Zugriff auf Ihre Daten und manchmal auch auf Ihr Netzwerk. Wenn die Sicherheit dieser Drittanbieter nicht überprüft wird und Sie nicht Bescheid wissen, wie Sie dadurch der Gefahr von böswilligen Hackern ausgesetzt sind, können solche dritten Parteien ein Einfallstor für Angreifer sein.

Als Datendiebstahl durch Mitarbeiter gelten die ersten drei Beispiele hier, bei denen der Mitarbeiter die Absicht hat, dem Unternehmen Schaden zuzufügen. Die letzteren beiden Gefahren fallen unter die Kategorie Insider-Datendiebstahl.

Wie Sie sich vor Insider-Bedrohungen schützen und den Datendiebstahl durch Mitarbeiter verhindern können

Da Sie nun die Bedrohungen kennen, stehen Sie vor der Aufgabe, Ihr Unternehmen davor zu schützen. Dazu müssen eine Richtlinie und die entsprechenden Verfahren eingeführt werden, um das Risiko zu mindern und den Schaden im schlimmsten Fall zu reduzieren. Wenn Sie im Moment noch nichts Derartiges haben, sind die folgenden Schritte ein guter Anfang.

Priorisieren Sie Ihre Datenschutzanforderungen

Wenn Sie das noch nicht getan haben, sollten Sie festlegen, welche Daten besonders wichtig sind und geschützt werden müssen. Das können Kundendaten sein, Daten mit strengen Compliance- und gesetzlichen Anforderungen oder Daten, die Ihr Unternehmen gefährden könnten, wenn sie offengelegt werden.

In Hinblick auf den möglichen Schaden ist beispielsweise der Diebstahl der gesamten Lohnabrechnungsdaten mit personenbezogenen Informationen viel gravierender, als wenn etwa eine Liste von Kontakten aus einem Social-Media-Konto entwendet wird. Wenn Sie priorisieren, welche Daten am kritischsten sind, können Sie Ihr Unternehmen effizient absichern. Wenn Sie die Worst-Case-Szenarien durchspielen, können Sie gut erkennen, welche Daten für die Sicherheit wirklich wichtig sind.

Verwenden Sie eine POLP-Richtlinie (Principle of Least Privilege)

Sobald Sie eine gute Vorstellung davon haben, wie Sie Ihre Datensicherheit priorisieren, können Sie eine Richtlinie einführen, die den Zugriff auf Ihre Daten je nach der jeweiligen Rolle und Funktion einschränkt. Diese geht über eine einfache Autorisierung und Authentifizierung hinaus und sorgt stattdessen dafür, dass Mitarbeiter nur so viel Zugriff haben, wie sie auch tatsächlich benötigen.

Auch dadurch wird das Risiko für Sie verringert, indem sichergestellt wird, dass der Zugriff auf kritische Daten und Netzwerkressourcen insgesamt eingeschränkt wird. Außerdem lässt sich so leichter herausfinden, wer hinter einer Offenlegung oder einem Vorfall stecken könnte.

Verwenden Sie Software zur Zugriffsüberwachung und -verhinderung

Sobald Sie die aufwändige Bewertung Ihrer internen Datensicherheitsanforderungen erledigt haben, können Sie Software einsetzen, die das Verhalten und den Netzwerkzugriff überwacht und einschränkt, wer Zugriff auf bestimmte Teile Ihrer Infrastruktur hat. Wenn Sie auf der Suche nach einer solchen Software sind, sollten Sie nach einer Lösung Ausschau halten, die eine gute Transparenz und Kontrolle bietet und deren Zugriff sich erweitern lässt, während Ihr Unternehmen und Ihr Netzwerk wachsen.

Entwickeln Sie einen Ereignisreaktionsplan

Kein Plan und keine Software kann Ihnen eine 100-prozentige Präventionsgarantie bieten. Daher ist es wichtig, vorauszuplanen und sich auf das Worst-Case-Szenario vorzubereiten. Anhand der oben aufgeführten Arten von Insider-Bedrohungen und der Bewertung kritischer Daten, die wir umrissen haben, können Sie verschiedene Szenarien durchspielen.

Was wäre, wenn ein kürzlich entlassener Mitarbeiter die automatischen Updates für kritische Software deaktivieren würde?

Was wäre, wenn es bei einem Drittanbieter für Infrastruktur zu einer Datenschutzverletzung käme?

Was passiert, wenn ein Mitarbeiter in der Finanzabteilung auf eine Phishing-E-Mail geklickt hat?

Sie können mit Ihrer Abteilung Dutzende von Szenarien durchspielen und Pläne für die Reaktion auf Vorfälle zusammenstellen, die diese Varianten abdecken. Wie üblich empfehlen wir, Szenarien zu priorisieren, die dazu führen würden, dass der Betrieb Ihres Unternehmens beeinträchtigt wird, die Ihren Kundenstamm gefährden würden oder die schwere negative Folgen für den Ruf Ihres Unternehmens hätten.

Ihr Ereignisreaktionsplan sollte sich auf die Schadensbegrenzung, die Minderung zusätzlicher Risiken, die interne und externe Kommunikation und die schnellstmögliche Wiederherstellung Ihres Betriebs konzentrieren.

Fazit

Insider-Bedrohungen und Datendiebstahl durch Mitarbeiter wirken möglicherweise wie einzigartige Bedrohungen, aber es gibt viele Überschneidungen, wenn Sie Ihre Cybersicherheitslage ganzheitlich betrachten. Das Drittanbieter-Risikomanagement stellt sicher, dass Ihre Drittanbieter Sie nicht gefährden. Durch ein hohes Maß an Asset-Transparenz wissen Sie Bescheid, ob in Ihrem Netzwerk ungewöhnliches Verhalten vorliegt. Und die herkömmliche Endpoint-Sicherheit hilft, externe Parteien fernzuhalten, selbst wenn diese versuchen, Ihre internen Mitarbeiter auszunutzen.

Wenn Sie mehr darüber erfahren möchten, wie Sie Ihre gesamte Abteilung vor internen und externen Bedrohungen schützen können, informieren Sie sich über die DatAdvantage-Plattform von Varonis. Sie wurde entwickelt, um Ihnen die vollständige Kontrolle und Transparenz über Ihre gesamte Dateninfrastruktur zu ermöglichen.