Bei der Betrachtung von Strategien zur Cybersicherheit beim Datenschutz steht die Abwehr von externen Bedrohungen in der Regel an erster Stelle. Laut dem Cost of a Data Breach Report, der 2020 vom Ponemon Institute und IBM Security veröffentlicht wurde, machen Cyberangriffe, die für Schlagzeilen sorgen, jedoch nur die Hälfte der Ursachen für Datenschutzverletzungen aus. Der Rest ist auf interne Sicherheitsgefährdungen und Systempannen zurückzuführen.
Der menschliche Faktor ist am schwersten zu kontrollieren und vorauszusehen, wenn es um den Datenschutz geht. Einige Unternehmen investieren in Mitarbeiterschulungen in der Hoffnung, dass eine gut ausgebildete Belegschaft, die sich der finanziellen und rufschädigenden Folgen von Datenschutzverletzungen bewusst ist, ausreicht, um die Wachsamkeit zu erhöhen und schlechte Praktiken in Sachen Sicherheit zu verhindern. Die Wahrheit ist jedoch, dass Unternehmen in vielen Fällen nur einen unvorsichtigen Mitarbeiter von einem schädlichen Sicherheitsvorfall entfernt sind. Es besteht auch immer die potenzielle Gefahr von böswilligen Angestellten und unzufriedenen Mitarbeitern, die den Ruf eines Unternehmens schädigen oder Daten stehlen wollen, wenn sie das Unternehmen verlassen.
Doch was sind die häufigsten Insider-Bedrohungen, die die Datensicherheit eines Unternehmens gefährden? Werfen wir einen Blick auf die fünf häufigsten:
Phishing und Social Engineering
Phishing- und Social-Engineering-Attacken sind zu zwei der beliebtesten Methoden geworden, mit denen Hacker in ein Netzwerk eindringen um Malware und Ransomware zu verbreiten. Obwohl es sich technisch gesehen um externe Bedrohungen handelt, beruhen sie auf ‚leicht zu betrügenden‘ Mitarbeitern. Cyberkriminelle bringen Mitarbeiter dazu, ihre Anmeldedaten preiszugeben oder auf infizierte Links oder Anhänge zu klicken, indem sie sich als Freunde oder andere vertrauenswürdige Quellen ausgeben oder unerwartete Preise von begehrten Marken anbieten. Sind sie erst einmal drin, können sie die Netzwerksicherheit leicht gefährden.
Während Antimalware- und Antivirensoftware dabei helfen kann, Phishing-Angriffe durch die Identifikation verdächtiger E-Mails zu verhindern, sind Social Engineering-Angriffe am besten durch Schulungen zum Sicherheitsbewusstsein zu bewältigen. Mitarbeiter müssen darüber aufgeklärt werden, wie Angreifer von außen an sie herantreten können und wie sie reagieren müssen, wenn sie verdächtige Anfragen erhalten. Um Social Engineering zu verhindern, ist ein Verständnis dafür unerlässlich. Das Know-how sollte auch auf den Prüfstand gestellt werden, um mögliche Schwachstellen bei den Mitarbeitern zu erkennen.
Gemeinsame Nutzung von Daten außerhalb des Unternehmens
Wenn Mitarbeiter vertrauliche Unternehmensdaten wie geistiges Eigentum oder sensible, datenschutzrechtlich geschützte Informationen wie personenbezogene Daten oder Gesundheitsdaten entweder öffentlich oder an Dritte außerhalb des Unternehmens weitergeben, kann das zu einer Katastrophe führen. Dies geschieht in der Regel aus Unachtsamkeit: Statt einer einfachen Antwort wird ein „reply all“-Button gedrückt, Informationen werden an die falsche E-Mail-Adresse gesendet oder etwas wird versehentlich öffentlich gepostet.
Für diese Art von Vorfällen gibt es kaum Schulungen, da es sich um menschliche Fehler handelt, für die wir alle anfällig sind. Spezialisierte Software wie Tools zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) können Unternehmen dabei helfen, den Überblick über sensible Daten zu behalten und dafür zu sorgen, dass die Übertragung dieser Daten, sei es per E-Mail oder über andere Internetdienste, eingeschränkt oder gänzlich blockiert wird. Einige DLP-Lösungen wie ‚Endpoint Protector‘ bieten die Möglichkeit, unterschiedliche Berechtigungen und Sicherheitsrichtlinien auf der Grundlage der Abteilung und der Arbeitszeiten eines Mitarbeiters einzurichten.
Schatten-IT
Die Verwendung von nicht genehmigter Software, Anwendungen, Cloud- oder Internetdiensten von Drittanbietern am Arbeitsplatz ist für die IT-Abteilung oft schwer nachzuvollziehen, daher der Begriff ‚Schatten-IT‘ . Die Gründe für die Verbreitung von Schatten-IT sind recht einfach: Mitarbeiter nutzen gewohnheitsmäßig bekannte Anwendungen für Aktionen wie Dateifreigabe und Messaging, weil diese ihre Effizienz steigern und ihre Arbeitslast verringern oder benutzerfreundlicher sind als die vom Unternehmen genehmigte Alternativen.
Dies ist problematisch, weil die Unternehmen selbst meist nicht wissen, dass etwas geschieht, das letztlich einen blinden Fleck in der Cybersicherheitsstrategie darstellt. Eine weitere Gefahr sind die potenziellen Schwachstellen dieser Drittanbieterdienste, die zu Datenlecks oder Sicherheitsverletzungen, aber auch zur Nichteinhaltung von Datenschutzgesetzen führen können. Das wiederum kann hohe Geldstrafen nach sich ziehen.
Schatten-IT ist in der Regel ein Zeichen dafür, dass das Unternehmen seinen Mitarbeitern nicht die richtigen Werkzeuge zur Verfügung stellt, um ihre Aufgaben zu erfüllen. Unternehmen sollten einen offenen Dialog mit ihren Mitarbeitern führen, um deren technologische Bedürfnisse zu verstehen und sie bestmöglich zu erfüllen. DLP-Tools können Unternehmen auch dabei helfen, Mitarbeiter daran zu hindern, sensible Informationen auf diese nicht genehmigten Dienste hochzuladen. Indem sie diese Versuche überwachen, können sie ein besseres Verständnis der Schatten-IT in ihrem Unternehmen erreichen.
Verwendung von nicht autorisierten Geräten
Viele Strategien zum Datenschutz konzentrieren sich auf Datenübertragungen außerhalb des Unternehmensnetzes über das Internet und lassen eine andere häufig genutzte Methode außer Acht: tragbare Geräte. Vor allem USB-Geräte sind seit langem die Geißel einer jeden Datenschutzstrategie. USB-Geräte können leicht verloren gehen oder gestohlen werden, aber bequem zu benutzen und haben zu einigen katastrophalen Datenschutzverletzungen geführt, wie z. B. zum inzwischen berüchtigten Sicherheitsvorfall am Flughafen Heathrow, bei dem ein unvorsichtiger Angestellter ein USB-Gerät mit über 1.000 vertraulichen Daten verlor, darunter hochsensible Sicherheits- und persönliche Daten.
Die einfachste Möglichkeit, solche Verstöße zu verhindern, besteht darin, den Zugang der Mitarbeiter zu USB- und Peripherie Anschlüssen ganz zu sperren. Die Nützlichkeit von USBs am Arbeitsplatz ist jedoch unbestritten. Für Unternehmen, die USB-Geräte verwenden wollen, gibt es Schutzmaßnahmen zur Abwehr von Bedrohungen der Cybersicherheit. Dazu gehört in erster Linie die erzwungene Verschlüsselung aller auf USB-Sticks übertragenen Dateien in Verbindung mit einer Richtlinie für vertrauenswürdige Geräte, die es nur vertrauenswürdigen Geräten erlaubt, sich mit einem Firmencomputer zu verbinden.
Physischer Diebstahl von Firmengeräten
In der heutigen zunehmend mobilen Arbeitsumgebung nehmen die Mitarbeiter ihre Arbeitscomputer und tragbaren Geräte häufig mit aus dem Büro. Egal, ob sie mobil oder im Homeoffice arbeiten, Kunden besuchen oder an Veranstaltungen teilnehmen, die Arbeitsgeräte verlassen häufig die Sicherheit des Unternehmensnetzwerks und werden anfälliger für physischen Diebstahl und Manipulationen von außen.
Verschlüsselung ist immer eine gute Lösung, um sich gegen physischen Diebstahl zu schützen. Ganz gleich, ob es sich um Laptops, Mobiltelefone oder USB-Geräte handelt, die Verschlüsselung verhindert, das ein Dieb auf die darauf gespeicherten Informationen zugreifen kann. Durch die Aktivierung von ‚Fernlöschoptionen‘ können Unternehmen auch alle Daten auf gestohlenen Geräten aus der Ferne eliminieren.
