CTO-Einsichten: Verteidigung gegen Insider-Angriffe

von Raimund Genes, Chief Technology Officer

Wer genügend Krimis gelesen oder Action-Filme gesehen hat, der kennt das Muster: Ein Insider nimmt Rache für eine Kränkung, die er Jahre zuvor durch eine Organisation erfahren hat, indem er sich gegen diese wendet und ihr Schaden zufügt. Manchmal steht dieser Insider auf der Seite der Guten, manchmal auf der Seite der Schlechten.

Ein solcher Innentäter weiß genau, wie die Abläufe in einer Organisation sind, was dort große Wertschätzung genießt und wie auf einen Angriff reagiert werden wird. Wer wäre also besser geeignet als ein Insider, um einen Angriff auszuführen? Glücklicherweise sind die meisten Mitarbeiter nicht darauf aus, die Organisation, der sie angehören, zu vernichten. Im Gegenteil, sie wünschen sich deren Erfolg.

Das Problem dabei ist jedoch, dass nicht alle „Insider-Bedrohungen“ freiwillig zustande kommen. Insider können auch unbeabsichtigt Informationen an Angreifer herausgeben. Die sozialen Medien haben Nutzern viele neue und interessante Möglichkeiten der Kommunikation an die Hand gegeben, doch leider geht es manchmal auch um vertrauliche Daten, die nicht kommuniziert werden sollten.

Und wenn schon Einzelne Informationen online durchsickern lassen, was passiert erst, wenn ein Social Engineer versucht, Informationen von anderen auszuquetschen? Social Engineering kann als Kunst definiert werden, andere dazu zu bringen, das zu tun, was man selbst will.

Nahezu alle zielgerichteten Angriffe beginnen mit einer Art des Social Engineerings. Es ist zwar keine einfache Aufgabe, doch sollten Unternehmen versuchen, sich gegen diese Art von Angriffen zu schützen.

Es gibt zwei Möglichkeiten, wie sich ein Unternehmen gegen diese Angriffe verteidigen kann, und sie schließen sich nicht gegenseitig aus. Es gibt zum einen technische Mittel der Verteidigung. Beispielsweise kann das Blockieren von E-Mails dazu beitragen, Angriffe zu verhindern, deren Taktik es ist, vorzugeben ein Dritter zu sein (etwa eine Bank oder andere vertrauenswürdige Organisationen). Hier sind Lösungen sinnvoll, die auf Heuristik und E-Mail-Reputation beruhen.

Die zweite Möglichkeit besteht darin, die Nutzer besser zu schulen, ihnen mehr Sorgfalt, Vorsicht und Awareness bezüglich der täglichen Bedrohungen anzutrainieren. Unternehmen sollten sicherstellen, dass die Mitarbeiter jeden Versuch an das Sicherheits-Team melden, sodass die gesamte Organisation wachsam sein kann.

Fast noch wichtiger als das Wie beim Datenschutz ist die Entscheidung, welche Daten zu schützen sind. Unternehmen können nicht alles schützen. Es steht die Entscheidung an, was für das Unternehmen am wichtigsten ist und deshalb zu schützen ist. Es empfehlen sich drei Kategorien:

  1. Daten, die nicht sensibel sind,
  2. Daten, deren Abfluss negative Auswirkungen auf die Organisation haben sowie
  3. Daten, deren Abfluss das Geschäft zerstören.

Zwar scheint diese Unterscheidung einfach, doch wird sie im konkreten Fall eine lebhafte Diskussion darüber auslösen, welche Daten zu welcher Kategorie zu zählen sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.