Tesla, immer wieder Tesla

car-accident-337764_1280

Erneut hat ein Tesla-Mitarbeiter Daten entwendet: Er hatte mehr als 6.000 vertrauliche Dokumente in sein persönliches Dropbox-Konto hochgeladen, angeblich, um sie später auf seinen persönlichen Geräten zu verwenden. Ein Gericht muss jetzt klären, ob hier ein Verschulden des Mitarbeiters vorliegt. Dies ist nicht der erste Vorfall dieser Art: Im Juli 2019 gab ein ehemaliger Tesla-Ingenieur zu, Dateien im Zusammenhang mit dem Autopilot-System des Herstellers auf sein persönliches iCloud-Konto hochgeladen zu haben. Augenscheinlich hat Tesla hieraus jedoch nichts gelernt und die Frage muss erlaubt sein, wie so ein Fall – erneut – passieren konnte.

Paolo Passeri, Cyber Intelligence Principal beim Clod-Security-Spezialisten Netskope, kommentiert:

Die Art, wie Menschen arbeiten, hat sich verändert. Durch die zunehmende Nutzung von Cloud-Diensten und mobilen Geräten erwarten die Mitarbeiter heute, dass sie zu jeder Zeit, von jedem Ort und auf jedem Gerät arbeiten können. Ob versehentlich oder böswillig, das Risiko, dass Mitarbeiter Daten außerhalb des alten Perimeters eines Unternehmens verschieben, ist deutlich gestiegen. Deshalb brauchen Unternehmen eine Datensicherheitsstrategie, die es ihnen ermöglicht, die Vorteile von Cloud-Anwendungen zu nutzen, ohne sich einem übermäßigen Risiko auszusetzen.

Da die Nutzung der Cloud sowohl für Unternehmen als auch für Privatpersonen mittlerweile zum Mainstream geworden ist, ist die Datenexfiltration vertraulicher Informationen über Cloud-Dienste ausgesprochen einfach. Mit drei Schritten lässt sich dies jedoch ebenso leicht und effektiv verhindern:

  • 1. Schritt: Steuern Sie die Cloud-Nutzung proaktiv, indem Sie die Aktivitäten der Benutzer überwachen, unabhängig davon, ob sie über eine mobile oder eine Desktop-App auf Cloud-Dienste zugreifen. Die Datenschutzgesetzgebung macht deutlich, dass es in der Verantwortung des Unternehmens liegt, Transparenz darüber zu schaffen, wohin Daten verschoben und wie sie verwendet werden. Eine CASB-Lösung bietet diesen Einblick.
  • 2. Schritt: Der nächste Schritt nach der Sichtbarkeit ist die Kontrolle. Tesla hätte die Exfiltration von Daten von verwalteten Geräten zu beliebigen Cloud-Diensten oder Websites verhindern können. Entweder durch das Blockieren jeglichen Zugriffs auf bestimmte Dienste, die als riskant und unangemessen betrachtet werden, oder durch die Anwendung granularer Kontrollen für sensible Dokumente. Damit dies effektiv funktioniert, muss das Datensicherheitssystem den Kontext innerhalb der Daten verstehen.
  • 3. Schritt: Bei vielen Cloud-Diensten, die sowohl für private als auch für Unternehmensinstanzen verwendet werden (Dropbox ist hier ein Paradebeispiel), sollten Unternehmen unterschiedliche Richtlinien für persönliche und berufliche Instanzen desselben Cloud-Dienstes durchsetzen. So ist es möglich, beispielsweise den Upload in die von der Unternehmens-IT geführte Instanz von Dropbox zu erlauben, während man gleichzeitig den Upload von regulierten Informationen in das private Dropbox-Konto verhindert.