Wie lässt sich die interne Bedrohung quantifizieren?

Wie lässt sich die interne Bedrohung quantifizieren?

Ich habe diese Woche an einem Twitter-Chat zum Thema Cyber Security Governance teilgenommen. Falls Sie den kompletten Wortwechsel lesen möchten, suchen Sie nach dem Hashtag #ITValue. Ansonsten finden Sie hier eine Zusammenfassung.

Es gab einen fantastischen Austausch zu den verschiedenen Risikofaktoren. Wie erwartet, begann die Diskussion mit den offensichtlichen Bedrohungen von außen, doch sie verlagerte sich schnell auf die internen Bedrohungen. Ein Twitter - Kommentavon Nick Prescot betraf die Quantifizierung der internen Bedrohung. Obwohl Twitter eine tolle Erfindung ist, reichen 140 Zeichen manchmal nicht für eine Antwort aus!

Bis vor wenigen Jahren war man sich überwiegend einig, dass die größten Sicherheitsrisiken von Personen außerhalb des Unternehmens ausgingen. Natürlich gab es auch Einzelfälle, in denen Insider am Werk waren, und die Namen Manning und Snowden waren (und sind auch heute noch) in aller Munde. Es gab jedoch keinen brauchbaren empirischen Beleg. In 2013 fanden diverse Umfragen statt, und unsere schien einen Nerv getroffen zu haben. Laut unserer Umfrage gingen 58 % aller Internetrisiken inzwischen nicht mehr von externen Quellen aus, sondern von internen. Das hieß nicht, dass die Zahl der externen Bedrohungen gefallen war, sondern dass die Zahl der Bedrohungen durch interne Quellen zunahm.

Auch wenn interne und externe Angriffe ähnliche Folgen haben (bei beiden landen kritische Informationen dort, wo sie nicht hingehören, und es entstehen Kosten für Geldbußen und Schadensbehebung), gibt es einen bedeutenden Unterschied bei den Personen, die hinter dem „Angriff“ stecken. Interne Angreifer handeln nicht immer in böser Absicht – im Gegenteil. Die Mehrzahl der Ereignisse, die durch Insider ausgelöst werden, ist einem Fehler geschuldet – entweder durch einen Mitarbeiter, einen Prozess oder eine Richtlinie. In einfachen Fällen hatte ein Mitarbeiter Informationen an die falsche E-Mail-Adresse geschickt oder einen ungeschützten Laptop verloren. Ein weiteres, durchaus gängiges Problem tritt auf, wenn Mitarbeiter Informationen an ihre eigene E-Mail-Adresse schicken oder bei Cloud-Speicherdiensten wie DropBox speichern, um zu Hause weiterarbeiten zu können. Auch wenn dieses Vorgehen nicht böswillig ist, kann es zu einer Datenverletzung führen. Natürlich kann man Richtlinien aufstellen, um solche Vorgänge zu unterbinden, allerdings müssen sie zusätzlich durch Technik gestützt werden. Mit Hilfe von Technologie können Sie Ihre Mitarbeiter über geltende Richtlinien informieren und diese auch durchsetzen, gleichzeitig bleiben Sie jedoch flexibel und können aktuellen Arbeitsprozessen gerecht werden.

Durch den Einsatz von Technologien  – genauer gesagt: Adaptive Data Loss Prevention (A-DLP) – können Sie zudem verhindern, dass Informationen mutwillig von Insidern gestohlen werden. A-DLP meldet etwaige Diebstahlsversuche und ermöglicht dem Unternehmen, darauf einzugehen. A-DLP ist ein Beispiel für eine Sicherheitslösung, die Sie nicht nur vor mutwilligen Angriffen schützt, sondern auch allgemeinen Nutzen bietet.

Niemand befasst sich gerne mit der Quantifizierung von internen Risiken, denn es fällt schwer, sich vorzustellen, dass im Unternehmen potenzielle Cyberkriminelle tätig sind. Betrachtet man jedoch das Gesamtbild, also mit unbeabsichtigten Risiken von innen, fällt es Unternehmen leichter, den Prozess und später die Lösung zu rechtfertigen. Wie bei jeder Risikoanalyse bedarf es angemessener Maßnahmen, um übertriebene Reaktionen zu verhindern. Es geht nicht nur um Risiken und Konsequenzen, sondern auch um die Wahrscheinlichkeit.

Nicht alle Informationen sind für das Unternehmen gleichermaßen wertvoll. Kennt man den Wert, den Ort, wo die Informationen aufbewahrt werden und wer darauf zugreifen kann, lässt sich leichter ein System zum Schutz von Informationen aufbauen und das Risiko verringern. Bezüglich Bedrohungen durch interne Mitarbeiter lautet die Devise: verminderter Zugriff auf Informationen bedeutet auch ein vermindertes Risiko. Wichtig ist, sicherzustellen, dass jemand Informationen auch wirklich benötigt. Hätte man Manning und Snowden dadurch aufhalten können? Wahrscheinlich nicht, doch die Konsequenzen wären deutlich kleiner ausgefallen.