Cyberhaven-Report

Von Great Resignation zu Great Exfiltration?

Bei scheidenden Mitarbeitern ist die Wahrscheinlichkeit am größten, dass sensible Unternehmensinformationen an Konkurrenten, Kriminelle oder Medien fließen – so eine aktuelle Studie.
Von 
CSO | 16. September 2022 08:19 Uhr
Einer von zehn Mitarbeitern sorgt Studienerkenntnissen zufolge in Unternehmen alle sechs Monate für ein Datenleck.
Einer von zehn Mitarbeitern sorgt Studienerkenntnissen zufolge in Unternehmen alle sechs Monate für ein Datenleck.
Foto: Lightspring - shutterstock.com

Insider-Bedrohungen sind für die Sicherheitsteams von Unternehmen weltweit ein ständiges Problem. In den Vereinigten Staaten ist es besonders akut, angesichts von 47 Millionen Arbeitnehmern, die 2021 ihren Job gekündigt haben - Stichwort "The Great Resignation". Denn bei scheidenden Mitarbeitern wächst das Risiko, dass sensible Informationen an Kriminelle oder Konkurrenten verkauft oder an Medien geleakt werden.

Der Sicherheitsanbieter Cyberhaven hat im Zeitraum von Januar bis Juni 2022 circa 1,4 Millionen Arbeitnehmer, die in ihren Unternehmen mit sensiblen Daten umgehen, beobachtet. Das Ziel: Herauszufinden, wer wann und wie an Datenexfiltration beteiligt ist. Ein Fall von Datenexfiltration liegt vor, wenn Daten auf nicht genehmigte Weise aus dem Unternehmen abfließen. Die wichtigsten Ergebnisse im Überblick:

  • Im Durchschnitt exfiltrieren 2,5 Prozent der Angestellten monatlich sensible Daten;

  • Über einen Zeitraum von sechs Monaten tut das fast jeder Zehnte (beziehungsweise 9,4 Prozent der Angestellten);

  • Von den Mitarbeitern, die Daten exfiltrieren, ist nur ein Prozent (die sogenannten "Super Stealers") für 7,7 Prozent der Datenexfiltrations-Fälle verantwortlich, die obersten 10 Prozent für 34,9 Prozent der Vorfälle;

  • Auf Nordamerika entfallen 44 Prozent aller Vorfälle, gefolgt von der Asien-Pazifik-Region mit 27 Prozent;

  • Auf Europa, den Nahen Osten und Afrika entfallen 24 Prozent der Vorfälle, Südamerika bringt es auf fünf Prozent;

Top of… Exfiltrationsvektoren

Dabei werfen die Experten von Cyberhaven auch einen Blick auf die häufigsten Exfiltrationsvektoren:

  • persönliche Cloud-Speicher (27,5 Prozent der Vorfälle),

  • persönliche Webmail (18,7 Prozent) und

  • Unternehmens-E-Mails an einen falschen Empfänger (14,4 Prozent).

Was die persönlichen Cloud-Speicher angeht, ist Dropbox bei Sicherheitsvorfällen laut des Reports "beliebter" (44,8 Prozent der Vorfälle) als Google Drive (25,5 Prozent).

Bei der Exfiltration über Firmen-E-Mails könne es sich um Mitarbeiter handeln, die sensible Daten von ihrem Arbeitskonto aus an ihre persönlichen E-Mail-Adressen sendeten, oder um solche, die versehentlich sensible Informationen an den falschen Empfänger senden, etwa wenn ihr E-Mail-Client den Adressaten automatisch vervollständige und sie ihn in der Eile verwechselten, so die Studienautoren.

Auch Messaging-Anwendungen wie WhatsApp und Signal sind diesbezüglich ein wachsendes Problem und in 6.4 Prozent der Vorfälle der Exfiltrationsvektor. Da die Apps eine Ende-zu-Ende-Verschlüsselung verwendeten, sei es für Unternehmen schwierig, zu wissen, welche Inhalte darüber versendet werden.

Cyberhaven hat in diesem Rahmen auch untersucht, welche Art von Daten am häufigsten exfiltriert wird:

  • In 44,6 Prozent der Vorfälle wurden Daten von Kunden oder Auftraggebern exfiltriert. "Eine mögliche Erklärung ist, dass die Mitarbeiter die Sensibilität dieser Informationen nicht in dem Maße verstehen, wie sie es beispielsweise bei einer Produktformel oder einer Krankenakte tun", heißt es im Bericht.

  • Die am zweithäufigsten gefährdeten Daten sind Quellcodes, diese machen 13,8 Prozent der exfiltrierten Daten aus. Viele Unternehmen aller Branchen entwickelten ihre eigenen Anwendungen und Algorithmen, um sich einen Wettbewerbsvorteil zu verschaffen. Der Verlust ihres Quellcodes an einen Konkurrenten kann dabei erhebliche Auswirkungen auf ihr Business haben.

  • Regulierte Daten (personenbezogene Daten, Zahlungskarten- und Gesundheitsdaten) machen laut Cyberhaven zusammen 17,9 Prozent der Datenexfiltrations-Fälle aus.

Risikofaktor scheidende Mitarbeiter

Cyberhaven beobachtete im Rahmen seiner Untersuchungen, dass die Zahl der Fälle von Datenexfiltration zwischen der Kündigung eines Mitarbeiters und dessen letztem Arbeitstag um 37,7 Prozent zulegt. Dabei wurde im Zeitraum von zwei Wochen vor der Kündigung allerdings ein Anstieg der Fälle um 83,1 Prozent festgestellt. Die Erklärung der Studienautoren: Die Datenexfiltration finde oft statt, bevor das Unternehmen vom Abgang eines Mitarbeiters Kenntnis bekommt - da dann die Wahrscheinlichkeit eines Monitorings geringer sei.

Bei gekündigten Mitarbeitern liegt die Wahrscheinlichkeit einer Datenexfiltration am Tag vor der Entlassung laut Cyberhaven bei 23,1 Prozent - am Tag der Entlassung ist diese Wahrscheinlichkeit allerdings um knapp 110 Prozent höher als in der Grundgesamtheit. "Es scheint so, als ob einige Mitarbeiter ihre bevorstehende Kündigung erahnen und beschließen, sensible Unternehmensdaten für sich selbst zu sammeln. Andere sammeln hingegen nach ihrer Entlassung Daten, solange sie noch entsprechenden Zugriff haben", resümieren die Studienautoren. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Apurva Venkat ist Hauptkorrespondentin für die indischen Ausgaben von CIO, CSO und Computerworld. Zuvor berichtete sie für ISMG, IDG India, Bangalore Mirror und Business Standars über neue technologische Entwicklungen sowie Tech-Unternehmen, Startups, Fintech, E-Commerce und Cybersicherheit.