Sicherheit im Unternehmen: Achillesferse Mitarbeiter

Ransomware, Trojaner und Malware – häufig halten Unternehmen Hackerangriffe für das größte Sicherheitsrisiko. Eine aktuelle Studie des Branchenverbandes Bitkom scheint dies zu bestätigen: Demnach sind in den vergangenen drei Jahren 69 Prozent der deutschen Industrieunternehmen Opfer von Datendiebstahl, Spionage oder Sabotage geworden. Weitere internationale Studien kommen zu ähnlichen Ergebnissen. Doch in einem Großteil der Fälle sind es nicht Angreifer von außen, die Lücken im Firmennetzwerk ausnutzen.

Thomas Deutschmann, der Autor dieses Gastbeitrags für silicon.de, ist CEO der Brainloop AG (Bild: Brainloop).

Der Angriff auf die wertvollen Unternehmensdaten erfolgt in 65 Prozent der Fälle über aktuelle oder ehemalige Mitarbeiter. Sei es der Verlust eines Smartphones mitsamt Passwörtern und wichtigen E-Mail-Anhängen oder der bewusste Diebstahl von Unternehmensdaten – die Konsequenzen für das Unternehmen können fatal sein.

Das Risiko, das von den eigenen Mitarbeitern ausgeht, lässt sich nicht vollständig eliminieren, aber erheblich eindämmen. Doch Unternehmen sind nur selten genauso gut mit Mitteln und Tools gegen interne Angriffe ausgestattet wie gegen Attacken von außen. Die folgenden Tipps helfen bei der Entwicklung einer nachhaltigen internen Sicherheitsstrategie:

1. Differenzierte Zugriffsrechte einführen

Prinzipiell gilt: Vertrauliche Dokumente sollten stets in einer geschützten Umgebung abgelegt werden. E-Mail-Postfächer, Consumer-Filesharing-Dienste und selbst lokale Speichermedien sind potentiell unsicher und anfällig für Hacking-Angriffe oder menschliches Versagen.

Um sensible Daten effektiver zu schützen, müssen Mitarbeiter aus unterschiedlichen Abteilungen mit den passenden Zugriffsrechten ausgestattet werden. Damit wird das Sicherheitsziel des Need-to-know-Prinzips erfüllt: Werden Dokumente und Datensätze nicht unmittelbar für eine Aufgabe benötigt, erhält der jeweilige Mitarbeiter auch keinen Zugriff. Durch verschiedene Abstufungen lassen sich unternehmensintern sogenannte “Chinese Walls” hochziehen, die den Informationsaustausch zwischen unterschiedlichen Abteilungen verhindern. So kann der Umfang eines etwaigen Datenverlusts begrenzt werden.

2. Hochsichere Zweifach-Authentifizierung nutzen

Gerade wenn das Passwort geknackt wurde, ist die Zweifach-Authentifizierung Gold wert. Für den Zugriff auf das System muss der Anwender dann nämlich nicht nur sein Passwort eingeben, sondern erhält zusätzlich eine Tan per SMS oder scannt den QR-Code mit dem Handy, so dass er nur für eine Sitzung oder einen Tag Zugriff auf das System hat. Ein Angreifer müsste also nicht nur das Passwort kennen, sondern auch im Besitz des Mobiltelefons sein, um sich im System anzumelden.

3. Informationen abschirmen

Selbst ein durch und durch ausgeklügeltes System für Zugriffsrechte hilft nichts, wenn IT-Administratoren alles einsehen und nach Belieben unbemerkt herunterladen, ändern oder löschen können. Gleiches gilt für den Anbieter der Lösung. IT-Personal und -Dienstleister werden gerne vergessen, sollten aber beim Verteilen der Zugriffsrechte unbedingt berücksichtigt werden. Gerade der Anbieter darf niemals Zugriff auf die Dokumente erhalten, die mit seiner Lösung verwaltet werden, da sonst Datenschutzbestimmungen eventuell nicht erfüllt werden und Vertraulichkeit nicht gegeben ist.

4. Information Rights Management implementieren

Mit Information-Rights-Management-Technologien lassen sich sensible Dokumente kontrollieren und beispielsweise vor unerwünschtem Herunterladen oder Ausdrucken schützen. Dadurch behält man effektiv die Kontrolle über Dokumente, auch wenn Anwender zum Zugriff auf die Informationen berechtigt sind. Der Administrator kann dabei unternehmensweit gewisse Security-Policies für verschiedene Schutzklassen festlegen und so etwa interne, vertrauliche und streng vertrauliche Dokumente mit unterschiedlichen Schutzmechanismen versehen. Ein Beispiel: Streng vertrauliche Dokumente sollten den Datenraum auf keinen Fall verlassen und dürfen deshalb weder heruntergeladen, noch ausgedruckt werden.

5. Historie revisionssicher aufzeichnen

Um einen Datendiebstahl zu verhindern oder im Nachhinein aufzudecken, bietet es sich an, alle Vorgänge in einer revisionssicheren Historie aufzuzeichnen. Das ermöglicht einen durchgehend transparenten und nachvollziehbaren Informationsfluss. In Kombination mit Information Rights Management können gerade Innentäter schneller entlarvt werden, da der Zugriff im System protokolliert wurde.

Redaktion

View Comments

  • Guter Beitrag, interessant ist die Zweifach-Authentifizierung wie bei der epost oder einer Bank!
    Für die Punkte 3-4 wären ein paar Beispiel zur besseren Veranschaulichung gut gewesen.
    Fazit: Da habe viele Unternehmen, gerade aus dem Mittelstand, die lieber sparen zu in die IT zu investieren, aber noch einen weiten Weg vor sich....
    Und sie als security Anbieter werden sich über viele Aufträe freuen :.)

  • Guter Beitrag. Bedenken Sie bitte auch das produktives Arbeiten heute auch immer mehr auf dem Smartphone stattfindet. Für das iPhone gibt es im App-Store z.B. 45 Apps von SAP. Wenn das Smartphone aber Teil des ersten Faktors ist, dann kann es gerade deshalb nicht mehr Teil eines zweiten Faktors sein. SMS-TAN oder QR-Code scheiden dann als Optionen aus. Insgesamt ist ein Smartphone, das ja ursprünglich für ganz andere Zwecke designed wurde, keine sichere Plattform. Schon allein wegen der Update-Problematik. In seinen Basismaßnahmen der Cyber-Sicherheit BSI-CS 006 empfiehlt das Bundesamt für Sicherheit in der Informationstechnik: "Eine Authentisierung allein mit Nutzername und Passwort ist nicht ausreichend. Schadprogramme wie Trojanische Pferde oder Keylogger greifen unmittelbar die Passwörter ab, sodass auch komplexe Passwörter oder ein häufiger Passwortwechsel keinen hinreichenden Schutz bieten. Wirksam abgewehrt werden solche Angriffe erst mittels eines zweiten, außerhalb des Systems liegenden Faktors wie z. B. eines Hardware-Tokens."

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

23 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

24 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago