Der Mensch als Sicherheitsrisiko
Artikel erschienen in Swiss IT Magazine 2006/04
Der Mensch ist nach wie vor eines der grössten Sicherheitsrisiken für die Unternehmens-IT. Das bestätigte kürzlich wieder eine Studie von IBM: Software würde immer sicherer, so Big Blue, weshalb immer mehr Hacker und Virenautoren ihre Anstrengungen auf den Endanwender konzentrierten, der dann unbewusst Schaden anrichtet. Ähnliche Einschätzungen lassen auch andere Exponenten aus dem Sicherheitsumfeld verlauten.
Das Problem, so die einhellige Meinung, liegt auf der Hand: Während die meisten Firmen in der Vergangenheit Unsummen in die Verbesserung der IT-Sicherheit durch technische Massnahmen gesteckt haben, blieb der Faktor Mensch aussen vor. Damit sei nichts gegen technische Massnahmen wie Virenscanner, Firewalls, Intrusion-Detection-Systeme und ähnliches gesagt: Ihr hoher Nutzen in der Abwehr von Angriffen ist unbestritten. Ebenso unbestritten ist aber, dass auch die ausgefeiltesten und technisch hochgerüstetsten Sicherheitssysteme Lücken offenlassen. Darüber hinaus werden sie von Menschen bedient – und Menschen machen Fehler. So nützt die beste Firewall nichts, wenn sie falsch konfiguriert ist.
Ein grosses Problemfeld ist auch die zunehmende Mobilität der Mitarbeiter vieler Unternehmen. Immer häufiger werden auch sensible Daten auf tragbaren Geräten wie Notebooks, PDAs und Handys bearbeitet und wieder ins Firmennetz eingespeist. Dadurch steigt nicht nur die Gefahr von Datenverlust durch Diebstahl oder Verlust des Geräts – auch die Wirksamkeit der klassischen Sicherheitsmassnahmen wird verwässert, wie zahlreiche Beispiele belegen. So sind etwa fast alle bekannten Sicherheitsvorfälle mit spektakulären Schäden darauf zurückzuführen, dass eigene Mitarbeiter oder Dienstleister die schadenstiftende Software über Laptops und andere Mobilgeräte ins Firmennetz einschleusten. Derartige offene Hintertüren führen an Firewalls und anderer Sicherheitstechnologie vorbei und lassen sich nur schwer überwachen. Das Sicherheitsleck ist nicht technischer Natur, sondern entspringt dem leichtsinnigen Verhalten der Anwender.
Leichtsinn und Neugierde sorgen immer wieder dafür, dass sich Viren und Würmer schnell ausbreiten. Zu den drastischen Beispielen gehört der bekannte «Loveletter»-Virus – seit dessen zweifelhaftem Erfolg wurde (und wird) derselbe Trick bei unzähligen weiteren Viren und Würmern angewandt, darunter SirCam und NetSky.
Allerdings haben viele Anwender aus den von diesen Viren verur-sachten Desastern gelernt und gehen mit suspekten Attachments auch aus scheinbar verlässlichen Quellen mittlerweile äusserst vorsichtig um. Aber auch die Virenautoren lernen dazu: In jüngster Zeit kursieren beispielsweise Mails mit einem Link auf eine virtuelle Postkarte, ein Attachment fehlt. Wer auf den Link klickt, lädt sich den Virus oder Wurm gleich selber herunter. Derselbe Trick mit Links wird auch gerne im Instant Messaging angewandt.
Mit diesen und anderen Social-Engineering-Tricks machen sich die Cyber-Kriminellen banale menschliche Schwächen zunutze (vgl. Grafik), und gegen diese kommt man mit technischen Massnahmen nicht an.
Mindestens genauso wichtig wie die technische Aufrüstung ist deshalb die Ausbildung der Mitarbeiter. Einer Umfrage in Deutschland zufolge haben rund zwei Drittel der Unternehmen im Jahr 2005 die «Verbesserung des Sicherheitsbewusstseins» als dringendste strategische Massnahme betrachtet.
Eine nachhaltige Verbesserung der «Awareness» erreicht man mit einer mehrstufigen Kampagne: Zunächst muss dabei die Aufmerksamkeit für das Thema Sicherheit geweckt werden, bevor mit Infoveranstaltungen, Schulungen, Newslettern und ähnlichem versucht wird, Wissen zu vermitteln und die Einstellung der Mitarbeiter gegenüber der IT und den damit verbundenen Gefahren zu ändern.
Ist diese Einstellungsänderung erstmal erfolgt und kann der IT-Anwender die Gefahren aufgrund des vermittelten Wissens erkennen, folgt die Phase der Verstärkung des Sicherheitsbewusstseins. Ziel muss es sein, wie bei der nötigen ständigen Aktualisierung der technischen Sicherheitsmassnahmen auch bei der Sensibilisierung der Mitarbeiter eine Kontinuität zu erreichen und das Sicherheitsbewusstsein immer wieder neu zu wecken und aufrechtzuerhalten.
Eine Steigerung der «Awareness» kann nie als isolierte Massnahme erreicht werden, sondern ist als langfristiges Prozess zu betrachten, der erst über die Zeit Früchte trägt.
Warum klicken Sie auf verdächtige Anhänge?