In der Blog-Reihe „Insider-Datenschutzverletzung des Monats“ beleuchten wir das wachsende Problem der Exfiltration vertraulicher Daten an nicht autorisierte E-Mail-Konten und zeigen auf, wie Proofpoint vor diesen schwerwiegenden Datenverlustereignissen schützt. Alle Beiträge in dieser Blog-Reihe wurden vollständig anonymisiert.
In der heutigen digitalen Landschaft gehören E-Mails für Unternehmen zu den zentralen Kommunikationsmitteln. Diese weit verbreitete Nutzung bringt jedoch das erhebliche Risiko mit sich, dass fahrlässige oder böswillige Angestellte vertrauliche Daten an nicht autorisierte Konten senden. Schon ein einziges Datenverlustereignis kann verheerende Folgen haben, wobei es keine Rolle spielt, ob es von auf einen einfachen Fehler oder einen verärgerten Mitarbeiter zurückzuführen ist. In jedem Fall muss das betroffene Unternehmen mit Reputationsschäden, Geldstrafen und finanziellen·Verlusten rechnen.
Bei kostenlosen Risikoanalysen für E-Mail-Datenverlust durch Proofpoint kommen solche Insider-Datenverlustereignisse immer wieder zutage. Bei diesen Analysen identifiziert Proofpoint Vorfälle, bei denen vertrauliche Daten an nicht autorisierte Konten exfiltriert wurden, z. B. an private Freemail-Konten, an E-Mail-Konten, die zu privaten Domains gehören, oder sogar an E-Mail-Konten von Familienmitgliedern.
Im heutigen Beitrag stellen wir die Datenschutzverletzung bei einem mittelgroßen Finanzdienstleister vor, die von einem böswilligen Mitarbeiter verursacht wurde.
Hintergrund
Bei einer E-Mail-Datenexfiltration sendet eine Person innerhalb eines Unternehmens (z. B. ein Mitarbeiter, scheidender Angestellter, Auftragnehmer oder Geschäftspartner) Daten per E-Mail an das eigene private Konto oder an unbefugte Dritte. Böswillige Insider sind Personen, die vorsätzlich Schaden anrichten wollen und Daten exfiltrieren, die sie an Mitbewerber weitergeben, an kriminelle Akteure verkaufen oder zum Sabotieren von Unternehmensprozessen nutzen.
Die dahinter stehenden Gründe können sehr vielfältig sein, zum Beispiel:
- Arbeitsplatzwechsel zu einem Mitbewerber
- Geschäftliche Veränderungen wie Fusionen und Übernahmen oder Firmenauflösungen
- Ärger über eine Änderung der Position oder ein Konflikt mit einem Vorgesetzten
- Angst vor Arbeitsplatzverlust
- Schwache berufliche Leistung
Das Szenario
Vor Kurzem entdeckte Proofpoint während der Analyse einer Kundenumgebung eine Datenexfiltration per E-Mail. Bei diesem Kunden handelte es sich um einen mittelgroßen Finanzdienstleister an der US-amerikanischen Westküste, der sich auf Asset-Management spezialisiert hatte. Ein Mitarbeiter hatte das Unternehmen verlassen und vorher eine große Menge vertraulicher Daten an das private E-Mail-Konto exfiltriert. Eine schnelle Suche in LinkedIn bestätigte den Verdacht, dass er nun bei einem konkurrierenden Finanzunternehmen arbeitete.
Die Bedrohung: Wie kam es zu dem Datenverlust?
Die Analyse deckte auf, dass der Mitarbeiter vor seinem letzten Arbeitstag über einen Zeitraum von 9 Tagen Daten an eine private E-Mail-Adresse sendete. Das Diagramm unten zeigt die ungewöhnliche Aktivität in Rot.
Das spiegelt ein typisches Muster wider. Wenn ein Mitarbeiter das Unternehmen verlässt, werden häufig innerhalb kurzer Zeit große Mengen an vertraulichen Daten gesendet.
Proofpoint-Diagramm mit einem ungewöhnlichen E-Mail-Muster.
Vorteile der Analyse: So konnte Proofpoint diesen Datenverlust identifizieren
Wir richteten Proofpoint Adaptive Email DLP so ein, dass unsere Lösung aus den E-Mail-Daten der letzten sechs Monate lernte und Anomalien entdecken konnte.
Proofpoint Adaptive Email DLP nutzt die verhaltensbasierte KI von Proofpoint Nexus sowie die branchenweit umfangreichsten E-Mail-Datensätze. Dadurch kann die Lösung Arbeitsbeziehungen analysieren und erkennen, ob vertrauliche Daten im Rahmen regulärer geschäftlicher Kommunikation ausgetauscht oder an nicht autorisierte Konten gesendet werden.
Proofpoint Adaptive Email DLP analysiert das normale E-Mail-Sendeverhalten, vertrauenswürdige Beziehungen sowie den Umgang der Mitarbeiter mit vertraulichen Daten und kann dadurch ungewöhnliches E-Mail-Verhalten sofort identifizieren.
Während der Analyse identifizierte Proofpoint Adaptive Email DLP nicht autorisierte E-Mail-Konten sowie ungewöhnliche Aktivitäten im Zusammenhang mit den vertraulichen Daten, die an diese Konten gesendet wurden. Anschließend fand ein Meeting mit dem Kunden statt, bei dem wir die konkreten Ereignisse diskutierten, bei denen es zum Verlust vertraulicher Daten gekommen war.
Wir stellten auch eine Liste aller nicht autorisierten Konten bereit, die wir im Rahmen der Überprüfung entdeckt hatten, und übermittelten alle E-Mails, die an diese Konten gesendet wurden, inklusive folgender Details:
- Absender
- Empfänger
- Betreff
- E-Mail-Text
- Anhänge
Anonymisierte Beispiele der exfiltrierten Daten.
Beispielbericht von Proofpoint Adaptive Email DLP.
Prävention: Welche Erkenntnisse lassen sich daraus ziehen?
Mit diesen Tipps können Sie verhindern, dass Ihre Daten an nicht autorisierte Konten gesendet werden:
- Implementieren Sie einen mehrschichtigen Ansatz. Regelbasierte DLP spielt bei der Vermeidung von Datenverlust eine wichtige Rolle. Sie greift jedoch nur bei vordefinierten Risiken und bestimmten Mustern regulärer Ausdrucke. Bei unbekannten Risiken, die sich nicht mit Regeln definieren lassen, ist ein flexibler verhaltensbasierter Ansatz notwendig. Wählen Sie ein Tool, das verhaltensbasierte KI und Machine Learning nutzt, um den Kontext, die Beziehungen zwischen Absender und Empfänger sowie weitere wichtige Daten zu analysieren und festzustellen, ob Daten an ein nicht autorisiertes Konto gesendet wurden.
- Stellen Sie Warnungen in Echtzeit bereit. Bei einem flexiblen Ansatz können Sie Echtzeit-Hinweise implementieren, die Anwender bei riskantem Verhalten warnen, sodass sie überlegte Entscheidungen treffen können. Damit setzen Sie Ihre Sicherheitsrichtlinien zuverlässig durch und verhindern, dass E-Mails mit vertraulichen Daten Ihr Unternehmen verlassen.
Proofpoint bietet personenzentrierten Schutz
Vertrauliche Daten, die an nicht autorisierte Konten gesendet werden, stellen ein erhebliches Risiko für Unternehmen dar.
Proofpoint Adaptive Email DLP ist eine leistungsstarke Lösung, die sich leicht implementieren lässt und dieses Risiko minimiert, indem sie die verhaltensbasierte KI und das Machine Learning-Modul von Proofpoint Nexus mit benutzerfreundlichen Workflows kombiniert. Dadurch können Unternehmen ihre vertraulichen Informationen zuverlässig schützen, während ihre Mitarbeiter sicher und effektiv kommunizieren.
Proofpoint ist ein führender Anbieter für personenzentrierte Sicherheit. Wir schützen mehr als die Hälfte der Fortune 100. Vereinbaren Sie eine kostenlose vertrauliche Risikoanalyse für E-Mail-Datenverlust.
Informationen dazu, wie Sie das Senden von vertraulichen Daten an nicht autorisierte Konten verhindern, finden Sie in unserer Kurzvorstellung zu Proofpoint Adaptive Email DLP.