Imperva-Studie: Viele Unternehmen unterschätzen Sicherheitsrisiken durch eigene Mitarbeiter
Das Risiko von Datenmissbrauch in sieben Stufen verringern
Imperva, Anbieter von Datensicherheitssystemen für kritische Unternehmensinformationen, hat in einer aktuellen Studie die Gefahren des internen Datenmissbrauchs genauer unter die Lupe genommen. Beim Vergleich von 1.000 Unternehmen und ihren Sicherheitsstrategien fanden die Sicherheitsexperten heraus: Das Vorgehen der 40 Unternehmen mit den erfolgreichsten Gegenmaßnahmen ähnelt sich in Aufbau und Durchführung.
Imperva-Report: Warum Hacker es auf Facebook-Daten abgesehen haben
Angriffe über Web-Anwendungen sind bei Hackern besonders beliebt
77 Prozent der häufigsten Kennwörter sind in weniger als zehn Minuten zu knacken
Studie identifiziert Datenmigrationen als weit verbreitete Sicherheitslücke
Der Anbieter fand heraus, dass die Firmen technische Aspekte mit unternehmerischen und menschlichen Faktoren verbinden. Sie setzen auf leistungsstarke IT-Sicherheit und empfinden auch gut informierte Mitarbeiter und eine durchdachte Verknüpfung verschiedener Geschäftsbereiche, Abteilungen und Partnerschaften als wichtig. Die Analysten des Marktforschungsunternehmens IDC (International Data Corporation) fanden heraus, dass sich viele Unternehmen der potenziellen Risiken durch interne Nutzer bewusst sind. Jedoch stehen Security-Schwachstellen oftmals im Hintergrund, da das Unternehmen äußere Bedrohungen als kritischer ansieht. Interner Datenmissbrauch könne sowohl vorsätzlich als auch versehentlich geschehen. Im Folgenden stellt Imperva die sieben Punkte für eine erfolgreiche Sicherheitsstrategie gegen internen Datenmissbrauch vor.
Zunächst ist eine enge Zusammenarbeit zwischen Geschäftseinheiten oder Abteilungen ratsam, die ihre sensiblen Informationen absichern möchten. So fällt es Unternehmensmitarbeitern außerhalb der IT manchmal schwer, den tatsächlichen Wert der Information Security (Infosec) für ihr tagtägliches Arbeiten zu erkennen. Viele Sicherheitsexperten wiederum versäumen es laut Imperva, ihren Nicht-IT-Kollegen verständlich darzustellen, wie ihre Bemühungen Daten des Unternehmens schützen. So sollten die IT-Verantwortlichen konkrete Beispiele von Datenmissbrauch benennen. Es bieten sich auch Anekdoten oder Szenarien an, da sie länger im Gedächtnis bleiben.
Als Zweites muss die IT für die Einhaltung der Compliance-Vorschriften sorgen. Informationssicherheit lässt sich dabei sowohl zentralisiert als auch dezentralisiert umsetzen. Essentiell ist zudem die enge Zusammenarbeit von IT mit HR- und Rechtsabteilung. So sollte das Unternehmen bereits bei der Einstellung neuer Mitarbeiter den Aspekt der Sicherheit nicht vernachlässigen. Als Beispiel nennt Imperva psychologische Tests und Fragen zum Umgang mit sensiblen Daten beim vorherigen Arbeitgeber. Weiter muss der Betrieb die Zugriffsrechte eines Mitarbeiters beim Verlassen sofort wieder aufheben. Erfolgreiche Abwehrmaßnahmen gegen interne Datenbedrohungen setzen darüber hinaus eine enge Zusammenarbeit mit der Rechtsabteilung voraus.
Da die Angestellten eine große Bedeutung für verlässlich abgesicherte sensible Daten haben, sollten sie möglichst untechnische aber konkrete Trainings erhalten. Da Workshops zweimal im Jahr aufwändige Organisation und hohe Kosten fordern, setzen viele Unternehmen laut der Umfrage auf E-Mails, Newsletter oder Flyer mit Sicherheitstipps im Umschlag mit der Gehaltsabrechnung. Ferner können sie auf Möglichkeiten wie Online-Trainings und -Tests zurückgreifen.
Als Viertes sollen Unternehmen Risiken und besonders schützenswerte Unternehmensinformationen identifizieren. Zudem müssen sie alle Personen analysieren, die internen Zugriff haben. Dies sind neben den fest angestellten Mitarbeitern, freie Mitarbeiter oder Partner. So sollte das Unternehmen Risiken, vertrauliche Daten und Personenkreise anschließend miteinander in Beziehung setzen. Auf diese Weise kann das Infosec-Team überprüfen, dass sich Zugriffsrechte passgenau vergeben lassen. Wichtig sind zudem eine Klassifizierung sensibler Informationen sowie die Analyse und das Monitoring tatsächlicher Datenzugriffe.
Weiter kann eine zu lange und unstrukturierte Liste an potenziellen Bedrohungen die Handlungsfreiheit signifikant einschränken. So schrauben zu viele Maßnahmen auf einmal die Erwartungen und Arbeitslast zu hoch und verwirren die verschiedenen Abteilungen. Vor allem zu Beginn sollten die Unternehmen deshalb priorisieren, um erste kleine Erfolge einzufahren. Zudem automatisieren viele Betriebe Prozesse wie Online-Trainings, Systeminventur, Betrugsprävention, Provisionierung sowie On- und Offboarding von Mitarbeitern.
Sechstens nennt Imperva die Wichtigkeit von Zugriffskontrolle für die interne Datensicherheitsstrategie. Dazu gehört ein Ausschluss von Administratoren oder Super-Usern, da sie oft als erste die Datensicherheit gefährden, indem sie auf persönliche Informationen zugreifen. Das Unternehmen sollte vertrauliche Transaktionen daher durch zusätzliche Genehmigungen absichern. Zudem sollte es privilegierten Anwendern separate Richtlinien vorgeben und diese gesondert überprüfen. Darüber hinaus ist es laut Imperva ratsam, das Infosec-Team über geschäftliche Änderungen, Personalwechsel oder sensible Transaktionen zu informieren. Sinnvoll ist zudem die Analyse ungewöhnlichen oder abweichenden Verhaltens. Läuft etwas nicht wie gewohnt, ist dies oftmals ein erstes Anzeichen für anstehende Probleme.
Alle zuvor genannten Strategien sind die Grundlage eines ausgefeilten Sicherheitskonzeptes, das dem Datenmissbrauch durch Insider entgegenwirkt, so der Anbieter von Datensicherheitssystemen. Dennoch gehören siebtens auch professionelle Security-Lösungen zum Schutz vor Bedrohungen dazu. Laut Imperva sollte ein Unternehmen sein technisches Lösungspaket jährlich überprüfen und gegebenenfalls an neue Herausforderungen anpassen.
Den vollständigen Report gibt es unter www.imperva.com/docs/WP_An_Inside_Track_on_Insider_Threats.pdf.
Lesen Sie mehr zum Thema
