Apple Kickback Scheme: Lassen Sie sich nicht davon abhalten

Ein globaler Supply-Chain-Manager für Apple wurde verhaftet, weil er angeblich mehr als eine Million Dollar an Bestechungsgeldern und Schmiergeldern angenommen hat. Apples Untersuchung konzentrierte sich auf persönliche webbasierte E-Mail-Accounts auf dem von Apple ausgestellten Laptop des beschuldigten Managers und bietet wertvolle Lektionen für die Durchsetzung von Richtlinien und den Schutz von Daten.

Das Wall Street Journal berichtet, dass Paul Shin Devine einem Bundesriesen gegenübersteht Jury-Anklage und eine Zivilklage von Apple nach einer Untersuchung, die Devine daran hindert, vertrauliche Informationen an Schlüssellieferanten weiterzuleiten, damit sie bessere Verträge mit Apple aushandeln können. Im Gegenzug zahlten die Apple-Lieferanten Zahlungen an verschiedene Bankkonten, die laut der Anklage im Namen von Devine und seiner Frau eingerichtet waren.

Apple vermutete, dass Devine die Unternehmenspolitik verletzte und eine interne Untersuchung einleitete, bei der verdächtige E-Mails entdeckt wurden Unternehmens-Laptop mit persönlichen Konten auf Hotmail und Google Mail. Die E-Mails enthielten sensible und vertrauliche Informationen an die wichtigsten Apple-Lieferanten.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Apple hat einige Vorteile für die Entdeckung der angeblichen Unzulänglichkeiten Durchsetzung der Unternehmenspolitik und Überwachung der Mitarbeiterkommunikation für sensible Daten Devines Aktionen hätten viel früher erkannt und verhindert werden können. Es gibt einige Erkenntnisse, die IT-Administratoren und Sicherheitsexperten aus dem Apple-Kickback-Schema lernen können.

Die meisten Unternehmen verfügen über akzeptable Nutzungsrichtlinien, die die Verwendung unternehmenseigener Computer, Netzwerke und Kommunikationen regeln vertrauliche Daten. Was den meisten Unternehmen jedoch fehlt, sind die Tools zur Überwachung oder Durchsetzung dieser Richtlinien. Unethische Mitarbeiter finden schnell Möglichkeiten, das Ehrensystem zu nutzen.

Eine Lösung wäre die Implementierung von Windows Rights Management. Datei- und Ordnerberechtigungen sind in der Regel die einzige Sicherheitsmaßnahme zum Schutz vertraulicher Daten. Einige Mitarbeiter haben Zugang, andere nicht. Das Problem bei diesem Ansatz ist, dass er nicht einschränkt oder kontrolliert, welche autorisierten Mitarbeiter mit den Daten arbeiten, sobald sie darauf zugreifen.

Der Windows Rights Management Service (RMS) bietet IT-Administratoren deutlich mehr Kontrolle darüber, was mit Daten passiert wird zugegriffen. Rechte können so konfiguriert werden, dass sie einschränken, ob die Daten geändert, gedruckt, per E-Mail oder anderen Aktionen weitergeleitet werden können - und dass der Zugriff ablaufen kann. Noch wichtiger ist, dass die RMS-Beschränkungen bei der Datei verbleiben, auch wenn sie auf einem USB-Laufwerk gespeichert oder auf dem Personal Computer eines Benutzers gespeichert wird.

Unternehmen können umfassendere Überwachungen mit Anwendungen wie Spector 360 oder Spector CNE von SpectorSoft implementieren. Diese Tools können alle E-Mails erfassen - einschließlich webbasierter E-Mails - Online-Suchen, Instant Messaging-Chats, typisierte Tastatureingaben, besuchte Websites, verwendete Anwendungen, abgerufene Dateien und mehr. Überwachung und Einschränkungen können für das Unternehmen als Ganzes oder nach Abteilung, Gruppe oder einzelnen Benutzern konfiguriert werden.

Eine weitere Option wäre die Verwendung von Tools wie Zgate oder Zlock von Zecurion. Zgate überwacht die E-Mail- und Social-Networking-Kommunikation, um absichtliche oder unbeabsichtigte Versuche zur Übertragung sensibler oder vertraulicher Informationen zu erkennen und zu blockieren. Zlock beschränkt die Verwendung von Peripheriegeräten zum Speichern oder Übertragen solcher Daten.

Mit Windows-Rechten Management konnte die Devine möglicherweise daran gehindert werden, geschützte Informationen per E-Mail weiterzuleiten. Tools wie Zgate oder Zlock hätten Devine davon abgehalten, vertrauliche Informationen auf einem USB-Stick zu speichern, oder gedruckte Kopien oder blockierte Versuche, sie über E-Mail oder soziale Netzwerke zu kommunizieren. Software wie Spector 360 hätte jedes Detail von Devines Aktionen erfasst, was Apple erlaubte, das angebliche unethische Verhalten viel früher zu durchkreuzen und ihm die Werkzeuge zu geben, um auf Knopfdruck schnell und einfach eine umfassende Untersuchung durchzuführen.

Die Implementierung von Tools zur automatisierten Überwachung und zum proaktiven Schutz von Unternehmensdaten bedeutet nicht zwangsläufig, dass das Unternehmen als Big Brother agieren oder jede Aktion von Mitarbeitern ausspionieren muss. Wenn solche Anwendungen vorhanden sind, erhalten IT-Administratoren bei Bedarf Zugriff auf die Details und können mit den Tools verdächtiges Verhalten schnell erkennen und erkennen, bevor es zu einem föderalen Fall von über 1 Million Dollar an Schmiergeldern wird.