- Von Mark Rayner
- 12.09.2019 um 11:14
Die Vorstellung, dass Bedrohungen für Unternehmen in erster Linie von außen kommen, ist weit verbreitet. Solche Bedrohungen sind unter anderem die Wettbewerber, unvorhergesehene Ereignisse und Störfälle. Dies sind echte Risiken, die jedes Unternehmen – ob Versicherer oder andere – kennen sollten. Es lohnt sich jedoch, auch im eigenen Unternehmen genauer hinzuschauen.
Während von außen kommende Angreifer häufig ausgeklügelte Abwehrmaßnahmen durchbrechen müssen, gibt es wenig, was interne Angreifer daran hindert, ihre Pläne in die Tat umzusetzen. Außerdem kennen die eigenen Mitarbeiter die im Unternehmen vorhandenen Werte und es gibt eine Menge digitaler Hilfsmittel wie USB-Sticks, Bluetooth-Dateitransfers und intelligente mobile Endgeräte, mit denen diese in Bargeld umgewandelt werden können.
Interne Bedrohungen haben viele Gesichter: der verärgerte Büroangestellte, das Erpressungsopfer in der Buchhaltung ebenso wie der Spion, der Naive oder der kleine Zulieferer, dem vertrauensvoll Zugang zum eigenen Netzwerk gewährt wird. Dies macht den Insider zu einem Verdächtigen, der kaum zu antizipieren ist und gegen den man sich nur schwer verteidigen kann.
Ein erkenntnisgestützter Ansatz
Unternehmen sollten sich jedoch keineswegs zurücklehnen und den unvermeidlichen Angriff von verärgerten Mitarbeitern abwarten. Im Gegenteil, wir denken, dass es an der Zeit ist, proaktiv zu sein und einen erkenntnisgestützten Ansatz zu verfolgen, der sich auf drei wichtige Arbeitsbereiche konzentriert.
Da ist zum ersten die Risikoanalyse. Versicherer – genauso wie jedes andere Unternehmen – müssen verstehen, was sie schützen, vor wem und in welchen Szenarien. Das Wichtigste hierbei ist, sich auf die kritischen Assets und die besonders privilegierten Nutzer zu konzentrieren. Die Identifizierung diese beiden Elemente bringt den größten Return on Investment. Ein auf die wichtigsten Gruppen zielender Ansatz trägt auch den Bedenken Rechnung, die hinsichtlich der Erfassung von großen Datenmengen bestehen. Ein guter Ausgangspunkt ist die Identifizierung von Personen und Gruppen, die auf die kritischen Vermögenswerte eines Unternehmens zugreifen oder diese beeinflussen können. Ebenso wichtig ist es, die Bereiche im Unternehmen in den Blick zu nehmen, die am leichtesten angreifbar sind.
Der zweite Schritt bezieht sich auf Policy und Governance. Versicherungsunternehmen müssen sich darüber im Klaren sein, was sie bereit und in der Lage sind, zum Schutz vor Insidern zu tun. Dies wird aufgrund der besonderen Sensibilität am besten mit einem speziellen Insider-Threat-Management angegangen, in das ein breites Spektrum von Interessengruppen wie HR, Sicherheit, Recht, Risiko, IT und Beschaffung eingebunden sind. Hierfür bedarf es einer kontinuierlichen Kommunikation mit den Mitarbeitern und deren Sensibilisierung. Unternehmen müssen dies Schritt für Schritt tun, beginnend mit der Identifizierung der wichtigsten Interessengruppen, der Einbindung der notwendigen Personen, der Implementierung der Prozesse und der kontinuierlichen internen Kommunikation, um das Bewusstsein zu schärfen und die Ergebnisse zu überwachen.
0 Kommentare
- anmelden
- registrieren
kommentieren