Ihr Schutz vor internen Bedrohungen
Was ist Insider-Risk-Management?
Insider-Risk-Management bezieht sich auf Maßnahmen zur Reduzierung von IT-Sicherheitsrisiken, die von internen Personen ausgehen. Ziel ist es, potenzielle Schäden oder unbeabsichtigte Handlungen innerhalb der Belegschaft zu erkennen, zu untersuchen und zu adressieren. Durch entsprechende Richtlinien können verschiedene Risikotypen wie Datenlecks, Diebstahl von geistigem Eigentum, Unterschlagung, Insiderhandel oder Verstöße gegen gesetzliche Regelungen identifiziert und kontrolliert werden, um die Compliance innerhalb der Organisation zu gewährleisten.
Was ist Microsoft Purview?
Microsoft Purview ist eine umfassende Daten-Governance-Lösung, die das Erfassen, Katalogisieren, Verwalten und Verstehen der Datenlandschaft einer Organisation ermöglicht. Purview unterstützt auch das Insider-Risk-Management, indem potenzielle Bedrohungen und Verstöße erkannt und behandelt werden können. Mit Purview können unter anderem folgende Maßnahmen ergriffen werden:
Festlegung von Richtlinien für spezifische Risikoszenarien und Schwellenwerte.
Identifikation von Anomalien und Risikoereignissen basierend auf Benutzeraktivitäten und Datenklassifizierungen.
Empfang von Benachrichtigungen und Durchführung von Untersuchungen bei verdächtigen Aktivitäten.
Erstellung und Anzeige von Berichten und Dashboards zur Messung und Verbesserung der Insider-Risk-Management-Strategie.
Purview integriert sich in verschiedene Microsoft 365-Produkte wie SharePoint Online, Exchange Online, Teams und Windows 10, um Benutzeraktivitäten zu erfassen und ein umfassendes Bild potenzieller Insider-Risiken zu erstellen.
SharePoint Online: Purview erfasst Dateiaktivitäten wie Hochladen, Herunterladen, Löschen, Verschieben oder Umbenennen von Dateien in SharePoint Online-Sites oder OneDrive for Business.
Exchange Online: Purview erfasst E-Mail-Aktivitäten wie Senden, Empfangen, Weiterleiten, Löschen oder Drucken von E-Mails in Exchange Online-Postfächern.
Teams: Purview erfasst Chat- und Anrufaktivitäten wie Senden, Empfangen, Löschen oder Drucken von Chatnachrichten oder Teilnehmen, Beenden oder Aufzeichnen von Anrufen in Teams-Kanälen oder Besprechungen.
Windows 10: Purview erfasst Desktopaktivitäten wie das Kopieren oder Einfügen von Daten aus oder in eine Datei oder Anwendung, das Erstellen oder Ändern von Druckaufträgen oder das Herstellen oder Trennen einer VPN-Verbindung auf Windows 10-Geräten.
Wie funktioniert Insider-Risk-Management?
Der Insider-Risk-Management-Workflow in Purview umfasst die Identifizierung, Untersuchung und Behebung interner Risiken in einer Organisation. Er basiert auf fokussierten Policy-Vorlagen, umfassender Aktivitätssignalisierung und einem effizienten Alert- und Case-Management. Dieser Workflow ermöglicht es, riskantes Verhalten schnell zu erkennen und zu bekämpfen.
Wichtige Schritte im Workflow:
Policies: Insider-Risk-Management-Richtlinien definieren, wie interne Bedrohungen erkannt und behandelt werden. Sie basieren auf Risikoindikatoren, die aus anonymisierten Benutzeraktionen abgeleitet werden. Wenn verdächtige Aktivitäten erkannt werden, wird ein Alert generiert und an das Dashboard gesendet.
Alerts: Die generierten Alarme werden im Dashboard angezeigt, das eine klare Übersicht über alle zu prüfenden Alerts sowie deren Status bietet. Jeder Alert enthält detaillierte Informationen über die Art der Aktion, den betroffenen Dienst, die anonymisierte Benutzer-ID und den Zeitpunkt der Aktion.
Triage: Neue Alarme erhalten den Status „Zu überprüfen“ und werden im Dashboard angezeigt. Prüfer können diese Alerts sortieren und bearbeiten, indem sie einen neuen Fall eröffnen, den Alert einem bestehenden Fall zuweisen oder ihn verwerfen.
Investigation: Für tiefergehende Untersuchungen können Fälle erstellt werden. Das Case-Dashboard bietet eine umfassende Ansicht der relevanten Risikoaktivitäten, Policy-Bedingungen und Benutzerinformationen. Prüfer können auch den Content Explorer nutzen, um alle Dateien und E-Mails zu durchsuchen, die mit den Alerts verknüpft sind.
Action: Nach Abschluss der Untersuchung können weiterführende Maßnahmen ergriffen werden. Dazu gehören unter anderem das Senden von Erinnerungsmitteilungen, das Weiterleiten der Untersuchungsergebnisse an andere Abteilungen wie Compliance oder HR oder die Eskalation eines Falls an Microsoft Purview eDiscovery für eine umfassendere rechtliche Prüfung.
Welche Szenarien unterstützt Insider-Risk-Management?
Insider-Risk-Management unterstützt eine Vielzahl von Szenarien, um interne Risiken zu vermeiden, zu erkennen und zu minimieren:
Datenextraktion durch ausscheidende Benutzer: Automatische Erkennung von Aktivitäten, die typischerweise mit dem Diebstahl von Unternehmensdaten durch scheidende Mitarbeiter verbunden sind.
Datenverlust: Erkennung sowohl versehentlicher als auch absichtlicher Lecks von sensiblen Informationen.
Verstöße gegen Sicherheitsrichtlinien: Identifikation von riskanten Sicherheitsaktivitäten, die durch böswillige Absicht oder unbeabsichtigte Fehler verursacht wurden.
Spezifische Benutzergruppen: Erstellen von Prioritätsbenutzergruppen und anpassen von Richtlinien für Benutzer mit höherem Risiko basierend auf Position, Zugriffsebene oder Risikohistorie.
Gesundheitswesen: Schutz vor dem Missbrauch von Patientendaten durch spezifische Richtlinien für das Gesundheitswesen, die auf besondere Compliance-Anforderungen zugeschnitten sind.
Microsoft Purview bietet neben den vorgefertigten Richtlinien auch die Möglichkeit, individuelle Richtlinien zu erstellen, die genau auf spezifische Szenarien und Anforderungen zugeschnitten sind. Mit dem Insider-Risk-Management-Richtlinien-Editor können Sie Kriterien und Schwellenwerte festlegen, die genau auf Ihre Geschäftsziele, Branchenstandards und regulatorischen Anforderungen abgestimmt sind und so Ihre Organisation optimal vor potenziellen Bedrohungen schützt.
Fazit
Insider-Risk-Management in Purview ist eine leistungsstarke und flexible Lösung, um interne Risiken zu minimieren und die Einhaltung von Compliance-Standards sicherzustellen. Die Lösung ermöglicht es, Benutzeraktivitäten zu überwachen, Policies basierend auf bewährten Vorlagen oder benutzerdefinierten Bedingungen zu erstellen, Alerts zu generieren und zu verwalten sowie tiefergehende Untersuchungen durchzuführen. Durch die Integration mit anderen Microsoft Purview-Lösungen oder SIEM-Diensten bietet Purview eine End-to-End-Risikolösung, die Organisationen hilft, interne Bedrohungen zu erkennen und zu verhindern.