Fachartikel

Was tun gegen Insider-Bedrohungen?

Nicht immer kommt nur Gutes aus den eigenen Reihen. Unternehmen, die sich zu sehr auf die Abwehr von externen Cyberangriffen konzentrieren, laufen Gefahr, die Bedrohungen von Innen zu unterschätzen – die Zahl der Datenschutzverletzungen durch interne Akteure steigt. Ein Grund dafür ist das Alles-oder-nichts-Prinzip, nach dem in vielen Systemen der Datenzugriff geregelt ist. Zudem benötigen für einen modernen Geschäftsbetrieb immer häufiger Außenstehende Zugriff auf Unternehmensdaten. Der Fachartikel beschreibt, wie sich die Risiken reduzieren lassen.
Durch Insider bedingte Sicherheitsprobleme bleiben in Unternehmen oft lange Zeit unerkannt.
Wenn es um Sicherheit geht, konzentrieren sich die meisten Unternehmen aus gutem Grund zuallererst auf Maßnahmen zur Sicherung von Endpunkten, Anwendungen, Perimetern und Netzwerken. Schließlich wird dort, wo das unberechtigte Eindringen ins unternehmenseigene Netzwerk verhindert wird, auch ein wichtiger Beitrag zum Schutz der Infrastruktur geleistet. Manche Unternehmen verzeichnen täglich mehrere Hundert solcher Angriffsversuche. Wer sich jedoch ausschließlich auf die Netzwerksicherheit konzentriert, schafft eine harte Schale mit einem weichen Kern. Ist diese harte Schale erst einmal geknackt, dann ist die Bahn frei für unberechtigte Datenzugriffe, denn keine Netzwerkabwehr ist unüberwindbar und Angreifer befinden sich dann wahrscheinlich bereits innerhalb des Netzwerks.

Nach Knacken des Perimeters direkt im Netzwerk
Genauso sind einige der größten Datenlecks entstanden: Insidern ist unberechtigterweise der "Generalschlüssel" in die Hände gefallen. Die Anzahl an Sicherheitsvorfällen, bei denen interne Akteure eine Rolle spielen, steigt. Die Zahlen variieren, aber im Allgemeinen lässt sich sagen, dass interne Akteure an einem Viertel aller Datenschutzverletzungen beteiligt sind. Im Gesundheitswesen sind Insider sogar für 68 Prozent aller Datenlecks verantwortlich.

Leider sind viele Systeme für derartige Angriffe anfällig, weil sie den Datenzugriff ausschließlich nach dem Alles-oder-nichts-Prinzip ermöglichen und keine granularen Sicherheitskontrollen bieten. Das Problem der Insider-Bedrohungen wird zusätzlich dadurch erschwert, dass in modernen Unternehmen Mitarbeiter, Auftragnehmer, Subunternehmer, Handelspartner, Berater, Wirtschaftsprüfer und andere Beteiligte Zugriff auf Daten benötigen. Oft genug ist es deshalb schwierig zu unterscheiden, wer nun intern und wer extern ist.
Risiko minimieren durch richtlinienbasierte Zugriffskontrollen
Manchmal sind es gerade die vermeintlich harmlosen Daten-Management-Entscheidungen, die zu den größten Insider-Bedrohungen führen. So besitzen zum Beispiel viele Organisationen Data Lakes, die allgemein zugänglich sind und wahre Fundgruben darstellen. Data Lakes stellen jedoch oft Risiken für die Sicherheit und die Compliance in Unternehmen dar, da diese Systeme nicht über geeignete Kontrollen verfügen und damit potenziell gegen bestimmte Regeln und Vorschriften bezüglich der Kundendaten verstoßen wird.

Es steht zweifelsohne fest, dass Unternehmen heute eine verbesserte Datensicherheit brauchen. Die Lösung kann jedoch nicht darin bestehen, das gesamte System vollständig abzuriegeln. Denn das Ziel der Datensicherheit muss stets mit einem praktikablen Maß an Datennutzbarkeit vereinbar bleiben. Das heißt, dass Unternehmen über geeignete Sicherheitskontrollen verfügen müssen, um zu gewährleisten, dass freigegebene Daten zugänglich sind und sich von Akteuren mit entsprechenden Zugangsberechtigungen innerhalb und außerhalb des Unternehmens nutzen lassen. Außerdem muss eine Aufgabentrennung gegeben sein, damit die Administratoren, die die Berechtigungen erteilen, nicht selbst Zugriff auf die Daten haben.

Rollen-und richtlinienbasierte Zugriffskontrollen sind unerlässlich, um Daten und die damit verbundenen Zugriffsrechte zu verwalten, zu bewahren und zu überprüfen. Wenn diese Kontrollen nicht verwaltet werden, entsteht unnötige Komplexität und zusätzliches Risiko.

Mehr Sicherheit durch robuste, verschlüsselte Datenbanken
Ein guter Ausgangspunkt für Präventionsmaßnahmen ist die Quelle des Problems, nämlich die Daten selbst. In diesem Zusammenhang ist das Datenbankmanagement und die dafür notwendige Technologie von größter Bedeutung. Eine der sichersten Methoden für die Sicherung und Verwaltung von strukturierten und unstrukturierten Daten ist eine robuste, operationale NoSQL-Datenbank mit detaillierten Zugangskontrollen, um trotz Datenfreigabe eine optimale Datensicherheit zu gewährleisten.

Eine zusätzliche Funktion, die direkt auf das Problem der Insider-Bedrohungen eingeht, ist die erweiterte Verschlüsselung. Denn ohne eine solche Verschlüsselung können Systemadministratoren, Cloudanbieter oder Hacker auf Dateien zugreifen und diese verändern – und das trotz Dateisystemverschlüsselung. Dies gilt auch für Dateien in einer Datenbank.

Die erweiterte Verschlüsselung ermöglicht es, Daten, Konfigurationseinstellungen und Protokolle auf Datenträgern und somit auch im nichtbenutzen Zustand zu verschlüsseln. Für diese Funktion sind keine Modifikationen an Anwendungen erforderlich, die mit NoSQL entwickelt wurden. Zudem ermöglicht die optionale Nutzung eines externen Key Management Systems die Trennung von Aufgaben und die Integration in die vorhandene Sicherheitsinfrastruktur.

Fazit
Der Umgang mit Risiken durch Insider-Bedrohungen ist einer der schwierigsten Aspekte jedes Sicherheitsprogramms. Umso wichtiger ist es für Unternehmen, dafür effektive Technologien zu verwenden. Es ist nicht immer möglich zu wissen, wo die Quelle der Bedrohung liegt. Was sich aber immer anbietet, ist eine verantwortungsvolle Führung und Kontrolle darüber, wer Zugriff auf welche Daten hat und wann und wie diese Daten geteilt werden können. Mit geeigneten Tools für das Datenmanagement können sich Unternehmen gegen Bedrohungen von außen und innen wappnen und so für Sicherheit sorgen. Ein intelligentes Datenmanagement kann viele Sicherheitsrisiken verringern und es Organisationen ermöglichen, sich auf die effektivere Nutzung ihrer Daten zu konzentrieren.
10.07.2019/ln/Dr. Stefan Grotehans, Senior Director Solutions Engineering DACH bei MarkLogic Deutschland

Nachrichten

Schutz und Kontrolle für macOS-Rechner [13.12.2019]

Mit der neusten Version des Privilege Managers von Thycotic lassen sich Least-Privilege-Zugriffskontrollen ab sofort auch auf Workstations und Laptops umsetzen, die auf macOS laufen. [mehr]

Deutliche Zunahme an Bedrohungen [12.12.2019]

Im Jahr 2019 ist die Zahl einzigartiger, schädlicher Bedrohungsobjekte, die durch die webbasierten Antivirenlösungen von Kaspersky identifiziert wurden, im Vergleich zum Vorjahr um knapp 13,7 Prozent angestiegen, so das Ergebnis der im Rahmen des Kaspersky Security Bulletin 2019/2020 veröffentlichten Jahresstatistik. [mehr]

Kampf der Schatten-IT [9.12.2019]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen