Eine aktuelle Studie des CERT Insider Threat Center der Carnegie Mellon Universität, Institut für Software Engineering, zeigt, dass die IT und DLP Systeme in Finanzinstituten den traditionellen Methoden zur Betrugsbekämpfung hinterherhinken. [...]
Die Studie offenbart grobe Differenzen zwischen betrügerischen Handlungen und den damit einhergehenden finanziellen Verlusten, je nachdem ob sie durch Manager oder Mitarbeiter verursacht wurden. Die CERT Studie „Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector“ untersuchte 80 Betrugsfälle auf ähnliche Verhaltensmuster bei Vergehen, die durch Insider in Finanzinstituten begangen wurden. Dabei wurden betrügerische Handlungen in nur 6 Prozent der Fälle von einem Data Loss Prevention (DLP) System oder anderen IT Anwendungen verhindert. In den meisten Fällen (41 Prozent) wurden die Betrugsversuche durch Zufall oder aufgrund von Stichproben aufgedeckt. Sogar in den Ereignisberichten nach einem Datendiebstahl wurden in nur 20 Prozent der Fälle IT Ressourcen, wie Ereignis- oder Zugriffsprotokolle, zu Rate gezogen. IT- und Datensicherheitsexperte Martin Penzes von Safetica Österreich meint dazu: „Würden interne Informationssicherheitssysteme in den Betrieben häufiger zum Einsatz kommen, würde das die Datenverluste drastisch eindämmen. Es ist aber davon auszugehen, dass solche Systeme in Österreich noch seltener eingesetzt werden als in den USA.“
Das Problem liegt nicht lediglich im Erkennen von bösartigen Aktivitäten, vielmehr liegt die Wurzel des Mangels oftmals an unzureichender Dateizugriffskontrolle in den Finanzinstituten. „Wenn sich eine Organisation fragt auf welche Daten Mitarbeiter zugreifen können oder wo sich im Unternehmen kritische Vermögenswerte befinden, während ein Mitarbeiter mit den Daten im Gepäck die Firma verlässt, ist es zu spät.“
meint einer der Autoren der Studie.
Bei der Mehrheit der geprüften Betrugsfälle hat ein Insider sein Zugriffsrecht in irgendeiner Form missbraucht. Solche Vorfälle werden oft unbeabsichtigter Weise durch schwache Informationssicherheitssysteme innerhalb einer Organisation gefördert. Mit einer durchschnittlichen Schadenssumme von 153.185 Euro pro Betrugsfall und im Mittel 33 Monaten bis eine bösartige Handlung aufgedeckt werden konnte, haben durch Manager verursachte betrügerische Aktivitäten einen beinahe doppelt so hohen Schaden verursacht, und in etwa zwei Mal so lange gedauert, wie Pflichtverletzungen die durch Mitarbeiter auf niedrigeren Positionen verursacht wurden. Informationen über die persönliche Identität „Personally identifiable information (PII)“ sind dabei das Hauptziel von internen Attacken, speziell von jüngeren, nicht dem Management angehörenden, Mitarbeitern.
„Gewissenhafte Zugriffskontrolle zu wertvollen Unternehmensinformationen ist daher essentiell, deshalb sollten Organisationen den Verlust über die Kontrolle der Ressourcen im Unternehmen auf lange Sicht vermeiden“, meinen die Autoren der Studie. (pi)
Be the first to comment