Insider Threat Management
Risiko Innentäter (Insider Threat Management) und warum Sie sich beim Thema Privileged Access Management und Monitoring mit dem Datenschutz und Datenpseudomisierung beschäftigen sollten
Die neue EU-DSGVO erhöht die Auflagen für Unternehmen zum Schutz personenbezogener Daten. Insbesondere sind technische Maßnahmen zur Erfüllung der neuen Monitoring- und Rechenschaftspflichten auf Seiten der Unternehmen zu ergreifen.
Der Schutz personenbezogener Daten betrifft jedoch keinesfalls nur Kundendaten, auch die Daten der eigenen Mitarbeiter oder Dienstleister sind zu schützen!
Doch so wie die Zahl und die Kosten von Insider-Bedrohungen durch mögliche Strafen bei Verletzung der DSGVO steigen, so steigt auch die Zahl der zum Teil hitzigen Debatten rund um den Datenschutz für die von diesen notwendigen technischen Maßnahmen zur Überwachung betroffenen Mitarbeitern und Dienstleistern.
Was die Frage aufwirft: Ist es für ein Cybersecurity-Team möglich, die Privatsphäre der Benutzer zu wahren, während es daran arbeitet, Organisationssysteme, Dateien und Daten genau vor unbefugtem Zugriff oder gar ungewolltem Verlust durch eben jene Personen (Mitarbeiter, Dienstleister) zu schützen, deren Privatsphäre sie wahren müssen?
Die kurze Antwort lautet: „Ja!“
Alles beginnt mit der Kultur
Die längere Antwort ist etwas komplizierter (aber trotzdem ein klares „Ja“).
Alles beginnt mit dem Aufbau der richtigen Kultur in Ihrem Unternehmen, zusammen mit der Einführung der richtigen Insider-Bedrohungs-Management-Lösung.
Kultur bedeutet nicht unbedingt nur ständig zu reflektieren, wer man ist oder wo man sich gerade befindet. Nein, Kultur kann Leitsätze beinhalten, die Ihr Team dahin führen, wo Sie in Zukunft sein wollen. Sie umfasst sowohl die individuelle als auch die Prozess-, Team- und Organisationsverantwortung und -ethik.
Eine Organisation, die auf Sicherheit bedacht ist, muss bestimmte Cybersicherheitsfragen in alle ihre täglichen Aktivitäten einfließen lassen und sie gegebenenfalls mit persönlichen Coachings ergänzen.
Diese Fragen können beinhalten:
- Welche Arten von Daten sind über mich verfügbar?
- Wer will meine Daten und warum?
- Wie können meine Daten erhoben, genutzt und gespeichert werden?
- Was sind die möglichen Auswirkungen auf meine Privatsphäre und Sicherheit?
Sie werden feststellen, dass diese Fragen ganz bewusst für den Einzelnen formuliert sind. Hier geht es darum, ein Gefühl der Ausgewogenheit über den Schutz der Daten zu schaffen.
Während Systeme, Dateien und Datenzugriffe auf organisatorischer Ebene durch externe Bedrohungen sowie potenzielle Insider-Bedrohungen durchsickern, durchbrochen, missbraucht usw. werden können, beginnt die systematische Verteidigung beim einzelnen Mitarbeiter oder Anbieter. Wir sind alle individuelle Pförtner!
Sobald diese Einstellung in den Menschen einer Organisation verankert ist, wird es einfacher, eine Kultur des Vertrauens sowohl für den Datenschutz des Einzelnen als auch für die Organisation zu entwickeln und die Cybersicherheitsprozesse und -technologien, die zu ihrer Aufrechterhaltung erforderlich sind, zu nutzen.
Ein guter Prozess umfasst immer die Kultur
Viele Versuche, potenzielle Insider-Bedrohungen zu erkennen und zu beseitigen, konzentrieren sich stark auf den Prozess. Prozessbedeutung: Die Methode zur Begrenzung des Potenzials von Insidern, Daten auf unbefugte Weise, insbesondere ohne Sichtbarkeit und Kontrolle, zu erstellen, zu ändern und auszutauschen.
Es gibt viele weniger sinnvolle Möglichkeiten, dies zu tun, was in der Regel dazu führt, dass der Endbenutzer belastet und die Arbeit erschwert wird. DLP-Software ist dafür berüchtigt.
Das muss aber nicht sein.
Indem Sie menschenfreundliche Prozesse fördern, die auf Barrieren verzichten und stattdessen Leitplanken aufstellen, können Sie eine Cybersicherheitskultur entwickeln.
Wie geht das?
Wichtiger Leitsatz: Es gibt keine negativen Auswirkungen auf etablierte und bewährte Praktiken – der Ansatz ist möglichst nahtlos und kann idealer Weise quasi nebenbei ressourcenschonend im Hintergrund verfolgt werden.
Der nächste Schritt ist die Auswahl einer Insider-Bedrohungs-Management-Lösung, die die Privatsphäre der Benutzer neben den organisatorischen Systemen, Dateien und Daten schützen kann.
Hier kommt dann die Datenpseudonymisierung ins Spiel.
Technologie ist der Treiber von Konsistenz
Eine der größten Schwächen eines jeden Insider-Bedrohungsmanagements oder Cybersicherheitsprogramms liegt in der uneinheitlichen Umsetzung.
Das soll nicht heißen, dass Cybersicherheitsteams nicht alles tun, was sie können, um potenzielle Insider-Bedrohungen zu erkennen und zu beseitigen, sondern dass sie nicht immer kurz innehalten und dabei die Privatsphäre der Benutzer berücksichtigen.
Und wie bereits erwähnt, ist der Aufbau von Vertrauen bei Ihren Mitarbeitern und Drittanbietern (d.h. potenzielle Insider-Bedrohungen) entscheidend für den langfristigen Erfolg eines jeden Insider-Bedrohungsprogramms.
ObserveIT bietet ein DSGVO konformes Insider Threat Management (digitale Forensik Lösung).
Mehr als 1.700 Kunden in 87 Ländern, hauptsächlich in den Bereichen Finanzdienstleistungen, Gesundheitswesen, Fertigung, technische Dienstleistungen, Telekommunikation und Einzelhandel, setzen ObserveIT erfolgreich ein.
ObserveIT ist eine aus meiner eigenen praktischen Erfahrung bewährte und sehr schlanke Software, die eine DSGVO konforme vollständige Aufzeichnung und Wiedergabe (Visual Forensics) von privilegierten Benutzeraktivitäten, eine Verhaltensanalyse und Durchsetzung von Richtlinien ermöglicht.
Anhand zusätzlich gespeicherter textueller Metadaten ist es möglich, in der Datenaufzeichnung auf einen Blick relevante Ereignisse zu erfassen und eine gezielte Teilwiedergabe zu steuern.
Vollständige Aufzeichnung privilegierter Tätigkeiten und doch Datenschutz konform?
Ja, das geht und zwar „out of the box“ durch die eingebaute Möglichkeit der Datenpseudonymisierung!
Wie Benutzer bei aktivierter Datenpseudonymisierung aussehen zeigt der folgende Screesnshot des Dashboard:

Die Datenpseudonymisierungsfunktion von ObserveIT ist ein Weg, um sicherzustellen, dass Ihre Sicherheitsbemühung die Privatsphäre der Benutzer im Auge behält. Sie wird allen Benutzern den Zugriff auf personenbezogene Daten, innerhalb Ihrer Insider-Bedrohungs-Management-Lösung verwehren, es sei denn, sie haben die ausdrückliche Erlaubnis dazu im 4-Augen Prinzip für diesen einen Zugriff zu erhalten.
Ein Beispiel für ein solches akzeptables Szenario könnte sein, wenn ein potenzielles Insider-Bedrohungsereignis entdeckt wurde und eine neutrale Kontrolle, bestehend aus einem HR Vertreter und z.B. dem CISO, gemeinsam die Pseudonymisierung für diesen einen Fall aufheben.
Zu den pseudonymisierten Daten gehören:
- Alles auf dem User Risk Dashboard
- Sitzungsaufzeichnung
- Warnungen
- Benutzernamen
- Persönliche Fotos
- Abteilungszugehörigkeit
- Rollen
- Login-Kontonamen
- Computernamen (auf die zugegriffen wird)
- …und mehr
Die Funktionalität ist bei ObserveIT optional, aber ich empfehle, dass Organisationen die eingebauten Möglichkeiten zur Pseudonymisierung von Daten nutzen. Sie schützt jedes Mitglied des Cybersecurity-Teams vor ungewolltem beiläufigem Zugriff auf personenbezogene Daten (ideal für die Einhaltung der DSGVO-Vorschriften) und schützt vor allem den Endbenutzer – die potenzielle Insider-Bedrohung – vor einer Gefährdung seiner Privatsphäre.
Damit können Sie sich also das Sahnestückchen sichern (effektives Insider-Bedrohungsmanagement) und Sie dürfen es dann auch ohne Reue essen (Schutz der Privatsphäre der Benutzer).
Lassen Sie uns darüber sprechen!