Traditionelle Systeme zur Überwachung von Insider-Bedrohungen basieren häufig auf vordefinierten Regeln und statistischen Techniken, die nicht nur alle möglichen Arten von Fehlverhalten vorausberechnen müssen, sondern auch ohne weiteres, aufgrund ihrer starren und somit vorhersagbaren Struktur, umgangen werden können. Darüber hinaus konzentrieren sich traditionelle Systeme meist ausschließlich auf die Überwachung von Transaktionssystemen und sind damit blind für die riesigen Datenmengen, die durch die Kommunikation der Mitarbeiter untereinander auf verschiedensten Kommunikationskanälen entstehen.

Cataphoras Monitoring-Lösungen für Insider-Bedrohungen überwinden diese beiden Probleme durch die Analyse der gesamten Bandbreite des elektronischen Datenverkehrs innerhalb eines Unternehmens. Dabei setzt das System nicht auf bloße Vermutungen wo Probleme entstehen könnten, sondern basiert vielmehr auf dem Erkennen potentieller Probleme, wenn in den Daten Abweichungen vom normalen Verhaltensmuster gefunden werden.

Die französische Bank Société Générale gab 2008 bekannt, dass ihr Wertpapierhändler Jérôme Kerviel durch unauthorisierte Transkationen einen Schaden von 7 Milliarden Dollar verursachte. Er war in der Lage, die bankeigenen Transaktions-Monitoringsysteme zu umgehen, da sie auf starren, intern veröffentlichten Regeln basierten. Sein Verhalten löste keine Reaktionen der Überwachungssysteme aus, obwohl er viele Dinge tat, die jemand in seiner Position nicht hätte tun dürfen. Diese Aktivitäten wären durch Cataphoras Technologien als große Ansammlung von Unregelmässigkeiten im Zusammenhang mit einer Person angezeigt worden und hätten dadurch auf ein potentielles Risiko aufmerksam gemacht.

Solch ein Verhalten eines Mitarbeiters kann für ein Unternehmen schwerwiegende Folgen haben, egal ob die betreffende Person dabei vorsätzlich, rücksichtslos, nachlässig oder schlicht aufgrund einer Persönlichkeitsstörung handelte. Die Folgen für ein Unternehmen können vielfältig sein und so kann es beispielsweise zu direkten finanziellen Verlusten, weiteren Kosten aufgrund interner Ermittlungen, Geldstrafen oder Entschädigungszahlungen kommen. In extremen Fällen können sie zum Konkurs und langen Haftstrafen führen und nicht zuletzt können sie auch unschuldigen Mitarbeitern und Anteilseignern Schaden zufügen.

Traditionelle Transaktions-Monitoringsysteme, die eingesetzt werden um solchen Bedrohungen zu begegnen, scheitern immer wieder. Der Fall Kerviel ist wahrscheinlich der Bekannteste, aber bei weitem nicht der Einzige. Überraschenderweise basieren die traditionellen Systeme entweder auf einer Ansammlung von Regeln, die beschreiben was – oder was nicht- erlaubt ist, oder sie basieren auf einer vorher definierten “statistischen Norm”, die es einzuhalten gilt. Dieser Ansatz aber erfordert es, dass ein Unternehmen alle möglichen Formen von Fehlverhalten vorhersagen kann, um dementsprechend Regeln für das Monitoring-System zu erstellen. Die Vergangenheit hat immer wieder gezeigt, dass manche Mitarbeiter einen schier unbegrenzten Einfallsreichtum haben, wenn es darum geht Schlupflöcher zu finden, um Regeln zu umgehen. Es ist fast ausgeschlossen, absolut wasserdichte Regeln aufzustellen. Dies trifft umso mehr zu, weil Mitarbeiter als Insider die Monitoringsysteme meistens kennen und es Ihnen somit oft leicht fällt, sich bestimmten Beschränkungen zu entziehen.

Ein weiteres Problem von traditionellen Monitoringsystemen ist die Beschränkung auf Transaktionen. Dabei werden Geschäfte heutzutage über eine Vielzahl von Plattformen durchgeführt: Mitteilungen werden nicht nur per E-Mail verschickt, sondern unter anderem auch über Instant Messenger oder SMS. Traditionelle Transaktions-Monitoringsysteme beziehen diese wichtige und vor allem reichhaltige Datenquelle nicht mit ein und sind somit völlig blind für Hinweise die in diesen Daten zu finden sind.

Erstellung von Verhaltensmustern

Cataphoras patentierte Technologie erstellt automatisch ein Modell, welches das Normalverhalten der Mitarbeiter eines Unternehmens aufzeigt. Erstellt wird das Modell mit Hilfe einer großen Anzahl unterschiedlicher elektronischer Informationen – Daten, die heutzutage in jedem Unternehmen in großen Mengen anfallen. Dieses Modell ist von unschätzbarem Wert, denn dadurch kann das System erkennen, wenn etwas außergewöhnliches – und somit etwas potentiell problematisches – geschieht. Dies ist ein zentrales Element unseres Ansatzes, denn unser System ist so in der Lage, Abweichungen von der Norm zu identifizieren. Genau diese Abweichungen sind interessant, denn sie geben oft einen Hinweis auf ein für das Unternehmen gefährliches Fehlverhalten.

Das Modell zeigt die wirklichen Abläufe und die wahren Kommunikations- und Entscheidungsmuster – praktisch die sozialen Netzwerke – eines Unternehmens. Diese Netzwerke unterscheiden sich oft in wichtigen Punkten von den formellen Organigrammen und Prozessbeschreibungen eines Unternehmens. Das Modell kann jedes Detail in einem Unternehmen umfassen, welches auf irgendeine Art elektronisch gespeichert ist. Es kann nicht nur Aufzeichnungen von Transaktionen, sondern auch andere elektronischen Daten, wie zum Beispiel E-Mails, Dokumente, Kalendereinträge, Einzelverbindungsnachweise oder auch Logdateien für Zugangssysteme beinhalten. Das Modell erfasst außerdem das Verhalten und die Interaktionen von Einzelpersonen und Arbeitsgruppen, inklusive deren elektronischer Kommunikation. Auch elektronische Dokumente inklusive deren Verteilung im Unternehmen können mit einbezogen werden. Weiterhin können interne und externe Ereignisse im Modell berücksichtigt werden. So werden zum Beispiel im Bezug auf Diskussionen über die Änderungen von Preisen für bestimmte Produkte eines Unternehmens, auch die Preise von Mitbewerbern im Modell abgebildet. Mit Hilfe dieses Modells ist es dann unter anderem möglich, verborgene Zusammenhänge zwischen bestimmten Personen aufzudecken. Es könnte sich dabei beispielsweise herausstellen, dass mehrere Personen, die in völlig unterschiedlichen Bereichen eines Unternehmens tätig sind, sich sehr gut kennen – vielleicht, weil sie früher an der gleichen Universität studiert haben. Die Kenntnis von solchen “Schatten-Netzwerken” ist ausschlaggebend, um die Motive und die Loyalität von Schlüsselpersonen anderen gegenüber zu verstehen – und dies kann durchaus zu einem Konflikt mit den Interessen des Unternehmens führen.

Unregelmäßigkeiten erkennen und kennzeichnen

Sobald die “normalen” Verhaltensmuster, also der Normalzustand, bekannt ist, kann das System automatisch Unregelmäßigkeiten erkennen und kennzeichnen. Solche Unregelmäßigkeiten sind bei einem Fehlverhalten oder einer gravierenden Veränderung der Arbeitseinstellung kaum vermeidbar.

In der Abbildung rechts sehen Sie hierzu ein Beispiel. Das individuelle Kommunikationsmuster eines bestimmten Mitarbeiters ist in Form eines sogenannten Graphen dargestellt. Ein Graph ist ein netzwerkartiges Gebilde, in dem Objekte über Linien miteinander verbunden sind. Im linken Graph sehen Sie, in blau dargestellt, das für einen bestimmten Mitarbeiter normale Kommunikationsmuster eines typischen Arbeitstages. Diese blauen Linien verbinden den Mitarbeiter mit Kollegen im gleichen Unternehmen (grauer Bereich) und mit Freunden und der Familie (grüner Bereich). Der rechte Graph zeigt eine deutliche Veränderung: Viele blaue Linien sind nun mit Punkten im roten Bereich verbunden. Der rote Bereich repräsentiert externe Gesprächspartner von anderen Unternehmen, darunter auch viele Konkurrenzunternehmen. Der Mitarbeiter, dessen Kommunikationsmuster hier untersucht wurden, kommuniziert nun wesentlich regelmäßiger mit diesen externen Kontakten. Dies kann zum Beispiel ein Hinweis darauf sein, dass der Mitarbeiter bei anderen Unternehmen einen neuen Job sucht – vielleicht gibt es aber auch schwerwiegendere Gründe. Solche Unregelmäßigkeiten können mit vielen verschiedenen Ausgangswerten verglichen werden. So kann das aktuelle Verhalten unter anderem mit früherem Verhalten verglichen werden oder es kann mit dem Verhalten von Mitarbeitern, die in ähnlichen Positionen tätig sind, in Bezug gesetz werden.

Jérôme Kerviel, der zuvor in der Compliance-Abteilung seiner Bank gearbeitet hatte, konnte die Überwachungssysteme seines Arbeitgebers umgehen. Und das, obwohl sein Verhalten gegenüber anderen Wertpapierhändlern seiner Bank einige Abweichungen zeigte:

  • Er hat routinemäßig den Dienstweg missachtet, indem er im ungewöhnlich hohem Maße mit dem Vorgesetztem seines Managers kommuniziert hat;
  • er hat ungewöhnlicherweise mit nur einem einzigen Börsenmakler gearbeitet;
  • er hat extrem oft sein Mobiltelefon genutzt, während er sich in seinem Büro aufhielt, in dem es, wie üblich, ausreichend Festnetzanschlüsse gab;
  • er zeigte sich besorgt über sein eigenes Verhalten und schrieb oft Dinge, wie “Du hast niemandem von unseren Geschäften erzählt, oder? Falls doch, haue ich dir eine rein…”;
  • er ist bei der Erstellung von Scheingeschäften und der Löschung von Wertpapierordern sehr konsequent vorgegangen, so dass sie alle bestimmte Merkmale aufwiesen:
    • Die Wertstellung erfolgte immer nach der Transaktion,
    • er hat immer wieder auf die Hilfe von Geschäftspartnern innerhalb der Société Générale oder von einer kleinen Gruppe externer Geschäftspartner zurückgegriffen und
    • die Aufhebung des Handels erfolgte vor dem Bewertungsstichtag.

Keine dieser Verhaltensweisen ist ein offensichtlicher Verstoß gegen die Übereinstimmung mit den geltenden Vorschriften. Und es wäre schwer, die Notwendigkeit eben solcher Vorschriften zu erkennen und zu implementieren – geschweige denn jede von ihnen zu überwachen. Tatsächlich stellt keine dieser Verhaltensweisen für sich genommen ein Problem dar. Ausschlaggebend jedoch ist die Gesamtsituation, die sich ergibt, wenn man alle Einzelheiten zusammen betrachtet.

Dies veranschaulicht ein wichtiges Prinzip: Es ist wichtig, mehr als nur einen Faktor zu betrachten, denn es kann immer auch einen berechtigten Grund für eine bestimmte Änderung des Verhaltens, wie zum Beispiel eine Änderung im Kommunikationsverhalten, geben. Es ist wichtig, dass das System nicht eine Flut von Fehlalarmen generiert. Wenn die Anzahl der Alarmmeldungen zu hoch wird, so dass es für die Verantwortlichen unmöglich wird, die Meldungen auf ihre Relevanz zu überprüfen, dann werden sie irgendwann ignoriert werden. Zur Vermeidung dieser Art von Problemen, fasst das System Meldungen zusammen und gruppiert sie nach Personen und Zeiträumen. Diese Zusammenfassung der Meldungen verringert auch das Problem der kaskadierten Alarmmeldungen, bei denen registrierte Unregelmäßigkeiten alle von ein und derselben Ursache stammen.

Eine weitere wichtige Kategorie betrifft das Fehlen von Daten – Daten, die basierend auf normalem oder zu erwartendem Verhalten eigentlich vorhanden sein sollten. Mit einem Muster an zu erwartenden Daten, welche ein Mitarbeiter in einer bestimmten Position besitzen sollte, wird es zum Beispiel möglich zu erkennen, ob Daten gelöscht wurden – vielleicht weil Spuren verwischt werden sollten. Ein regelmäßig verfasster Bericht könnte beispielsweise auf unerklärlicher Weise für einen bestimmten Zeitraum nicht zur Verfügung stehen. Oder im E-Mailordner eines Mitarbeiters finden sich für bestimmte Tage keinerlei E-Mails, obwohl anhand von anderen Fakten feststeht, dass der Mitarbeiter an den fraglichen Tagen wie gewohnt im Büro anwesend war und gearbeitet hat.

Spitzentechnologie gepaart mit jahrelanger Erfahrung

Cataphoras patentierte Technologie und die langjährige Erfahrung in der Analyse von riesigen Datenmengen für große Unternehmen bieten Ihnen ein leistungsfähiges und wirksames Konzept zum Schutz vor Insider-Bedrohungen.