Eintragen

"Spam-Welle": Wie CleverControl den Diebstahl von Kundendatenbanken aufdeckte

CleverControl erkennt Insider-Bedrohungen bei dem Online-Einzelhandelsunternehmen

Spam. Für unseren Kunden, einen kleinen, aber wachsenden Online-Händler, der sich auf handgefertigte Wohndekoration und individuelle Geschenke spezialisiert hat, bedrohte dieses Wort mit vier Buchstaben die gesamte Marke. Das Unternehmen war stolz auf seinen treuen Kundenstamm und seinen persönlichen Ansatz für jeden Kunden.

Irgendwann erhielt der Online-Shop Beschwerden von Kunden über Spam-E-Mails und Anrufe. Der Spam bezog sich oft auf frühere Einkäufe bei dem Händler. Verständlicherweise waren die Kunden verärgert und besorgt darüber, dass ihre Kontaktdaten nach außen drangen.

Das Unternehmen vermutete zunächst eine allgemeine Datenpanne oder eine Serverschwachstelle, doch bei ausführlichen Sicherheitsprüfungen wurde nichts Verdächtiges gefunden. Die nächste Vermutung des Geschäftsführers war eine Insider-Bedrohung, da das Datenleck gezielt und spezifisch für Kundeninformationen zu sein schien. Jemand innerhalb eines Unternehmens mit Zugang zur Kundendatenbank könnte für den Vorfall verantwortlich sein.

Die Lösung

Angesichts einer potenziellen PR-Krise und des Vertrauensverlusts der Kunden beschloss die Geschäftsführerin, eine Software zur Überwachung der Arbeitsaktivitäten der Mitarbeiter einzusetzen. Nach der Untersuchung von Lösungen, die sich auf die Überwachung von Benutzeraktivitäten und den Datenschutz konzentrieren, entschied sie sich für CleverControl aufgrund seiner umfassenden Überwachungsfunktionen, die bei der Erkennung von Insider-Bedrohungen helfen können.

Zu den wichtigsten Funktionen von CleverControl, die das Unternehmen nutzt, gehören:

  1. Live-Ansicht: Die Möglichkeit, die Bildschirme der Mitarbeiter in Echtzeit zu sehen, könnte dazu beitragen, den Täter auf frischer Tat zu ertappen.
  2. Bildschirmaufnahmen: Diese Aufzeichnungen ermöglichten eine schnelle Überprüfung des Arbeitstages eines jeden Mitarbeiters, wodurch verdächtige Aktivitäten aufgedeckt werden konnten.
  3. Screenshots: Da die Software Screenshots macht, wenn der Benutzer das Fenster wechselt, eine Website besucht oder etwas in die Zwischenablage kopiert, war es sehr wahrscheinlich, dass der Moment des Datendiebstahls festgehalten wird. Außerdem boten Screenshots einen schnelleren Überblick über den Tag des Mitarbeiters als Bildschirmaufzeichnungen.
  4. Überwachung von Anwendungen und Websites: Die Verfolgung dieser Daten könnte dazu beitragen, die Arbeitsabläufe der Mitarbeiter zu verstehen und aufzudecken, ob jemand nicht autorisierte Dateifreigabedienste oder E-Mail-Clients verwendet hat.
  5. Überwachung externer Speichergeräte: Das Unternehmen musste wissen, ob jemand die Kundendatenbank auf ein USB-Laufwerk oder ein anderes externes Speichergerät kopiert hatte.
  6. E-Mail-Überwachung: Falls die Datenbank per E-Mail geleakt wurde, würde CleverControl das Leck aufzeichnen.
  7. Gesichtserkennungsfunktion: Diese Funktion könnte aufdecken, wer Zugang zu Bürocomputern hatte, insbesondere zu denen mit Zugang zu Kundendatenbanken.
  8. Video- und Tonaufnahmen in bestimmten Bürobereichen mit entsprechender Benachrichtigung: Die Aufzeichnung von Audiodaten in der Nähe von Arbeitsplätzen könnte möglicherweise die verbale Kommunikation im Zusammenhang mit Datenlecks oder nicht autorisierten Diskussionen aufdecken.

Die Untersuchung

Der Geschäftsführer implementierte in Zusammenarbeit mit dem IT-Manager CleverControl auf 17 Bürocomputern. Sie überprüften täglich die Aktivitäten der Mitarbeiter und suchten nach einem möglichen Datenleck.

Nach ein paar Wochen bemerkten sie ein Protokoll mit ungewöhnlichen Aktivitäten auf dem Computer eines Kundendienstmitarbeiters. Er war lange nach seinen üblichen Arbeitszeiten aktiv. Der CEO und der IT-Manager konzentrierten sich bei ihrer Untersuchung auf diese Aktivität innerhalb von CleverControl und fanden Folgendes heraus:

  1. Das Protokoll zur Verfolgung des externen Speichers verzeichnete den Anschluss eines USB-Laufwerks an den Arbeitsplatz des Vertreters.
  2. Screenshots und Bildschirmaufzeichnungen zeigten, dass der Benutzer eine große CSV-Datei aus dem Kundendatenbankordner auf seinen Desktop exportierte. Kurz darauf kopierte er die Datei auf ein USB-Laufwerk.

Als der Geschäftsführer den Kundendienstmitarbeiter am nächsten Tag mit den verdächtigen Aktivitäten konfrontierte, stritt dieser alle Vorwürfe ab. Der Mitarbeiter bestand darauf, dass er zum Zeitpunkt des Vorfalls mit einigen Kollegen in einer Bar war, und die Kollegen bestätigten seine Aussagen.

Aus Angst, dass das Problem schlimmer sein könnte als erwartet, überprüfte der Geschäftsführer die Gesichtserkennungsprotokolle von CleverControl. Glücklicherweise verfügte der Computer des Vertreters über eine Webcam, und die Funktion war darauf aktiviert. CleverControl zeigte eine Gesichtserkennungsübereinstimmung für einen Marketingassistenten, der in einer anderen Abteilung arbeitete und keinen legitimen Grund hatte, den Arbeitsplatz des Vertreters zu benutzen. Die Übereinstimmung und das von der Webcam aufgenommene Video bestätigten, dass der Assistent den Computer zum Zeitpunkt des Vorfalls benutzte. Weitere Untersuchungen der Aktivitäten auf dem Computer der Assistentin ergaben, dass sie in den Tagen vor dem Dateiexport während der Arbeitszeit Websites mit Stellenausschreibungen durchsucht hatte. Sie schien speziell nach Stellen in konkurrierenden Online-Einzelhandelsunternehmen zu suchen.

Die Auflösung

Die von CleverControl gesammelten Daten deckten eine Insider-Bedrohung auf. Der Marketingassistent war für den Diebstahl der Kundendatenbank verantwortlich. Der Dateiexport, der USB-Transfer, die Aktivitäten nach Feierabend und die Stellensuche deuteten auf einen vorsätzlichen Datendiebstahl hin.

Als die Marketingassistentin die detaillierten Dateiaktivitätsprotokolle und USB-Verbindungsprotokolle vorlegte, gab sie zu, die Kundendatenbank heruntergeladen und kopiert zu haben. Sie wusste, dass der Kundendienstmitarbeiter oft vergaß, seinen Computer zu sperren, und nutzte die Gelegenheit, um sensible Daten zu stehlen. Die Assistentin hatte dies bereits vor einigen Monaten getan und beabsichtigte, eine aktualisierte Datenbank an einen Konkurrenten zu verkaufen, um ihr Einkommen aufzubessern, da sie auf der Suche nach einer neuen Stelle war.

Der Vertrag der Marketingassistentin wurde sofort gekündigt, und das Unternehmen begann, rechtliche Schritte gegen sie zu prüfen. Außerdem informierte das Unternehmen die betroffenen Kunden über ein mögliches Datenleck und erläuterte, was es zur Sicherung der Daten und zur Vermeidung künftiger Vorfälle unternommen hatte. Als Geste des guten Willens bot das Unternehmen den betroffenen Kunden außerdem kostenlose Boni an.

Der CEO führte außerdem strengere Zugangskontrollen zur Kundendatenbank, eine Multi-Faktor-Authentifizierung und verstärkte Mitarbeiterschulungen zur Datensicherheit und ethischen Verantwortung ein.

Schlussfolgerung

CleverControl spielte in diesem Fall eine entscheidende Rolle bei der Erkennung von Insider-Bedrohungen. Es lieferte die Beweise, die benötigt wurden, um den Datendieb schnell zu identifizieren und schnelle Maßnahmen zu ergreifen, um den Schaden zu mindern und zukünftige Vorfälle zu verhindern. Außerdem zeigt dieser Fall, dass es irreführend sein kann, sich nur auf Dateiprotokolle oder die Verfolgung von Aktivitäten zu verlassen. Die Gesichtserkennung diente als zusätzliche Erkennungsebene und half bei der Identifizierung des tatsächlichen Benutzers, der den Diebstahl begangen hat. CleverControl erwies sich nicht nur für die Sicherheitsüberwachung, sondern auch für die Gewährleistung von Fairness und Genauigkeit bei internen Untersuchungen als unschätzbar wertvoll.

Tags:

Here are some other interesting articles: