Im Januar wurde ein Tesla-Ingenieur nach nur vier Arbeitstagen entlassen, weil er mehr als 6.000 vertrauliche Dokumente in sein persönliches Dropbox-Konto hochgeladen hat. Er gab an, dass in den Hinweisen für neue Mitarbeiter die Verwendung von Dropbox nicht untersagt worden sei. Er habe die Dokumente auf sein persönliches Cloud-Konto übertragen, um sie später auf seinen persönlichen Geräten zu verwenden.
Ein Gericht muss jetzt klären, ob hier ein Verschulden des Mitarbeiters vorliegt. Unabhängig vom Ausgang dieses Verfahrens sollte man sich bei Tesla jedoch die Frage stellen, wie so ein Fall passieren konnte – zum wiederholten Mal? Zur Erinnerung: Im Juli 2019 gab ein ehemaliger Tesla-Ingenieur zu, Dateien im Zusammenhang mit dem Autopilot-System des Herstellers auf sein persönliches iCloud-Konto hochgeladen zu haben.
18 Monate nach dem ersten Vorfall scheint Tesla keine Lehren gezogen und keine Maßnahmen ergriffen zu haben, um dieses zweite Datenleck zu verhindern. Im neuen Fall kann Tesla nicht einmal nachvollziehen, ob die hochgeladenen Dateien auch auf weitere Orte verschoben wurden oder ob das Leck eingedämmt wurde.
Paolo Passeri, Cyber Intelligence Principal bei Netskope, kommentiert:
Die Art, wie Menschen arbeiten, hat sich verändert. Durch die zunehmende Nutzung von Cloud-Diensten und mobilen Geräten erwarten die Mitarbeiter heute, dass sie zu jeder Zeit, von jedem Ort und auf jedem Gerät arbeiten können. Ob versehentlich oder böswillig, das Risiko, dass Mitarbeiter Daten außerhalb des alten Perimeters eines Unternehmens verschieben, ist deutlich gestiegen.
Deshalb brauchen Unternehmen eine Datensicherheitsstrategie, die es ihnen ermöglicht, die Vorteile von Cloud-Anwendungen zu nutzen, ohne sich einem übermäßigen Risiko auszusetzen. Da die Nutzung der Cloud sowohl für Unternehmen als auch für Privatpersonen mittlerweile zum Mainstream geworden ist, ist die Datenexfiltration vertraulicher Informationen über Cloud-Dienste ausgesprochen einfach.
Mit drei Schritten lässt sich dies jedoch ebenso leicht und effektiv verhindern:
- Steuern Sie die Cloud-Nutzung proaktiv, indem Sie die Aktivitäten der Benutzer überwachen, unabhängig davon, ob sie über eine mobile oder eine Desktop-App auf Cloud-Dienste zugreifen. Die Datenschutzgesetzgebung macht deutlich, dass es in der Verantwortung des Unternehmens liegt, Transparenz darüber zu schaffen, wohin Daten verschoben und wie sie verwendet werden. Eine CASB-Lösung bietet diesen Einblick.
- Der nächste Schritt nach der Sichtbarkeit ist die Kontrolle. Tesla hätte die Exfiltration von Daten von verwalteten Geräten zu beliebigen Cloud-Diensten oder Websites verhindern können. Entweder durch das Blockieren jeglichen Zugriffs auf bestimmte Dienste, die als riskant und unangemessen betrachtet werden, oder durch die Anwendung granularer Kontrollen für sensible Dokumente. Damit dies effektiv funktioniert, muss das Datensicherheitssystem den Kontext innerhalb der Daten verstehen.
- Bei vielen Cloud-Diensten, die sowohl für private als auch für Unternehmensinstanzen verwendet werden (Dropbox ist hier ein Paradebeispiel), sollten Unternehmen unterschiedliche Richtlinien für persönliche und berufliche Instanzen desselben Cloud-Dienstes durchsetzen. So ist es möglich, beispielsweise den Upload in die von der Unternehmens-IT geführte Instanz von Dropbox zu erlauben, während man gleichzeitig den Upload von regulierten Informationen in das private Dropbox-Konto verhindert.