Sicherheitsteams stehen oft vor der schwierigen Frage, wie sie die Aktivitäten von Anwendern auf riskantes Verhalten überwachen können, ohne dabei ihre Privatsphäre zu kompromittieren. Das richtige Gleichgewicht ist nicht leicht zu erreichen, denn es ist ein schmaler Grat zwischen der Gewährleistung zuverlässiger Sicherheit und der Wahrung der Vertraulichkeit sensibler Mitarbeiterdaten. Dieses Gleichgewicht ist jedoch möglich und auch äußerst wichtig – und jedes vertrauenswürdige und effektive Programm zu Insider-bezogenen Risiken muss es einhalten.
Anlässlich der Datenschutzwoche stelle ich Ihnen in diesem Blog-Beitrag 10 empfohlene Vorgehensweisen vor, mit deren Hilfe Sie ein zuverlässiges Programm zu Insider-bezogenen Risiken erstellen können, das Ihre Anforderungen sowohl an den Datenschutz als auch an die Sicherheit erfüllt.
1. Frühzeitige Einbindung von Vertretern der Datenschutz- und Rechtsabteilungen
Sie sollten von Anfang an die richtigen Mitarbeiter zusammen an einen Tisch bringen. Während der Entwicklungshase des Programms müssen Sie Berater zu Datenschutz- oder Mitarbeiterfragen einbinden, damit wichtige Datenschutzaspekte von Anfang an berücksichtigt werden. Diese Berater können wertvolle Einblicke in ethische und rechtliche Vorgaben liefern, die erfüllt werden müssen.
Sie sollten während aller Programmphasen eng eingebunden werden. Regelmäßige Updates über die Ziele, den Umfang und die Abläufe des Programms fördern das Vertrauen zwischen Sicherheitsteams und Beratern zu Datenschutzaspekten. Wenn Sie zeigen, dass die Wahrung der Privatsphäre schon immer höchste Priorität hatte, wird auch das Insider-Risiko-Team hinter diesem Ziel stehen.
Beispiel
Wenn Sie ein Programm zur Verwaltung von Insider-Risiken implementieren, sollten Sie Ihren Datenschutzbeauftragten in die Planung einbeziehen. Damit stellen Sie sicher, dass Ihr Programm die DSGVO und andere Datenschutzbestimmungen einhält. Proaktiver Datenschutz verhindert, dass personenbezogene Daten kompromittiert werden können.
2. Definition des Programmumfangs und der Berichtsschwellenwerte
Klare Grenzen gehören zu den wichtigsten Komponenten eines jeden Programms zu Insider-bezogenen Risiken. Definieren Sie, was unter „riskanten Aktivitäten“ zu verstehen ist. Meist ist das in vorhandenen Verhaltens-, Compliance- oder Sicherheitsrichtlinien erfasst. Zudem müssen Sie klar definieren, welche Verhaltensweisen bestimmte Risikostufen auslösen und wann riskante Verhaltensweisen eine genauere Untersuchung erforderlich machen. Damit können Sie nicht übermäßige Datenerfassungen und Untersuchungen reduzieren, sondern auch sicherstellen, dass der Umfang der Überwachung dem Risiko angemessen ist. Denken Sie immer daran: Obwohl Unternehmensrichtlinien definiert und in großem Umfang weitergegeben werden, sollten die Schwellenwerte und Erkennungsfunktionen nur befugten Personen bekannt sein.
Beispiel
Angenommen, Ihr Programm erkennt, dass Anwender große Mengen vertraulicher Daten herunterladen. Legen Sie einen Schwellenwert fest, der nur dann eine Warnmeldung auslöst, wenn eine Person mehr als die übliche Anzahl Dateien herunterlädt. Andere Schwellenwerte können Anwender betreffen, die das Unternehmen verlassen könnten oder die Sicherheitskontrollen umgehen. Damit wird der Umfang des Programms eingegrenzt und die Wahrscheinlichkeit minimiert, dass Analysten harmloses Verhalten untersuchen. Es gibt keine hundertprozentige Garantie dafür, dass es im Zuge von Risikominimierungen nicht zu unnötigen Untersuchungen kommt. Deshalb ist es so wichtig, die nächsten acht empfohlenen Vorgehensweisen zu implementieren.
3. Transparente Kommunikation, aber mit Bedacht
In vielen Unternehmen gibt es rund um das Programm zu Insider-bezogenen Risiken viele Unklarheiten, was Gerüchte und Misstrauen fördert. Mit offener und möglichst proaktiver Kommunikation können Sie das vermeiden und die klare Botschaft vermitteln, dass das Programm mit den Zielen und Kernwerten Ihres Unternehmens übereinstimmt.
Außerdem ist es wichtig, über die positiven Auswirkungen Ihres Programms zu berichten. Informieren Sie auf jeden Fall noch einmal alle Anwender darüber, welche Datenschutzmechanismen implementiert sind und welchen Zweck Ihr Programm insgesamt erfüllt. Transparente Kommunikation kann Unklarheiten beseitigen und Mitarbeitern versichern, dass ihre Privatsphäre respektiert wird.
Transparenz ist wichtig. Diskretion aber auch. Details zu ausgelösten Warnmeldungen und Untersuchungen sollten ausschließlich an relevante Gruppen weitergegeben werden. So können Sie sicherstellen, dass Ihr Programm nicht unterlaufen wird, und verhindern, dass Anwender Sicherheitskontrollen umgehen.
Beispiel
Sobald Ihr Programm positive Ergebnisse zeigt, sollten Sie intern einen Fallbericht veröffentlichen, bei dem Sie vertrauliche Details unkenntlich machen. Der Bericht sollte Informationen dazu enthalten, wie Sie mithilfe des Programms einen potenziellen Sicherheitsverstoß erkennen konnten, bevor Schaden entstanden ist. Sprechen Sie auch über wahrscheinliche Kosten und Rufschädigungen, die ein solcher Sicherheitsverstoß mit sich bringen kann. Auf diese Weise unterstreichen Sie den Wert des Programms und gewinnen das Vertrauen der Mitarbeiter. Abgesehen von einzelnen böswilligen Insidern arbeiten die meisten Mitarbeiter schließlich viele Jahre für ihre Unternehmen und möchten diese schützen.
4. Implementierung eindeutiger Weitergaberichtlinien
Sie sollten in eindeutigen Richtlinien festlegen, welche Details Ihres Programms zu Insider-bezogenen Risiken ausgetauscht werden dürfen. Stellen Sie sicher, dass Ihre Richtlinien für die Informationsweitergabe folgende Aspekte berücksichtigen:
- Schulungen und Security-Awareness-Initiativen
- Umfang und Zweck des Programms
- Im Rahmen des Programms genutzte Technologie
- Alle Ergebnisse Ihrer Analysen
- Details zu Erkennungen und Schwellenwerten, Themen von Nachforschungen sowie „Beifang“
- Ergebnisse offizieller Untersuchungen
Es ist außerordentlich wichtig, Daten weder zu stark noch zu gering zu klassifizieren. Andernfalls bleiben viele Fragen rund um Ihr Programm offen, was zu Missverständnissen und Misstrauen führen kann. Außerdem kann dies zu ineffizienten Abläufen führen und verhindern, dass wichtige Daten mit anderen wichtigen Partnern ausgetauscht werden, sodass Risiken deshalb nicht von verschiedenen Seiten minimiert werden.
Das Ziel sollte in einem Gleichgewicht bestehen, das den Zweck des Programms stärkt, die Reputation der untersuchten Personen schützt, kompromittierende Untersuchungen vermeidet und das Recht auf Informationsaustausch mit den richtigen Personen zur richtigen Zeit unterstützt. Wenn Sie mithilfe von Richtlinien sorgfältig definieren und durchsetzen, wer Zugriff auf bestimmte Daten hat, reduzieren Sie das Risiko der Weitergabe oder des Missbrauchs von Daten.
Beispiel
Wenn Ihr Unternehmen die Daten von vertraulichen Untersuchungen in einem Fallmanagement-System speichert, müssen Sie sicherstellen, dass die richtigen Personen Zugriff auf diese Daten haben. Nur so haben sie einen umfassenden Überblick und können ihre Rolle bei der Untersuchung erfüllen. Gewähren Sie jedoch nicht allen Mitgliedern dieser Teams Zugriff auf sämtliche Fälle. Gleiches gilt für größere unternehmensinterne Besprechungen zu Benchmarks oder Kennzahlen. Vertrauliche Details über Auslöser dürfen keinesfalls an andere Teams weitergegeben werden, in denen eine aktive Bedrohung vorliegen könnte, die in einem solchen Fall von den Kontrollen nicht wirksam erkannt werden würde.
5. Nutzung von Technologien, die Datenschutzanforderungen erfüllen
Ihre Technologieumgebung spielt beim Schutz der Privatsphäre ein bedeutende Rolle. Deshalb ist es wichtig, dass die von Ihnen genutzten Tools die Datenschutzbestimmungen Ihres Unternehmens erfüllen. Auf folgende Funktionen sollten Sie achten:
- Anwender-Anonymisierung
- Pseudonymisierung
- Visuelle Erfassung, bei der nur die Inhalte des aktiven Fensters erfasst werden
- Verschlüsselung
- Anpassbare rollenbasierte Zugriffskontrollen
- Erweiterte Überwachung bei hochriskanten technischen Abläufen
Die verwendeten Technologien sollten Sie einerseits dynamisch bei der Erkennung riskanter Aktivitäten unterstützen. Andererseits müssen sie Ihnen genug Flexibilität bieten, damit Sie selbst festlegen können, wie viele Daten für Untersuchungen erfasst werden. Zudem sollten Technologien die Sicherung und Speicherung von Daten optimieren. Dazu gehört auch, dass Sie Daten entsprechend den Datenschutzbestimmungen Ihres Unternehmens in bestimmten geographischen Regionen speichern können.
Beispiel
Wenn Ihr Team ein Tool zur Sicherheitsüberwachung nutzt, das Anwenderaktivitäten protokolliert, müssen Sie sicherstellen, dass eine Funktion zur Anonymisierung der erfassten Anwenderdaten integriert ist. Das bedeutet, dass das Tool weder den vollständigen Namen noch die Personalnummer eines Anwenders speichern sollte, der eine Warnmeldung ausgelöst hat. Stattdessen sollte das Tool eine eindeutige anonymisierte Nummer protokollieren, damit Analysten das Verhalten des Anwenders untersuchen können, ohne vertrauliche persönliche Informationen zu erhalten.
6. Gewährleistung von Datenübermittlungen und attributbasierten Zugriffsberechtigungen in Tools
Insider-Risiko-Teams verwenden häufig gemeinsam genutzte Technologien wie SIEM-Systeme (Sicherheitsinformations- und Ereignis-Management) und Fallmanagement-Tools, mit denen sie potenzielle Bedrohungen identifizieren und abwehren. Wenn bei der Integration dieser Tools jedoch weder Datenübermittlungen noch Zugriffsberechtigungen beachtet werden, können vertrauliche Daten versehentlich kompromittiert werden. Deshalb benötigen Sie einen Plan, der die Datenübermittlung in den verschiedenen Tools Ihres Sicherheitspakets schützt.
Damit Ihre Unternehmensdaten geschützt bleiben, müssen attributbasierte Zugriffskontrollen in allen Tools umgesetzt werden. Das bedeutet, dass für verschiedene Teams basierend auf ihren Rollen und den benötigten Daten eindeutige Zugriffsberechtigungen definiert werden.
Beispiel
Angenommen, Ihr Unternehmen aggregiert und analysiert Sicherheitsprotokolle mithilfe eines SIEM-Systems. Vertrauliche Metadaten wie personenbezogene Informationen oder höchst vertrauliche Personaldaten sollten überhaupt nicht im SIEM-System erfasst werden. Das Insider-Risiko-Team sollte stattdessen eine separate Zugriffsmöglichkeit auf diese Daten erhalten, damit es Risiken untersuchen kann, ohne diese Daten für Analysten offenzulegen, die Sicherheitsabläufe untersuchen. Die Teams für Sicherheitsabläufe sollten nur Zugriff auf Ereignisdaten, Protokolle und Warnmeldungen erhalten, die sie für ihre Rolle benötigen. Es ist äußerst wichtig, dass nur das relevante und vertrauenswürdige Insider-Risiko-Team Einblick in sensible Anwenderdaten erhält.
7. Aufbau eines starken Aufsichtsprogramms und Verantwortungsbewusstseins
Auch Insider-Risiko-Teams müssen überwacht werden. Das gilt umso mehr, wenn ihnen Technologien anvertraut werden, mit denen sie Anwenderaktivitäten überwachen können. Um eine missbräuchliche Nutzung dieser Technologien zu verhindern, die kognitiven Verzerrungen aus Analysen zu entfernen und das Vertrauen zu sichern, müssen Sie ein Aufsichtsprogramm implementieren, das die Überwachenden überwacht. Dieses Programm sollte offizielle Audits aller Personen umfassen, die Zugriff auf die Technologien haben. Das können zum Beispiel Personen mit Administratorzugriff sein, die Erkennungsrichtlinien ändern können, oder Personen, die für die Triage und Analyse zuständig sind.
Für unvoreingenommene Ergebnisse können die Audits auch von einem gesonderten Compliance-Team oder von einem speziell dafür ernannten Mitglied des internen Insider-Risiko-Teams durchgeführt werden. Diese Art der Aufsicht beweist, dass Sie dem Datenschutz und der Systemsicherheit Rechnung tragen. Zudem werden die ethischen Standards Ihres Teams gewahrt. Niemand sollte von Audits befreit sein, d. h. auch Personen mit den höchsten Zugriffsberechtigungen sollten auf potenziell missbräuchliche Nutzung der Technologien überwacht werden. Denken Sie daran, dass alle triagierten Zwischenfälle zu einem Gerichtsprozess führen können und genauen Prüfungen zur Einhaltung von Anwender-Datenschutzgesetzen standhalten müssen.
Beispiel
Es gab eine Änderung, die ein riskantes Verhalten und schließlich einen Verstoß aufgedeckt hat, was ohne diese Änderung nicht erkannt worden wäre. In diesem Fall muss die Änderung genau begründet und der Zeitpunkt sowie die Person angegeben werden, die die Änderung vorgenommen hat. Dadurch kann nachgewiesen werden, dass die Änderung genehmigt war und nicht mit dem Ziel vorgenommen wurde, eine bestimmte Person aufzuspüren.
Implementieren Sie starke, mehrstufige Aufsichtsmaßnahmen als Bestandteil der Fallüberprüfung. Damit stellen Sie sicher, dass es keine unbewussten Verzerrungen gibt und dass die gemeldeten Daten wahr sind.
Zudem müssen auch Workflow-bezogene Elemente wie behobene Warnmeldungen überprüft werden. Dadurch wird sichergestellt, dass Analysten nicht ihre Zugriffsrechte missbrauchen oder durch sie selbst generierte Warnmeldungen bestätigen, sodass sie effektiv außerhalb der Regeln stehen würden.
8. Bewältigung von Interessenkonflikten mithilfe klar definierter Abläufe
Interessenkonflikte lassen sich bei Insider-Risiko-Programmen nicht vermeiden. Deshalb ist es zwingend erforderlich, entsprechende Abläufe zur Bewältigung solcher Konflikte schriftlich festzuhalten. Wenn ein Analyst an einem potenziell konfIiktgeladenen Fall arbeitet, muss es einen klar definierten Übergabeprozess geben. Damit wird sichergestellt, dass eine andere Person die Untersuchung übernehmen kann und Objektivität sowie Privatsphäre gewahrt bleiben. Durch klar definierte Abläufe reduzieren Sie das Risiko von Voreingenommenheit und ermöglichen faire und transparente Untersuchungen.
Beispiel
Angenommen, ein Analyst untersucht das verdächtige Verhalten eines Kollegen, den er auch privat gut kennt. Um unvoreingenommene Untersuchungen zu ermöglichen, sollte es eine Richtlinie geben, nach der dieser Analyst die Untersuchung unverzüglich an einen anderen Analysten oder an seinen Vorgesetzten übergeben muss. Damit wird verhindert, dass potenzielle Interessenkonflikte die Untersuchung überschatten.
9. Datenschutzschulungen als Teil der Team-Entwicklung
Datenschutz betrifft nicht nur das Unternehmen als Ganzes, sondern sollte vielmehr ein fundamentaler Bestandteil der Arbeit Ihres Sicherheitsteams sein. Regelmäßige Datenschutzschulungen zum Thema Überwachung der Anwenderaktivitäten sind dafür unverzichtbar. Sie stellen sicher, dass Analysten die Grenzen ihrer Zugriffsberechtigungen sowie ihre Verantwortung kennen und dass sie wissen, was kognitive Verzerrungen sind und diese erkennen. Genau wie Nutzungsrichtlinien sollten diese Regeln streng durchgesetzt werden – mit ernsten Konsequenzen bei Verstößen.
Beispiel
Führen Sie als Teil der jährlichen Team-Schulung eine Simulation durch, bei der ein Analyst eine potenzielle Insider-Bedrohung untersuchen muss, ohne die strengen Datenschutzrichtlinien zu verletzen. Damit wird untermauert, dass die Teammitglieder nicht unnötig auf Daten zugreifen und die Befugnisse ihrer Rolle nicht überschreiten dürfen.
10. Kontinuierliche Optimierung der Datenerfassung zur Vermeidung überzogener Untersuchungen
Eigentlich brauchen Insider-Risiko-Analysten nur Zugriff auf die Daten, die sie für ihre Arbeit, für die Reduzierung der Risiken sowie für den Schutz des Unternehmens benötigen. Dazu gehören naturgemäß auch interne Mitarbeiterdaten. Es ist jedoch wichtig, dass Sie Ihre Überwachungsmaßnahmen ständig prüfen und anpassen, damit keine unnötigen Daten erfasst werden. Zum Beispiel sollten Kategorien mit sensiblen Daten wie medizinische oder rechtliche Dokumente ausdrücklich von der Überwachung ausgeschlossen werden, um versehentliche Datenkompromittierungen zu vermeiden.
Beispiel
Wenn Ihre Technologie beginnt, aufgrund einer genehmigten Änderung übermäßig viele Daten aus den privaten Kalendern oder Besprechungsnotizen der Mitarbeiter zu protokollieren, müssen Sie Ihre Überwachungsregeln prüfen und den Umfang der Überwachung anpassen. Ziel sollte sein, dass die Überwachung so wenig wie möglich in die Privatsphäre eingreift, aber immer noch umfangreich genug ist, damit Sie Risiken für das Unternehmen effektiv minimieren können. Dafür sollten Sie sich Unterstützung von den oben angesprochenen Vertretern holen.
Ein ausbalancierter Ansatz ist möglich
Sie müssen sich nicht zwischen dem Schutz der Anwender-Privatsphäre und der Überwachung auf riskante Aktivitäten entscheiden. Schließlich versuchen auch Programme zu Insider-bezogenen Risiken, den Missbrauch oder die Kompromittierung von Anwenderdaten durch interne Mitarbeiter zu erkennen und arbeiten bei Behebungsmaßnahmen mit den Datenschutz- und Personalabteilungen zusammen. Das alles sind zentrale Aspekte beim Schutz der Mitarbeiter.
Wenn Sie diese empfohlenen Vorgehensweisen befolgen, können Sie ein Programm aufbauen, beim dem Datenschutz und Privatsphäre im richtigen Gleichgewicht sind. Das gemeinsame Ziel besteht darin, eine sichere Umgebung zu schaffen, in der die Privatsphäre der Mitarbeiter respektiert wird und Insider-bezogene Risiken minimiert werden.
Weitere Informationen
Hier erfahren Sie mehr über empfohlene Vorgehensweisen bei der funktionsübergreifenden Arbeit an personenzentrierten Programmen zu Insider-bezogenen Risiken. Informieren Sie sich über Datenschutzfunktionen und Zugriffskontrollfunktionen für Proofpoint ITM.
