Vælg et sprog
Kontakt
Support
Jobs
News
E-Mail und Web Sicherheitsdienste
Über Symantec
10. september 2010, 21:18 UTC+1(GMT+1)

Der Faktor Mensch – die Schwachstelle für Ihre Sicherheit!

 Printvenlig version

Unternehmen konzentrieren sich heutzutage auf die Abwehr von unberechtigten Zugriffen auf Ihre Systeme. Unternehmen verschanzen sich hinter Hightech Hard- und Software, Firewalls, verschlüsselten Verbindungen, Algorithmen, PKI-Schlüsseln und einer Schar von technologischen Sicherheitsmaßnahmen. Dadurch entsteht eine IT-Sicherheit, die den Anschein erweckt, das Unternehmen sei unangreifbar ... aber denken sie auch daran, ihren Anwendern zu erklären, warum diese Sicherheitssysteme überhaupt eingesetzt werden?

Sie dürfen nicht vergessen, dass sich die IT-Sicherheit ständig ändert und einem kontinuierlichen Wandel unterworfen ist. Bitte erwarten Sie nicht, dass feststehende Sicherheitsmaßnahmen die Sicherheitsprobleme Ihres Unternehmens dauerhaft lösen können, wenn Sie über einen der wichtigsten Risiken, den Faktor Mensch, noch nicht nachgedacht haben.

Was für den einen Abfall ist - ist für den anderen Gold!

Das Konzept der sozialen Manipulation (Social Engineering) ist sicherlich nicht neu - viele von uns haben ja bereits von der „Kunst der Intrige" gehört. Dabei geht es um ein ziemlich effektives Mittel, um sich über etwas Besitz zu verschaffen. Genauer gesagt darum, sich unberechtigt Zugang zu Netzwerken von Personen zu verschaffen und dadurch vollständige Kontrolle über diese Rechner zu haben.

Obwohl Unternehmen alles nur Erdenkliche tun, um sich zu schützen, ist es wirklich sehr beunruhigend zu sehen, welche „Spuren" sie hinterlassen, die Hacker mühelos nutzen können.

Der wichtigste Schritt für einen Hacker ist der Zugang zu Informationen innerhalb des Unternehmens. Dadurch erhält er eine vertrauenswürdige Stellung im Unternehmen und nähert sich kontinuierlich seinem Ziel. Für den Eintritt in eine Firma können Informationen, die nicht sofort als vertraulich erkannt werden, ein erster Schlüssel für den Hacker sein.

Denken Sie nur an die Menge von persönlichen Notizen, Telefonnummern, gekritzelten Passwörtern, Konten, Ausdrucken von Datenbanken, kleine Merkzettelchen etc. Wir müssen der Wahrheit ins Auge schauen, dass auch unsere ausgereiftesten Technologien Schwächen haben. Nie wird es möglich sein, einzuschätzen, wie sich ein einzelner Mitarbeiter in bestimmten Situationen verhält.

Sie könnten das Problem mit den Notizzetteln dadurch lösen, dass Ihre Mitarbeiter jeglichen Papierabfall, der weggeworfen wird, shreddern müssten. Aber wer denkt schon an einen Shredder beim Thema IT-Sicherheit?

Um sicherzustellen, dass jeder Mitarbeiter die Bedeutung der IT-Sicherheit versteht, sollten Unternehmen Schulungen durchführen, Informationen verbreiten und IT-Strategien und bestimmte Richtlinien einsetzen. Wenn es um „IT-Sicherheit" geht, denkt jeder zunächst an greifbare Anhaltspunkte wie riesige Server, Firewalls und Antiviren-Programme.

Blicken wir in die falsche Richtung?

Wenn wir wirklich glauben, dass Hacker-Attacken und -Angriffe nur von außen passieren, ist es Zeit aufzuwachen und den Tatsachen ins Auge zu sehen. Aktuelle Hard- und Software Technologien decken viele Sicherheitslücken ab, aber für Unternehmen wird es immer schwieriger, sich gegen den Faktor Mensch zu schützen.

Mit welchen Maßnahmen können Unternehmen entscheiden, wer Zugang zum Herz des Unternehmens hat, wer vertrauliche Informationen erhalten darf und wer welche Rechte hat?

Wenn zum Beispiel ein Mitarbeiter verärgert, unzufrieden oder enttäuscht ist und entlassen wird - woher wissen wir, ob er in der Zwischenzeit nicht bereits Teile des Firmennetzwerkes zerstört und kopiert hat? Oder der Mitarbeiter, der hohe Schulden hat und der Versuchung nicht widerstehen kann, Firmeninformationen an den Wettbewerb zu verkaufen. Oder der Mitarbeiter, der völlig ahnungslos ein lustiges Bild auf dem Server der Firma öffnet und dadurch einen Virus freisetzt.

Einige dieser Daten stammen aus den Information Security Trends der Gartner Group. Sie sprechen für sich selbst.


90% aller Unternehmen sahen sich IT-Sicherheitsbrüchen in geringerem und höherem Ausmaß ausgesetzt.
85% aller Unternehmen waren Ziel eines Virenangriffs.
79% wurden von eigenen Mitarbeitern geschädigt.
71% kennen unberechtigten Zugang zu ihren Netzwerken.
66% wurden durch Netzwerkzugriffe von Mitarbeitern gefährdet.

Zahlreiche Studien belegen, dass die größten Sicherheitsbrüche in Unternehmen von eigenen Mitarbeitern getätigt werden. Manchmal ist es schwierig, diese Tatsache zu akzeptieren, weil es hier um gegenseitiges Vertrauen und um das Vertrauen in Ihrer Belegschaft geht.

Wir müssen verstehen, dass das Problem der IT-Sicherheit nicht lediglich mit dem Kauf eines einzigen Produktes gelöst ist - hier geht es um einen dynamischen und kontinuierlichen Prozess. Wenn wir dabei die Mitarbeiter, also die Anwender, nicht in diesen Prozess mit einschließen, werden sie immer das schwächste Glied in jeder Sicherheitslösung bleiben.

Was können wir also tun?

Wenn wir uns vergegenwärtigen, wie unkooperativ wir uns an den Sicherheitskontrollen am Flughafen fühlen, wenn wir eine Flasche Wasser, die wir gerade erst gekauft haben, wegschmeißen müssen, können wir dieses Gefühl auf unser berufliches Miteinander übertragen. Wenn wir unsere eigene Rolle, Situation, Funktion und Zweck in der Sicherheitskette nicht verstehen, werden wir das Thema täglich umgehen. Automatisch werden wir zu Gegnern anstatt zu Mitspielern. Wenn uns jemand verbietet, im Internet zu surfen - ohne uns das zu erklären - werden wir ganz einfach einen anderen Weg finden, das zu machen, was wir immer machen - das liegt ganz in der Natur der Menschen.

Aus diesem Grund müssen Schulungen über technische und statische Sicherheitslösungen immer Hand in Hand mit den Lösungen selbst gehen. Wir müssen verstehen, wie, wann und besonders warum wir gerade diese Sicherheitslösungen im Einsatz haben. Sonst werden sich die Mitarbeiter immer für die einfachste Lösung entscheiden - und das ist dann meistens nicht im Einklang mit den Sicherheitsrichtlinien des Unternehmens und entspricht nicht dem festgesetzten Grad an Sicherheit.

Informieren und motivieren Sie Ihre Mitarbeiter, damit sie Ihre eigene Funktion, Ihre Schwächen, Gelegenheiten, Möglichkeiten und Fallgruben im Arbeitsalltag erkennen. Dazu können Sie mit Beispielen aus dem realen Leben Vergleiche zur digitalen Welt herstellen. Hier einige Beispiele:

In der digitalen Welt

In der realen Welt

Denken Sie daran, dass Sie Ihr Passwort unbedingt geheim halten.

Oder würden Sie Ihren Schlüssel oder Ihre Kreditkarte einem Fremden ausleihen?

Schließen Sie das Internet nach Gebrauch.

 

Oder lassen Sie Ihre Haustür offenstehen, wenn Sie das Haus verlassen?

Überlegen Sie, ob Sie Witze, Bilder und andere unnötige E-Mails wirklich von Ihrem Arbeitsplatz versenden möchten.

 

Würden Sie die gleichen Witze und Bilder auf Firmenpapier in die Post geben?

Überlegen Sie, ob Sie verdächtige Internetseiten an Ihrem Arbeitsplatz öffnen möchten.

 

Würden Sie diese Orte in der realen Welt auch besuchen? Mit dem Namen der Firma, für die sie arbeiten, auf Ihrer Jacke aufgedruckt?

Stellen Sie den Sicherheitslevel Ihres Browsers ein.

 

Überlegen Sie, wie sicher Ihre Nachbarschaft ist.

Setzen Sie eine Personal Firewall ein, wenn Sie es für nötig empfinden.

 

Haben Sie einen Gartenzaun? Schließen Sie die Hintertür Ihres Hauses ab?

Vergessen Sie nie, dass IT-Sicherheit nicht nur ein Produkt ist - sondern auch ein Prozess.

Jesper Lundorf
 Security Consultant

 

Copyright 2010 SoftScan - All rights reserved