Pfefferminzia
Anmelden
 
Kriminelle Mitarbeiter

Bedrohungen durch Insider – drei Ansätze zur Abwehr

Kriminelle Mitarbeiter bringen ihre Arbeitgeber durchschnittlich um 115.000 Euro. Diese Meldung des Versicherungsverbandes GDV hatte für großes Aufsehen gesorgt, denn Bedrohungen werden gerne Außenstehenden angelastet. Warum es falsch wäre, den unvermeidlichen Angriff von verärgerten Mitarbeitern abzuwarten und was zu tun ist, um Gefahren abzuwehren, erklärt Mark Rayner, Head of Financial Services Consulting, von BAE Systems, in seinem Gastbeitrag.
© dpa
Tatort Büro: Während von außen kommende Angreifer häufig ausgeklügelte Abwehrmaßnahmen durchbrechen müssen, gibt es wenig, was interne Angreifer daran hindert, ihre Pläne in die Tat umzusetzen.

Die Vorstellung, dass Bedrohungen für Unternehmen in erster Linie von außen kommen, ist weit verbreitet. Solche Bedrohungen sind unter anderem die Wettbewerber, unvorhergesehene Ereignisse und Störfälle. Dies sind echte Risiken, die jedes Unternehmen – ob Versicherer oder andere – kennen sollten. Es lohnt sich jedoch, auch im eigenen Unternehmen genauer hinzuschauen.

Während von außen kommende Angreifer häufig ausgeklügelte Abwehrmaßnahmen durchbrechen müssen, gibt es wenig, was interne Angreifer daran hindert, ihre Pläne in die Tat umzusetzen. Außerdem kennen die eigenen Mitarbeiter die im Unternehmen vorhandenen Werte und es gibt eine Menge digitaler Hilfsmittel wie USB-Sticks, Bluetooth-Dateitransfers und intelligente mobile Endgeräte, mit denen diese in Bargeld umgewandelt werden können.

Interne Bedrohungen haben viele Gesichter: der verärgerte Büroangestellte, das Erpressungsopfer in der Buchhaltung ebenso wie der Spion, der Naive oder der kleine Zulieferer, dem vertrauensvoll Zugang zum eigenen Netzwerk gewährt wird. Dies macht den Insider zu einem Verdächtigen, der kaum zu antizipieren ist und gegen den man sich nur schwer verteidigen kann.

Ein erkenntnisgestützter Ansatz

Unternehmen sollten sich jedoch keineswegs zurücklehnen und den unvermeidlichen Angriff von verärgerten Mitarbeitern abwarten. Im Gegenteil, wir denken, dass es an der Zeit ist, proaktiv zu sein und einen erkenntnisgestützten Ansatz zu verfolgen, der sich auf drei wichtige Arbeitsbereiche konzentriert.

Da ist zum ersten die Risikoanalyse. Versicherer – genauso wie jedes andere Unternehmen – müssen verstehen, was sie schützen, vor wem und in welchen Szenarien. Das Wichtigste hierbei ist, sich auf die kritischen Assets und die besonders privilegierten Nutzer zu konzentrieren. Die Identifizierung diese beiden Elemente bringt den größten Return on Investment. Ein auf die wichtigsten Gruppen zielender Ansatz trägt auch den Bedenken Rechnung, die hinsichtlich der Erfassung von großen Datenmengen bestehen. Ein guter Ausgangspunkt ist die Identifizierung von Personen und Gruppen, die auf die kritischen Vermögenswerte eines Unternehmens zugreifen oder diese beeinflussen können. Ebenso wichtig ist es, die Bereiche im Unternehmen in den Blick zu nehmen, die am leichtesten angreifbar sind.

Der zweite Schritt bezieht sich auf Policy und Governance. Versicherungsunternehmen müssen sich darüber im Klaren sein, was sie bereit und in der Lage sind, zum Schutz vor Insidern zu tun. Dies wird aufgrund der besonderen Sensibilität am besten mit einem speziellen Insider-Threat-Management angegangen, in das ein breites Spektrum von Interessengruppen wie HR, Sicherheit, Recht, Risiko, IT und Beschaffung eingebunden sind. Hierfür bedarf es einer kontinuierlichen Kommunikation mit den Mitarbeitern und deren Sensibilisierung. Unternehmen müssen dies Schritt für Schritt tun, beginnend mit der Identifizierung der wichtigsten Interessengruppen, der Einbindung der notwendigen Personen, der Implementierung der Prozesse und der kontinuierlichen internen Kommunikation, um das Bewusstsein zu schärfen und die Ergebnisse zu überwachen.

Und schließlich darf auch der technische Bereich nicht vergessen werden. Versicherer müssen technische und erkenntnisgestützte Fähigkeiten bereitstellen, um die erforderliche Sicherheit zu gewährleisten. Traditionelle Quellen wie Netzwerk-Protokolle und Data-Loss-Prevention-Lösungen sowie Gebäudezugriffsaufzeichnungen können ebenso wie nicht-technische Quellen, etwa Mitarbeiterleistungsnachweise, verwendet werden, um eine Reihe von Risikoindikatoren zu entwickeln.

Entscheidend ist, dass Versicherungsunternehmen robuste Ablaufpläne und Handlungsanweisungen haben, um Warnmeldungen zu sichten und weiter zu untersuchen. Es wird zwangsläufig einige Zeit dauern, bis die entsprechenden operativen Zielvorgaben in die Abläufe eines Unternehmens integriert sind. Dennoch sollte ihre Bedeutung nicht unterschätzt werden.

Die Skeptiker für sich gewinnen

Wie berechtigt dieser Ansatz auch sein mag – so sollte man doch Widerstand von denen einkalkulieren, die bezüglich von Bedrohungen und Chancen ihren Blick nach außen richten. Fragen werden auftauchen wie: „Müssen wir uns wirklich auf interne Themen konzentrieren?“ Die Antwort ist ein dezidiertes Ja, nicht zuletzt, weil solche Angriffe von innen nicht nur einen Schaden bezüglich von Vermögenswerten anrichten, sondern auch einen enormen Einfluss auf die Reputation haben können.

Eine Herausforderung könnte auch die Terminologie sein. Der Begriff „Insider-Bedrohung“ wir eventuell von manchen als nicht mit der Unternehmenskultur kompatibel angesehen. Wenn dies der Fall ist, müssen die Mitarbeiter anhand von Beispielen aus anderen Branchen über die Risiken aufgeklärt werden, die von Insidern ausgehen.

Die Vorstellung, dass sie ihnen nicht mehr vertraut sind, könnte Mitarbeiter verärgern. Dem kann entgegengehalten werden, dass der Schutz kritischer Assets notwendig ist und diese vor versehentlichen und böswilligen Angriffen geschützt werden müssen. Die Mitarbeiter müssen die Corporate Governance-Kontrollen verstehen, ebenso wie die Einbeziehung von Rechts- und Personalabteilung.

Auch die IT- und Sicherheitsteamswerden wahrscheinlich ihre Bedenken äußern und darauf hinweisen, dass sie die Netzwerknutzung bereits überwachen. Das ist sicher korrekt, aber ein besseres Verständnis der kritischen Assets und das Wissen, welche Nutzer und welche Prozesse ein hohes Risiko darstellen, erhöht die Erkennungsraten und hilft, Fehlalarme zu reduzieren.

Und schließlich könnte sich die interne Revision über einen Mangel an Ressourcen beschweren oder anführen, dass das Unternehmen bereits alle einschlägigen Vorschriften einhält. In diesem Fall kann man die Vorteile eines risikoorientierten Ansatzes hervorheben, der es dem Unternehmen ermöglicht, fundierte Entscheidungen darüber zu treffen, wo und wann es seine Ressourcen investiert.

Dies sind Vorschläge, die auf die individuellen Herausforderungen jedes Versicherers, ob groß oder klein, zugeschnitten werden müssen. Ihre Einführung kann den entscheidenden Unterschied ausmachen zwischen der Verhinderung eines katastrophalen internen Angriffs und dem Erreichen sicherer interner Daten und Systeme.

Mehr zum Thema

61 Prozent der Unternehmen von Cyber-Angriffen betroffen

61 Prozent der im Rahmen einer Hiscox-Studie befragten Unternehmen haben im vergangenen Jahr mindestens einen…

Deutsche Angestellte schützen sich kaum vor Cybergefahren

Nur jeder dritte deutsche Arbeitgeber hatte schon einmal eine IT-Sicherheits- oder Datenschutzschulung. 6 Prozent der…

So hoch sind die Schäden durch kriminelle Mitarbeiter

Wer sich als Chef eines Unternehmens vor Schäden schützen will, sollte auch seine Mitarbeiter gelegentlich…

Autor

Teilen:
Nicht verpassen!

Pfefferminzia.pro

Eine Plattform, die liefert: aktuelle Informationen, praktische Services und einen einzigartigen Content-Creator für Ihre Kundenkommunikation. Alles, was Ihren Vertriebsalltag leichter macht. Mit nur einem Login.

Jetzt anmelden

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Pfefferminzia
Pfefferminzia