Spam. Für unseren Kunden, einen kleinen, aber wachsenden Online-Händler, der sich auf handgefertigte Wohndekoration und individuelle Geschenke spezialisiert hat, bedrohte dieses Wort mit vier Buchstaben die gesamte Marke. Das Unternehmen war stolz auf seinen treuen Kundenstamm und seinen persönlichen Ansatz für jeden Kunden.
Irgendwann erhielt der Online-Shop Beschwerden von Kunden über Spam-E-Mails und Anrufe. Der Spam bezog sich oft auf frühere Einkäufe bei dem Händler. Verständlicherweise waren die Kunden verärgert und besorgt darüber, dass ihre Kontaktdaten nach außen drangen.
The company initially suspected a general data breach or server vulnerability; however, nothing suspicious was found during extended security checks. The CEO's next guess was an insider threat since the data leak seemed targeted and specific to customer information. Someone within a company with access to the customer database could be responsible for the incident.
Die Lösung
Facing a potential PR crisis and loss of customer trust, the CEO decided to use employee monitoring software to track employees' work activity. After researching solutions focused on user activity monitoring and data protection, she chose CleverControl for its extensive monitoring capabilities that could help in insider threat detection.
Zu den wichtigsten Funktionen von CleverControl, die das Unternehmen nutzt, gehören:
- Live-Ansicht: an opportunity to view employees' screens in real time could help catch the culprit red-handed.
- Bildschirmaufnahmen: these recordings allowed a quick review of each employee's workday, which could reveal suspicious activity.
- Screenshots: since the software takes screenshots when the user switches windows, visits a website, or copies something to the clipboard, it was highly probable that the moment of data theft would be captured. Besides, screenshots offered a quicker overview of the employee's day than screen recordings.
- Überwachung von Anwendungen und Websites: tracking these could help understand employees' workflow and reveal if someone was using unauthorized file-sharing services or email clients.
- Überwachung externer Speichergeräte: Das Unternehmen musste wissen, ob jemand die Kundendatenbank auf ein USB-Laufwerk oder ein anderes externes Speichergerät kopiert hatte.
- E-Mail-Überwachung: Falls die Datenbank per E-Mail geleakt wurde, würde CleverControl das Leck aufzeichnen.
- Gesichtserkennungsfunktion: Diese Funktion könnte aufdecken, wer Zugang zu Bürocomputern hatte, insbesondere zu denen mit Zugang zu Kundendatenbanken.
- Video- und Tonaufnahmen in bestimmten Bürobereichen mit entsprechender Benachrichtigung: Die Aufzeichnung von Audiodaten in der Nähe von Arbeitsplätzen könnte möglicherweise die verbale Kommunikation im Zusammenhang mit Datenlecks oder nicht autorisierten Diskussionen aufdecken.
Die Untersuchung
The CEO, working with the IT manager, implemented CleverControl on 17 office computers. They checked the employees' activity daily, looking for a potential data leak.
In a few weeks, they noticed a log of unusual activity on a customer service representative's computer. It was active long past his usual working hours. The CEO and the IT manager focused their investigation on this activity within CleverControl, and here is what they found:
- The external storage tracking log recorded the connection of a USB drive to the representative's workstation.
- Screenshots und Bildschirmaufzeichnungen zeigten, dass der Benutzer eine große CSV-Datei aus dem Kundendatenbankordner auf seinen Desktop exportierte. Kurz darauf kopierte er die Datei auf ein USB-Laufwerk.
Als der Geschäftsführer den Kundendienstmitarbeiter am nächsten Tag mit den verdächtigen Aktivitäten konfrontierte, stritt dieser alle Vorwürfe ab. Der Mitarbeiter bestand darauf, dass er zum Zeitpunkt des Vorfalls mit einigen Kollegen in einer Bar war, und die Kollegen bestätigten seine Aussagen.
Fearing that the problem might be worse than expected, the CEO checked CleverControl's face recognition logs. Luckily, the representative's computer had a webcam, and the feature was enabled on it. CleverControl showed a facial recognition match for a marketing assistant who worked in a different department and had no legitimate reason to use the representative's workstation. The match and the video captured from the webcam confirmed that the assistant was using the computer at the time of the incident. Further investigation of activity from the assistant's computer showed that she had been browsing job posting websites during work hours in the days leading up to the file export. She seemed to look at roles in competing online retail businesses specifically.
Die Auflösung
Die von CleverControl gesammelten Daten deckten eine Insider-Bedrohung auf. Der Marketingassistent war für den Diebstahl der Kundendatenbank verantwortlich. Der Dateiexport, der USB-Transfer, die Aktivitäten nach Feierabend und die Stellensuche deuteten auf einen vorsätzlichen Datendiebstahl hin.
Als die Marketingassistentin die detaillierten Dateiaktivitätsprotokolle und USB-Verbindungsprotokolle vorlegte, gab sie zu, die Kundendatenbank heruntergeladen und kopiert zu haben. Sie wusste, dass der Kundendienstmitarbeiter oft vergaß, seinen Computer zu sperren, und nutzte die Gelegenheit, um sensible Daten zu stehlen. Die Assistentin hatte dies bereits vor einigen Monaten getan und beabsichtigte, eine aktualisierte Datenbank an einen Konkurrenten zu verkaufen, um ihr Einkommen aufzubessern, da sie auf der Suche nach einer neuen Stelle war.
The marketing assistant's contract was terminated immediately, and the company started exploring options for legal action against her. The company also notified affected customers about a potential data leak and explained what they had done to secure data and prevent future incidents. They also offered complimentary bonuses for affected customers as a goodwill gesture.
Der CEO führte außerdem strengere Zugangskontrollen zur Kundendatenbank, eine Multi-Faktor-Authentifizierung und verstärkte Mitarbeiterschulungen zur Datensicherheit und ethischen Verantwortung ein.
Schlussfolgerung
CleverControl spielte in diesem Fall eine entscheidende Rolle bei der Erkennung von Insider-Bedrohungen. Es lieferte die Beweise, die benötigt wurden, um den Datendieb schnell zu identifizieren und schnelle Maßnahmen zu ergreifen, um den Schaden zu mindern und zukünftige Vorfälle zu verhindern. Außerdem zeigt dieser Fall, dass es irreführend sein kann, sich nur auf Dateiprotokolle oder die Verfolgung von Aktivitäten zu verlassen. Die Gesichtserkennung diente als zusätzliche Erkennungsebene und half bei der Identifizierung des tatsächlichen Benutzers, der den Diebstahl begangen hat. CleverControl erwies sich nicht nur für die Sicherheitsüberwachung, sondern auch für die Gewährleistung von Fairness und Genauigkeit bei internen Untersuchungen als unschätzbar wertvoll.




