Ilona - stock.adobe.com
Schutz vor Datenverlust: DLP muss neu gedacht werden
Angesichts der geänderten Arbeitsumgebungen bleiben für traditionelle DLP-Ansätze riskante Nutzeraktionen oft unsichtbar. Das Mitarbeiterverhalten ist ein wichtiger Faktor.
Die Arbeits- und Geschäftswelt hat sich seit 2020 drastisch verändert. Home-Office, verteilte Teams und hybride Arbeitsformen sind für viele Beschäftigte zum Alltag geworden. Arbeiteten 2017 nur elf Prozent der Erwerbstätigen in Deutschland ganz oder teilweise im Home-Office, waren es im Jahr 2021 mehr als 30 Prozent.
Während sich die meisten Unternehmen in der Praxis an die neue Arbeitswelt angepasst haben, sind viele technische und organisatorische Maßnahmen noch nicht auf dem neuesten Stand. So orientieren sich zum Beispiel die meisten Regeln zum Schutz von Daten am traditionellen Modell der Präsenzarbeit.
Das gilt auch für herkömmliche DLP-Tools (Data Loss Protection). Sie sind darauf ausgelegt, sensible Informationen innerhalb des Unternehmens zu halten und Angreifer von außen abzuwehren. Dabei wird zwar zwischen Daten in Benutzung (Data in Use), beim Transfer (Data in Motion) und bei der Speicherung (Data at Rest) unterschieden, der Kontext, in dem die Datenverarbeitung stattfindet, bleibt aber weitgehend unberücksichtigt.
Wenn Mitarbeiter unterwegs sind oder von zu Hause aus arbeiten, ändern sich die Bedingungen für den Zugriff und den Schutz von Daten jedoch grundlegend. Dabei geht es weniger um neue Werkzeuge, Verfahren und Kontrollmechanismen, sondern vielmehr darum, den Anwender und sein Verhalten in den Mittelpunkt zu stellen.
Warum es an der Zeit ist, DLP neu zu denken
Während Unternehmen noch damit hadern, ihre Organisation an die neue hybride Arbeitswelt anzupassen, haben Cyberkriminelle ihre Chance längst erkannt. Sie schlagen Kapital aus den Unsicherheiten und ungewohnten Abläufen und haben insbesondere die Pandemie dazu genutzt, ihre Phishing-Aktivitäten zu intensivieren. Es ist also kein Wunder, dass 95 Prozent der Unternehmen im vergangenen Jahr von einem solchen Angriff getroffen wurden. Bei über der Hälfte dieser Unternehmen wurde dabei mindestens ein Nutzerkonto kompromittiert.
Die Folgen für die Betroffenen können gravierend sein. So haben sich die Schäden, die durch solche Angriffe entstehen, in den vergangenen Jahren nahezu verdoppelt. Musste ein Unternehmen 2015 noch durchschnittlich rund 380.000 US-Dollar für die Bereinigung eines kompromittierten Accounts aufwenden, waren es im vergangenen Jahr nahezu 700.00 US-Dollar.
Herkömmliche DLP-Anwendungen können zwar Phishing-Angriffe prinzipiell erkennen und abwehren, darüber hinaus sind sie aber blind. Gelingt es einer Malware, die erste Hürde zu überwinden, kann sie sich ungehindert im Firmennetz ausbreiten. Auch das Verhalten des Mitarbeiters vor, während und nach einem Angriff lässt sich nur schwer rekonstruieren, riskante Nutzeraktionen bleiben im Dunkeln.
Traditionelle DLP-Software führt zudem häufig zu Fehlalarmen, weil ihre Regeln zu pauschal definiert sind und ganze Abteilungen oder Organisationen betreffen. Bei einer aktuellen Umfrage gaben fast 70 Prozent der Teilnehmer an, dass drei Viertel aller Warnungen aus ihren DLP-Systemen falsch seien.
Eine moderne DLP-Lösung hingegen kann IT-Teams dabei helfen, Malware zu erkennen und zu sperren sowie bekannte Angreifer und verdächtige IP-Adressen zu blockieren. So lässt sich der durch eine Kontenübernahme verursachte Schaden rasch eindämmen.
In modernen DLP-Lösungen werden die Reaktionsschwelle und die durch einen Alarm ausgelösten Maßnahmen individuell an das Risikoniveau eines Nutzers und an die Sensibilität der Daten angepasst, auf die zugegriffen wird. Dieser Ansatz ist auch dann wirksam, wenn die Angriffe nicht von außen, sondern aus dem Unternehmen selbst kommen – eine Gefahr, die immer häufiger zu beobachten ist. Allein von 2018 bis 2021 sind die durchschnittlichen Kosten, die durch Insider-Bedrohungen entstehen, für die Unternehmen um 31 Prozent auf nun 11,45 Millionen US-Dollar gestiegen.
Mitarbeiterverhalten im Fokus
Bei mehr als 90 Prozent der Cyberangriffe ist eine menschliche Interaktion notwendig. Mit anderen Worten: Das Verhalten der eigenen Mitarbeiter entscheidet darüber, wie gut die IT-Sicherheit in einem Unternehmen wirklich ist. Schließlich sind es die Mitarbeiter, die Zugang zu sensiblen Daten und privilegierten Accounts haben, die sich Passwörter ausdenken und diese eingeben, die auf Links klicken, Downloads anstoßen oder Makros in Office-Dokumenten aktivieren.
„Das Verhalten der eigenen Mitarbeiter entscheidet darüber, wie gut die IT-Sicherheit in einem Unternehmen wirklich ist.“
Adenike Cosgrove, Proofpoint
DLP-Lösungen müssen deshalb das menschliche Verhalten mit berücksichtigen, egal ob sich der Mitarbeiter im Büro, zu Hause oder auf Reisen befindet. Leider beachten traditionelle Systeme den Kontext nicht, was in der Regel bei jedem auffälligen Verhalten zu einem Alarm führt. Das beeinträchtigt die Benutzerzufriedenheit und kostet Sicherheitsteams wertvolle Zeit.
In Zeiten, in denen normales Arbeiten jeden Tag anders aussehen kann, ist dieser Ansatz nicht mehr zweckmäßig. Home-Office und hybride Arbeitsformen benötigen Lösungen, die den Datenverkehr proaktiv an allen Endpunkten überwachen und den Kontext berücksichtigen. Dabei geht es nicht nur darum, von wo und wie Nutzer zugreifen, sondern auch darum, ob etwa Cloud-Konten oder Anwendungen von Drittanbietern involviert sind.
Solche Schutzmaßnahmen müssen jedoch als Teil einer Gesamtstrategie verstanden werden, die auch Security-Schulungen und Awareness-Programme mit einbezieht. Die Nutzer müssen verstehen, welche Rolle sie bei Cyberangriffen spielen, und wie sie zur Verringerung des Risikos beitragen können.
Die Cyberkriminellen von heute entwickeln ständig neue ausgefeiltere Bedrohungen, die direkt auf das Mitarbeiterverhalten zielen. Verteidigungsmaßnahmen müssen sich folglich ebenfalls weiterentwickeln. Ansonsten ist dies ein Wettrüsten, das nicht gewonnen werden kann.
Über den Autor:
Adenike Cosgrove ist VP Cybersecurity Strategy EMEA bei Proofpoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.