Dieser Ansatz hat Schwächen, weil er meist sehr restriktiv umgesetzt wird und die Mitarbeiter im Arbeitsalltag behindert. Besser geeignet sind Lösungen, die Sicherheitsmaßnahmen in Echtzeit an das jeweilige Risiko anpassen.

Die neue Arbeitswelt mit Remote Work und Cloud-Services birgt aus Security-Sicht viele Herausforderungen, weil sich nur noch schwer bestimmen lässt, welche Aktivitäten die Datensicherheit gefährden und welche nicht. Handelt es sich beim Download einer Datei vom zentralen Server auf einen Rechner außerhalb des Unternehmensnetzwerks um eine normale geschäftliche Aktivität oder einen Datendiebstahl? Welche Dokumente dürfen Mitarbeiter auf USB-Sticks kopieren, per E-Mail verschicken oder von einem KI-Service in der Cloud auswerten lassen? Und ist es okay, im Online-Meeting einen Screenshot der dort gezeigten Präsentation mit Finanzdaten zu machen?

All diese Vorgänge lassen sich mit starren Richtlinien kaum beherrschen, denn diese stellen Security-Teams mangels Flexibilität vor ein Dilemma. Entweder sorgen sie mit sehr restriktiven Richtlinien für Frust bei den Mitarbeitern, weil viele Aktivitäten schlicht nicht gestattet sind und blockiert werden. Dadurch sinken Produktivität und Motivation – und es steigt die Gefahr, dass Mitarbeiter versuchen, die Sicherheitsmaßnahmen zu umgehen. Oder sie gestalten die Richtlinien weniger restriktiv, um Mitarbeiter im Arbeitsalltag nicht zu behindern, und lassen damit womöglich Lücken im Schutz. In der Regel entscheiden sich Security-Teams für die erste Variante, da Datenabflüsse einfach ein zu großes geschäftliches Risiko darstellen.

Zwar können Unternehmen mit Awareness-Schulungen das Bewusstsein ihrer Mitarbeiter für den verantwortungsvollen Umgang mit sensiblen Daten schärfen. Einen wirklich zuverlässigen Schutz garantiert das allerdings nicht, denn Mitarbeiter können – gerade in hektischen Arbeitssituationen – unaufmerksam sein oder Fehleinschätzungen unterliegen. Und auch gegen Insider-Bedrohungen und den Missbrauch kompromittierter Benutzer-Accounts helfen Schulungen nicht, sodass bei klassischen Lösungen für Datensicherheit üblicherweise kein Weg an restriktiven Richtlinien vorbeiführt.

Schärfere Sicherheitsmaßnahmen für riskante Aktivitäten

Eine Alternative stellen moderne Lösungen dar, die einen Risiko-adaptiven Ansatz verfolgen. Sie berücksichtigen Anwenderaktivitäten und deren Kontext, um das Risiko zu ermitteln und geeignete Sicherheitsmaßnahmen einzuleiten.

So kann beispielsweise das Kopieren von Daten auf einen USB-Stick ohne Einschränkungen erlaubt sein, einen kurzen Warnhinweis hervorrufen, eine Verschlüsselung auslösen oder sogar komplett blockiert werden – je nachdem, welchen „Risk Score“ ein Anwender hat. Dahinter steht eine einzige Richtlinie, die durch den Risk Score dynamisch und in Echtzeit angepasst wird – in diesem Fall die Richtlinie für das Kopieren von Daten auf USB-Medien.

Den Risk Score berechnet die Sicherheitslösung anhand der Aktivitäten des Anwenders beziehungsweise sogenannter Verhaltensindikatoren. Das sind Aktionen wie das Erstellen, Speichern, Bearbeiten, Herunterladen, Löschen und Versenden von Dokumenten, das Installieren von Anwendungen, das automatische Weiterleiten von E-Mails und das Komprimieren von Dateien in verschlüsselten Archiven.

Die einzelnen Verhaltensindikatoren beeinflussen den Risk Score unterschiedlich stark: Der Upload eines unverfänglichen Dokuments mit technischen Informationen in die Cloud etwa erhöht ihn kaum, das Speichern von Vertragsdokumenten auf einem USB-Stick hingegen deutlich. Bei bestimmten Schwellenwerten werden die Sicherheitsmaßnahmen verschärft, sodass Aktivitäten, die ursprünglich möglich gewesen wären, einigen Restriktionen unterliegen. Die Kundenliste kann zum Beispiel nur noch verschlüsselt auf dem Speicherstick abgelegt werden. Besonders kritische Aktivitäten wie der Versand von Kundenlisten, Konstruktionsdaten oder Finanzinformationen per E-Mail an Empfänger außerhalb des Unternehmens heben den Risk Score auf einen Schlag so stark an, dass die Aktivitäten sofort blockiert werden.

Mehr lesen Sie auf it-daily.net.