«Der Mensch ist der Perimeter des Unternehmens»
Strategien gegen Insider-Bedrohungen
CW: Was können Firmen dagegen unternehmen?
Marx: Hier muss Security um den Menschen aufgebaut werden. Dies geschieht am besten mit unterschwelligen, aber beständigen Awareness-Trainings der Mitarbeitenden. Sicherlich die falsche Strategie ist es in diesem Zusammenhang, zwei Mal im Jahr der Belegschaft ein Training aufzuerlegen, bei der sie sich durch zahlreiche Fragen durchklicken müssen. Das ist fast so sinnvoll, wie wenn man einmal für die Erlangung des Führerausweises einen Nothilfekurs absolviert und die dort gelernten Methoden nie wiederholt.
CW: Wie sehen solche Kampagnen dann im Detail aus?
Marx: Nehmen wir das Beispiel Phishing. Hier werden den Mitarbeitenden aktuelle Beispiele von Phishing-Mails zugeschickt und beobachtet, ob diese als solche erkannt werden. Klicken sie nicht auf den Link, haben bisherige Sensibilisierungs-Kampagnen vielleicht schon ihre Wirkung gehabt. Klickt jemand aber auf den Link, wird er auf sein Fehlverhalten aufmerksam gemacht. Dabei geht es nicht darum den Betreffenden blosszustellen. Vielmehr kann davon ausgegangen werden, dass der Lerneffekt dann am grössten ist, wenn man sich eines Fehlers bewusst wird. Hinzu kommt, dass der so Trainierte, wenn dann in der nächsten Zeit ein sehr ähnlich geartetes, aber echtes Phishing-Mail in seinem Postfach landet, wohl kaum nochmals den gleichen Fehler macht und auf den Link klickt.
Wichtig bei der ganzen Anlage solcher Kampagnen ist auch, dass diese sehr spezifisch auf die Mitarbeitenden zugeschnitten sind. So sollten Mitglieder der HR-Abteilung oder Lageristen jeweils auf Ihren Aufgabenbereich zugeschnittene Phishing-Mails erhalten.
CW: Wie gut helfen solche Kampagnen?
Marx: Die sind sehr erfolgreich. Messungen haben ergeben, dass mit solchen interaktiven Trainings eine bis zu 90-prozentige Reduktion an Klicks auf potentiell gefährliche E-Mails erreicht werden kann. Das ist doch ein signifikanter Unterschied zu traditionellen Kampagnen, bei denen Mitarbeitende gelegentlich ein anderthalbstündiges Awareness-Video anschauen müssen.
CW: Das sind nun alles Massnahmen, um unvorsichtige Mitarbeiter zu sensibilisieren. Der bösartige Insider wird sich davon nicht beeindrucken lassen. Wie kann denen das Handwerk gelegt werden?
Marx: Hier lässt sich das Verhalten dieser Mitarbeiter über einen längeren Zeitraum beobachten und untersuchen. Dabei lässt sich eine Abfolge von eigentlich legitimen Abläufen in Korrelation setzen, mit dem Ergebnis, dass das System den IT-Security-Verantwortlichen vor einem möglicherweise bösartigen Insider warnt.
Ich geben Ihnen ein Beispiel: Ein Mitarbeiter der Finanzabteilung lädt die Gehaltsliste herunter und gibt der Datei einen unverfänglichen Namen wie etwa «Urlaubsfotos». Jetzt passiert 14 Tage lang nichts. Doch danach eröffnet der Angestellte ein Dropbox-Konto. Wieder wartet der Betreffende eine Woche, bevor er die Urlaubsfoto-Liste in seinen Dropbox-Account hochlädt. All diese Aktionen sind ja für sich gesehen harmlos und lassen noch keine bösen Absichten vermuten. Warum sollte der Mitarbeiter nicht die Excel-Tabelle umbenennen? In der Kombination wird es aber klar, dass hier wichtige Daten nach aussen gelangen, und dies in böswilliger Absicht.
Zur Firma
Proofpoint, Inc.
ist ein Cybersicherheitsunternehmen aus Sunnyvale (Kalifornien, USA). Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das grösste Kapital aber auch das grösste Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Unternehmen aller Grössen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.
