Datenverlust vorbeugen – den menschlichen Faktor verstehen

data-2764820

Deepen Desai, Global CISO bei Zscaler

Datenverlust in Unternehmen kann viele Ursachen haben. Im Wesentlichen hat er allerdings zwei Gesichter: den böswilligen Datendiebstahl durch externe Akteure und versehentliche Fehler durch Mitarbeitende. Bei Ersterem geht es beispielsweise um Phishing-Angriffe, Ransomware mit Double-Extortion oder gar groß angelegte Attacken auf die Lieferkette. Im zweiten Fall fließen Daten unbeabsichtigt durch schlechtes Datenmanagement bei der Kollaboration oder durch menschliches Versagen aus der Unternehmensumgebung ab. Dieser menschliche Faktor wird häufig unterschätzt, obwohl dadurch für Organisationen großer Schaden entstehen kann. Ein Grund mehr, dass die IT-Abteilung hier vorbeugend aktiv wird, um Datenverluste zu unterbinden.

Wie der 2022 ThreatLabz Data Loss Report von Zscaler verdeutlicht, erleben Unternehmen im Schnitt jeden Tag 10.000 Verstöße gegen Datenschutzrichtlinien. 36 Prozent der Daten von Cloud-Anwendungen werden dabei beispielsweise über Links öffentlich zugänglich gemacht. Das sind durchschnittlich über 360 Dateien pro Unternehmen und Tag. Außerdem wurden 94 Prozent der Malware in Cloud-Anwendungen gefunden, die sich in Microsoft Exchange und OneDrive-Umgebungen befinden. Damit wird deutlich, dass gerade bei der Gestaltung der Kollaboration unter der Belegschaft Sicherheitsthemen zu kurz kommen. Des Weiteren beinhalten mittlerweile mehr als die Hälfte der Ransomware-Angriffe die Exfiltration von Unternehmensdaten. Diese Vorgehensweise von Angreifern ist heute so lukrativ, dass einige Hacker-Gruppierungen die Verschlüsselungskomponente in ihren Angriffen bereits ganz weglassen.

Eine weitere Erkenntnis aus dem Report ist, dass 84 Prozent der Verstöße personenbezogene Daten betreffen. Weitere zehn Prozent entfallen auf Finanz- und Kreditkarteninformationen. Fast 13 Prozent der per E-Mail verschickten sensiblen Daten befinden sich in Bildern, deren unbeabsichtigtes Abfließen nur mit fortschrittlichen Prüfverfahren, wie Optical Character Recognition (OCR) oder künstlicher Intelligenz, eingeschränkt werden kann. Dies zeigt, wie wichtig der menschliche Faktor für die Prävention von Datenverlusten ist. Von unbewussten Fehlern von Mitarbeitenden bis hin zu komplexen, von Insidern und Bedrohungsakteuren inszenierte Angriffe: Datenverlust beginnt und endet bei Menschen.

Die Hauptverantwortlichen für Datenverluste

Die Verantwortlichkeit für Datenverluste lassen sich in die folgenden Gruppen einsortieren: Zum einen in Mitarbeitende, aber auch die Administration, böswillige Insider, oder Geschäftsführende, sowie Partner und externe Akteure. Mitarbeitende neigen zum Oversharing, Opensharing oder zur Datenlöschung und verlieren oder gefährden ihre Arbeitsgeräte. Bei der Administration schleichen sich Fehler beim Patchen oder Konfigurieren ein. Böswillige Insider können Daten absichtlich exfiltrieren oder Dritten unberechtigten Zugang zu Informationen gewähren. Dabei kann es sich um Mitarbeitende handeln, die ihre Funktion aufgeben möchten und zuvor Daten zerstören oder stehlen, oder mit Angreifern sowie Konkurrenten zum persönlichen oder finanziellen Vorteil kollaborieren. Auch die Geschäftsführungsebene ist nicht gefeit und gerade deshalb gilt es hier, die digitale Kompetenz zu erhöhen. Vorstände können beispielsweise wichtige Anträge auf ein IT- oder Sicherheitsbudget zur Aktualisierung der anfälligen Netzwerkarchitektur ablehnen. Partner und Drittunternehmen können absichtlich oder unabsichtlich Datenverluste durch zu weitgreifende Berechtigungen des Zugriffs auf Daten verursachen. Der Kundensupport mit Zugang zu Kundendaten und -systemen ist hier besonders gefährdet für eine Kompromittierung, ebenso wie Anbieter von Cloud-Anwendungen. Eines ist all diesen Gruppierungen gemein: Bedrohungsakteure haben immer dann ein leichtes Spiel, wenn Unternehmen ihre Angriffsvektoren und Einfallstore nicht ausreichend kontrollieren.

Der menschliche Faktor spielt für alle übergeordneten Ursachen von Datenverlusten eine Rolle – denn schließlich muss ein Phishing-Angriff oder die Platzierung eines Infostealers nur einmal gelingen, um von einem kompromittierten User weitere Kreise zu ziehen. Organisationen sollten sich dieses Risiko bewusst machen und einen ganzheitlichen Ansatz zur Vermeidung von Datenverlusten etablieren. Der Schutz von sensiblen Daten ist kein alleinstehendes Unterfangen, sondern sollte Teil einer umfassenderen Sicherheitsstrategie sein, mit der alle Datenströme auf Malware und unberechtigtes Abfließen kontrolliert werden.