Wie man in Corona-Zeiten Insider-Bedrohungen bekämpft

Sicherheit
Zugangskontrollen Access-Control (Bild: Shutterstock)

Cloud-Anbieter wie Microsoft, Google und andere haben kürzlich bestätigt, Schwierigkeiten im Umgang mit dem durch COVID-19 verursachten Anstieg an Remote-Tools zu haben. Unternehmen stellen sich zwar schnell auf die praktischen Herausforderungen der Fernarbeit ein, können aber möglicherweise keine angemessene Datensicherheit gewährleisten.

Insbesondere die Cloud-Nutzung erhöht das Risiko von Insider-Bedrohungen, denn einem aktuellen Bericht zufolge sind 53 Prozent der Unternehmen der Ansicht, dass das Erkennen von Insider-Angriffen in der Cloud erheblich schwieriger ist als on-premise. Daher ist es für Unternehmen heute wichtiger denn je, geeignete Maßnahmen zu ergreifen, um die Insider-Bedrohung zu minimieren und Daten in der Cloud zu schützen.

Warum stellen Remote-Mitarbeiter eine Bedrohung für die Cloud-Sicherheit dar?

Erstens verwenden Remote-Mitarbeiter Cloud-Anwendungen für den Austausch von Daten, auch sensiblen Daten, wobei sie diese fälschlicherweise an unsichere Orte verlegen könnten, was wiederum eine Verletzung der Compliance nach sich ziehen kann. Wenn Mitarbeiter beispielsweise vertrauliche Daten über Microsoft Teams austauschen – eine immer beliebter werdende Telekommunikationsanwendung – werden Daten über den SharePoint Online-Speicher verteilt, was mit einem hohen Risiko für unbefugten Zugriff verbunden ist. Tatsächlich haben 44 Prozent der befragten deutschen Unternehmen, die an Netwrix‘ kürzlich durchgeführten Umfrage teilgenommen haben, keine Übersicht über die zwischen ihren Mitarbeitern via Cloud ausgetauschten, oftmals vertraulichen Daten. Diese Datentransfers entziehen sich der der Kontrolle ihrer IT-Abteilung.

Zweitens arbeiten Remote-Mitarbeiter häufig von ihren persönlichen Geräten aus, die nicht vom IT-Team des Unternehmens kontrolliert werden und die deshalb anfälliger für Datenschutzverletzungen sind als die PCs des Unternehmens. Solche Geräte sind häufig nicht gepatcht und Cyber-Bedrohungen daher besonders ausgesetzt. Sobald sich ein Angreifer im Gerät des Mitarbeiters eingenistet hat, verfügt er über eine “Fernbedienung” und kann die vom Gerät ausgehenden Verbindungen beobachten und missbrauchen. Im Wesentlichen kann er Zugriff auf alle Cloud-Unternehmensdienste erlangen, zu denen der Benutzer eine Verbindung herstellt oder sogar zum lokalen Unternehmensnetzwerk, sobald der Benutzer seine VPN-Verbindung oder Remote-Desktopsitzung (RDP) zu internen Servern herstellt.

Darüber hinaus könnte ein Mitarbeiter sein Gerät verlieren oder anderen Familienmitgliedern die Nutzung erlauben, was zu unbefugtem Zugriff führt. In einigen seltenen Fällen kopieren Mitarbeiter vertrauliche Daten mit böswilliger Absicht aus dem Cloud-Speicher des Unternehmens auf ihre persönlichen Geräte, was ebenfalls ein ernstes Sicherheitsrisiko darstellt.

Schritt 1.: Entwickeln von Sicherheitsrichtlinien für Remote-Mitarbeiter.

Unter normalen Umständen sollte ein Unternehmen idealerweise geeignete Sicherheitsrichtlinien mit besonderem Schwerpunkt auf Cloud-Sicherheit entwickeln, bevor es Mitarbeiter auffordert, von zu Hause aus zu arbeiten. Wichtig ist vor allem, sicherzustellen, dass alle Benutzerberechtigungen für Speicher mit vertraulichen Daten auf Basis des Zugriffsbedarfs erteilt werden, um zu verhindern, dass Insider auf Informationen zugreifen, die sie für ihre Arbeit nicht benötigen. Außerdem ist es wichtig, wirksame Zugriffskontrollen sowie effiziente Methoden zur Identitätsprüfung einzurichten, wie die Multi-Faktor-Authentifizierung, die auch die sensiblen Daten von Unternehmen in der Cloud vor unbefugtem Zugriff schützen.

Last but not least, ist es wichtig, dass die IT-Abteilung die Mitarbeiter in den Dos-and- Don’ts der Cloud schult, angefangen bei den Grundsätzen für den Umgang mit sensiblen Daten bis hin zu Anweisungen zum Patchen und Sichern ihrer persönlichen Geräte. Alle diese Maßnahmen sollten fortlaufend umgesetzt werden, wobei das IT-Team bereit sein muss, die Mitarbeiter bei allen Problemen zu unterstützen, wenn diese von zu Hause aus arbeiten – ganz gleich, ob es sich um ein Betriebsproblem oder ein Sicherheitsproblem handelt.

Schritt 2.: Erlangen Sie Einblick in vertrauliche Daten.

Wenn ein Unternehmen nicht weiß, wo sich seine vertraulichen Daten in der Cloud befinden, kann es nicht gewährleisten, dass Remote-Mitarbeiter die Sicherheitsrichtlinien befolgen. Dies ist besonders schwierig, wenn moderne Unternehmen mehrere Clouds verwenden. Tatsächlich hat McAfee berechnet, dass ein durchschnittliches Unternehmen rund 1.427 verschiedene Cloud-Services verwendet, während ein durchschnittlicher Mitarbeiter bei der Arbeit aktiv 36 Cloud-Services nutzt.

Je mehr Cloud-Services die Remote-Mitarbeiter verwenden, desto schwieriger ist es für das IT-Team eines Unternehmens, deren Umgang mit den Daten zu verfolgen. Dies bedeutet ein erhöhtes Risiko der Verlegung sensibler Daten und damit verbundene schlechte PR- und Compliance-Ergebnisse. Um eine erhöhte Gefährdung von Daten zu verringern, ist es wichtig, über Technologien zu verfügen, mit denen vertrauliche Daten in mehreren Cloud-Speichern automatisch erkannt und gemäß ihrer Vertraulichkeit kontinuierlich klassifiziert werden können.

Schritt 3.: Überwachen Sie die Benutzeraktivität bei vertraulichen Daten

Da die Cloud für eine ganze Bandbreite an Bedrohungsvektoren zur Datenabschöpfung durch Insider anfällig ist, ist es für ein Unternehmen von besonderer Wichtigkeit, solche Fälle rechtzeitig zu erkennen. Ist es Malware, die versucht, in das Unternehmensnetzwerk einzudringen, oder ein Insider, der die Kundendatenbank stehlen möchte? All diese und viele andere Cloud-Sicherheitsrisiken gehen mit Anomalien bei der Benutzeraktivität einher. Wenn ein Unternehmen Cloud-Computing und Cloud-Storage verwendet, ist es also wichtig, über UBA-Technologien (User Behaviour Analysis) zu verfügen, mit denen Abweichungen vom normalen Benutzerverhalten erkannt werden können und ein IT-Team auf potenzielle Cloud-Bedrohungen aufmerksam gemacht werden kann.

Beispiele für die häufigsten Anomalien, die auf eine Bedrohung hinweisen, sind abnormale Anmeldeaktivitäten (z. B. Versuche, sich von mehreren Endpunkten aus anzumelden, mehrere nachfolgende Anmeldungen in kurzer Zeit und eine ungewöhnlich hohe Anzahl an Anmeldefehlern) oder Datenzugriffsmuster, die sich vom früheren Verhalten des Benutzers oder dem seiner Kollegen unterscheiden. Wichtig ist, zu beachten, dass die Verlagerung von Büroarbeit auf Fernzugriff wahrscheinlich zu anfänglichen Änderungen der Zugriffsmuster der Benutzer führen wird. Unternehmen können davon ausgehen, dass ihre Lösungen zur Erkennung von Verhaltensanomalien, die auf maschinellem Lernen beruhen, in den ersten Wochen, nachdem Benutzer ihre Bürozentralen verlassen haben, eine höhere Anzahl an Falschmeldungen liefern, als dies normalerweise der Fall ist.

Solche Maßnahmen helfen Unternehmen, Insider-Bedrohungen in der Cloud nicht nur während des „weltweit größten Work-from-Home-Experiments“ zu minimieren, wie das Time-Magazin den COVID-19-Ausbruch genannt hat, sondern auch, wenn dieser zu Ende geht. Mit der anschließenden wirtschaftlichen Rezession, die voraussichtlich folgen wird, bleibt Cloud Computing eine kostengünstige Möglichkeit der Unternehmensführung. Eine nachhaltige Herangehensweise an die Cloud-Sicherheit ermöglicht es Unternehmen, langfristig unerwünschte Datenverletzungen und hohe Compliance-Bußgelder zu vermeiden.

Autor
Erfahren Sie mehr 
Jürgen Venhorst ist Country Manager DACH bei Netwrix.
Erfahren Sie mehr