Anzeige
Anzeige
menu
Anzeige
Aktuelles

Insider-Bedrohungen: Ein heikles Thema angehen. Aber wie?

09.11.2015 - In der Informationssicherheit wird das Problem Insider-Bedrohung immer brisanter. Man denkt vielleicht dabei sofort an Wirtschaftsspionage, Konkurrenten, die ein Unternehmen infiltrieren oder böswillig agierende Mitarbeiter, die Informationen mitgehen lassen. Das kommt sicherlich vor. Die Realität von Insider-Bedrohungen ist weniger spektakulär, aber leider genauso gefährlich. Ein Gastbeitrag von David Lin (Varonis).

Es ist ein heikles Thema, das gerne ignoriert wird: Das Fehlverhalten von Mitarbeitern. Die meisten Unternehmen führen mittlerweile Schulungen und Aufklärungsprogramme durch. Und doch passieren immer wieder Fehler. Irren bleibt menschlich.

Laut dem 2014 Data Breach Investigations Report (DBIR) von Verizon stecken denn auch hinter den meisten Insider-Vorfällen (60 Prozent) keine bösen Absichten, sondern schlicht Fehler. Fehler, die Unternehmen im Durchschnitt 800.000 US-Dollar kosten.

Ein Beispiel, das in der Praxis relativ häufig vorkommt, sind die "Copy & Paster". Darunter versteht man Mitarbeiter, die unbeabsichtigt vertrauliche oder sensible Daten im Unternehmensnetzwerk verstreuen, wo solche Dateien nur darauf warten, gefunden zu werden. Oder ein Mitarbeiter ist in einem Bereich des Netzwerks unterwegs, der nicht für seine Augen bestimmt ist. Wenn auch ohne böse Absicht. Hat dieser Mitarbeiter über sein Benutzerkonto Zugriff auf die betreffenden Daten, dann hat im Ernstfall auch ein Hacker Zugriff. Jedenfalls wenn er die Login-Daten dieses Nutzers missbraucht.

Es liegt in der Natur des Menschen, sich eher vor dramatischen Risiken zu fürchten. In Wirklichkeit sind es aber viel häufiger alltägliche Bedrohungen, die uns schließlich zum Verhängnis werden. Es ist also mehr als an der Zeit, ein totgeschwiegenes Problem anzugehen. Die folgenden Empfehlungen helfen Unternehmen den Fokus zu verändern: Nämlich sich nicht mehr länger auf den Mitarbeiter zu konzentrieren, sondern auf etwas, das sich leichter kontrollieren lässt: die Daten selbst.

Empfehlung 1: Verzichten Sie auf globale Zugriffsrechte.

Globale Zugriffsrechte sind eine potenziell gefährliche Waffe. Daher sollte man sie ausschließlich bei Informationen einsetzen, die tatsächlich zu 100 Prozent öffentlich zugänglich sein dürfen. Viele Systeme bieten die Option, mithilfe bestimmter Gruppen wie "Jeder" oder "Authentifizierte Benutzer" in Windows globale Rechte für Informationen zu erteilen. Wenn Unternehmen Berechtigungen über eine solche globale Zugriffsgruppe gewähren, heißt das im Grunde: "Mir ist egal, was mit diesen Daten passiert." Es ist tatsächlich bereits vorgekommen, dass globale Zugriffsrechte für Ordner erteilt wurden, in denen Millionen von Kreditkarten- oder Sozialversicherungsnummern gespeichert waren. Verzichten Sie deshalb komplett auf solche globalen Zugriffsrechte.

Empfehlung 2: Heben Sie unnötige und zu weit gefasste Berechtigungen auf.

Bei einer aktuellen Umfrage des Ponemon Institute haben vier von fünf IT-Experten angegeben, dass in ihrem Unternehmen das Prinzip der minimalen Rechtevergabe nicht umgesetzt wird.

Das heißt, in den allermeisten Organisationen verfügen Mitarbeiter über deutlich mehr Berechtigungen als erforderlich. Damit ist zugleich die Angriffsfläche für den Missbrauch der Zugriffsrechte viel größer, als sie eigentlich sein müsste.

[k]Einige der Gründe: [/k] Mitarbeiter wechseln in neue Positionen, andere Abteilungen oder die Verantwortlichkeiten ändern sich
Temporäre Projekte erfordern häufig temporäre Berechtigungen
Beratungsverträge laufen aus
Zugriffsrechte werden versehentlich erteilt
Mitarbeiter verlassen das Unternehmen

Mit Wildwuchs bei den Zugriffsrechten schlagen sich die weitaus meisten Unternehmen herum. Er lässt sich schwer verhindern und noch schwerer beseitigen. Doch es sind nicht nur die Benutzer oder Software-Anwendungen, die über allzu großzügig vergebene Berechtigungen verfügen. Gibt es beim Webserver eine Schwachstelle und läuft er unter einem privilegierten Domänennutzer, der Zugriff auf das Dateisystem oder, noch schlimmer, auf Netzwerkfreigaben hat, wird aus der Sicherheitslücke in der Webserver-Software jetzt ein Insider-Problem.

Betrachten Sie Software am besten wie einen Insider und wenden Sie das Prinzip der minimalen Rechtevergabe genauso an. Den Berechtigungen von temporären Mitarbeitern, Lieferanten, Beratern und Projektteams sollte man in jedem Fall sofort ein Ablaufdatum zuweisen. Das sind zumindest einige Maßnahmen um potenziellen Wildwuchs zu verhindern.

Selbst wenn Sie automatisch ablaufende Zugriffsrechte erteilen, zahlen sich regelmäßige Überprüfungen durch die Benutzer der jeweiligen Abteilungen aus. Diese Benutzer haben einen großen Vorteil: Sie kennen die Personen, die die Daten verwenden. Das ist bei IT-Administratoren unter Umständen nicht der Fall. Überlassen Sie Entscheidungen den Leuten, die den Kontext kennen. Das sollten dann auch diejenigen Nutzer sein, die Änderungen vornehmen.

Ihr Guide im New Marketing Management - ab 6,23 im Monat!

Hat Ihnen diese Beitrag weiter geholfen? Dann holen Sie sich die ONEtoONE-Premium-Mitgliedschaft. Sie unterstützen damit die Arbeit der ONEtoONE-Redaktion. Sie erhalten Zugang zu allen Premium-Leistungen von ONEtoONE, zum Archiv und sechs mal im Jahr schicken wir Ihnen die aktuelle Ausgabe.

Diskussion:

Kommentar hinzufügen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vorträge zum Thema:

  • Bild: Markus Bückle
    Markus Bückle (econda GmbH)

    Die Herausforderungen im Datenschutz 2023 bewältigen

    Datenschutzkonforme Personalisierungs- und Analyticslösungen werden für die Zukunft immer wichtiger. Wir zeigen Dir, welche Möglichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

    Diese Herausforderungen gibt es 2023 durch den Datenschutz:

    • Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten können.
    • Wie Du das Kostenargument bewältigst
    • Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
    • Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken

    Vortrag im Rahmen der Zukunftskonferenz 2023. Trends für ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr

Anzeige

eBakery

Die eCommerce Agentur für Ihren digitalen Erfolg: Von der Planung bis zum Live-Betrieb Ihrer Idee sind wir als 360 Grad eCommerce Agentur stets an Ihrer Seite. Sie haben schon einen Shop? Dann optimieren wir ihn um Sie ganz nach vorne zu bringen. …

Campaign - part of Bertelsmann Marketing Services

Als Teil der Bertelsmann Marketing Services erarbeitet Campaign seit über 25 Jahren unterschiedlichste Marketing- und Kommunikationslösungen mit der passenden Technologie und Ergebnisanalyse. Ob digitaler oder klassischer Kommunikationskanal: Campaig…

SDV Medien+Service GmbH

Die SDV Medien+Service GmbH ist zusammen mit den Tochterunternehmen SDV Direct World GmbH und SDV Winter GmbH ein Full-Service-Dienstleister für Dialogmedien und Informationslogistik. SDV beschäftigt in Dresden, Weidenberg und Bamberg insgesamt run…

Akima Media

Die Akima Media GmbH (Mitglied in der DPRG) ist eine Full-Service-Kommunikationsberatung mit Sitz in München. 1995 als klassische PR-Agentur gestartet, haben wir unser Portfolio stetig weiterentwickelt und bieten heute wirkungsvolle Digitalkommunikat…

Schober Information Group Deutschland GmbH

Die Schober Information Group Deutschland GmbH berät und unterstützt Kunden strategisch mit On- und Offline-Lösungen sowie bei der systematischen Umsetzung von crossmedialen Kommunikations-, Werbe- und Verkaufsstrategien.

Melissa Data GmbH

Seit 1985 ist Melissa ein führender Anbieter von Lösungen zu Datenqualität, Adressmanagement und Identitätsprüfungen. Die Produkte sind als Software oder Online Services erhältlich und können internationale Adressinformationen (Kontaktinformationen) …

Asendia Germany GmbH

Asendia wurde 2012 als Joint Venture von La Poste und Swiss Post gegründet und ist einer der weltweit führenden internationalen E-Commerce- und Post-Anbieter mit einem vielfältigen Angebot an nationalen und internationalen Lösungen für unterschiedlic…

a+s DialogGroup GmbH

LET?S SKIP THE BLA! a+s DialogGroup GmbH ist eine der führenden 360-Grad-Agenturen für Dialogmarketing. Wir machen Dialoge nicht nur einzigartig, sondern messbar. Handfeste Daten verraten uns schonungslos, wie unsere Kunden bei ihrer Zielgruppe in…

Optimizely GmbH

Optimizely unterstützt Unternehmen und Organisationen dabei, ihr digitales Potenzial auszuschöpfen. Mit der Digital-Experience-Plattform (DXP) setzt der führende E-Commerce-Spezialist neue Maßstäbe in der Entwicklung hyper-personalisierter und dateng…

panadress marketing intellignce GmbH

panadress marketing intelligence gehört zu den führenden Marketing-Data-Providern in Deutschland. Wir unterstützen unsere Kunden, Marketing und Vertrieb kundenzentriert auszurichten, um ihre Marktposition zu stärken und weiter auszubauen. Mit der Pow…
Anzeige
Anzeige
www.hightext.de

HighText Verlag

Mischenrieder Weg 18
82234 Weßling

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Kooperationspartner des

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.versandhausberater.de

Wichtige Links:

Impressum

AGB

Datenschutz

Mediadaten