ObserveIT

6 Maßnahmen gegen Insider-Bedrohungen

• Benennen Sie einen Hauptverantwortlichen

  Zunächst sollten Sie die sicherheitsbezogenen Rollen und Zuständigkeiten in Ihrem Team klären. Wer übernimmt die Verantwortung für die Planung und Umsetzung sämtlicher Maßnahmen zur Abwehr von Insider-Bedrohungen? Die verantwortliche Person sollte in der Lage sein, klare Ziele für das Programm zu formulieren und die dazu passenden Tools und kompetentesten Teammitglieder auszuwählen. Durch die Benennung dieses Hauptverantwortlichen wird sichergestellt, dass das Thema nicht von der Agenda verschwindet.

• Schulen Sie Ihre Mitarbeiter

  Den meisten Insider-Bedrohungen liegt keine böse Absicht zugrunde. Sie gehen von unachtsamen oder fahrlässigen Mitarbeitern aus, die beispielsweise auf einen Link in einer Phishing-E-Mail klicken oder wichtige Dateien an ihre persönliche E-Mail-Adresse schicken, damit sie von zu Hause aus arbeiten können. Doch mit gezielten Schulungen können Sie das Personal Ihres Unternehmens für die von Online-Aktivitäten ausgehenden Risiken sensibilisieren. Dadurch steigt die Wahrscheinlichkeit, dass Ihre Mitarbeiter sicherheitsbewusst agieren und Vorgaben und Best Practices einhalten.

• Nutzen Sie vorhandene Tools

  Viele der derzeit in Unternehmen eingesetzten Sicherheitstools wurden nicht für die Bekämpfung von Insider-Bedrohungen entwickelt. Trotzdem können sie hilfreich sein. Deshalb sollten Sie ein Verzeichnis aller Ihnen zur Verfügung stehenden Tools anlegen. Welche Daten werden jeweils erfasst? Und wie werden diese analysiert? Außerdem lohnt es sich herauszufinden, welche Tools so angepasst werden können, dass sie die Aufdeckung und Prävention von Insider-Bedrohungen unterstützen. Und schließlich sollten Sie sich darum bemühen, die von Ihrer SIEM-Software und anderen Tools erfassten Daten in eine speziell auf die Erkennung von Insider-Bedrohungen ausgelegte Lösung einzuspeisen.

• Konzentrieren Sie sich auf die kritischen Ressourcen

  Allzu oft verlieren Sicherheitsteams angesichts der großen Menge der von Sicherheits- und Protokollierungstools generierten Daten den Überblick. Doch wie lassen sich Bedrohungen erkennen, wenn sie in der Datenflut untergehen? Das geht nur, wenn Sie klare Prioritäten setzen. Daher sollten Sie genau festlegen, welche Daten und Services für Ihr Unternehmen geschäftskritisch sind, und sich zunächst auf deren Schutz konzentrieren.

• Überwachen Sie interne Nutzer und die Mitarbeiter von Partnerunternehmen

  Auch wenn Sie Mitarbeiter Ihres Unternehmens und zugriffsberechtigte Angestellte von Zulieferern, Vertriebspartnern und Beratungsfirmen als vertrauenswürdig einstufen, müssen Sie deren Aktivitäten trotzdem überwachen, um unachtsames riskantes Verhalten rechtzeitig unterbinden zu können. Deshalb ist eine Lösung für die kontinuierliche Überwachung der Nutzeraktivitäten eine wichtige Komponente jedes Programms zur Bekämpfung von Insider-Bedrohungen. Damit erhalten Mitarbeiter bei potenziell gefährlichen Vorgängen oder Richtlinienverstößen Warnmeldungen in Echtzeit. Zusätzlich werden die Sicherheits- und IT-Teams entsprechend benachrichtigt und können dann jeden Vorfall unter Zuhilfenahme umfangreicher Logdateien und Protokolle untersuchen.

• Erstellen Sie einen Notfallplan

  Sämtliche (absichtlichen oder unabsichtlichen) riskanten Aktivitäten erfordern eine umgehende, passende Reaktion. Aus diesem Grund sollten Sie einen Notfallplan erstellen, in welchem im Detail festgelegt ist, welche Maßnahmen zu welchem Zeitpunkt eingeleitet werden müssen, wenn eine Insider-Bedrohung erkannt wurde. So versetzen Sie Ihre Sicherheits- und IT-Teams in die Lage, schnell und effektiv zu handeln.