Das größte IT-Sicherheitsrisiko sitzt vor dem Computer
VDI nachrichten, Düsseldorf, 20. 1. 06, pek – Der Mensch am Rechner ist unbestritten die größte Schwachstelle im komplexen System der IT-Sicherheit. Selbst ausgefeilte Sicherheits-Policies und technische Abwehrmechanismen werden ausgehebelt, wenn der Mitarbeiter die falsche Taste drückt, sich im Internet auf unsicheren Seiten herumtreibt oder Daten und Informationen unverblümt ausplaudert. Viele Unternehmen unterschätzen dieses Risiko.
Die E-Mail warnte vor dem Virus „lsass.exe“ und lieferte auch gleich ein Programm mit, das ihn suchen und entfernen konnte. Den spontanen Klick auf „ausführen“ wird Bernhard M. nie vergessen: „Danach ließ sich in der Firma fast nichts mehr starten, kein Textprogramm, nichts.“
„Isass.exe“ ist beileibe kein Virus, sondern ein Windows-eigener und wichtiger Systemprozess. Den Virus hatte sich sich Bernhard M. eingefangen, als er das freundlicherweise gleich mitgeschickte Programm zum Entfernen des angeblichen Virus ausführte.
Zwei Dinge führten zu dem verhängnisvollen Absturz: Es war kein aktuelles Virenprogramm installiert und Bernhard M. hat das getan, was in allen Unternehmen tagtäglich passiert – gutgläubige oder gedankenlose Mitarbeiter hebeln die IT-Sicherheit der Firma aus den Angeln.

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer
Beim Social Engineering wird per Telefon, gefälschten Webseiten oder per Mail versucht, dem Opfer unter Vortäuschung falscher Tatsachen und mit psychologischen Tricks Informationen zu entlocken (z. B. Phishing) oder es dazu zu bewegen, ein Programm auf seinem Rechner auszuführen, das z. B. einen Virus oder Trojaner installiert. Angesichts der dramatischen Zunahme solcher Attacken gerade in den letzten Wochen beim Onlinebanking schlugen am vergangenen Freitag auch Verbraucherschützer Alarm (s. Seite 5): „Wir müssen uns fragen, ob man Onlinebanking überhaupt noch empfehlen kann“, meint Hartmut Strube, Finanzjurist bei der Verbraucherzentrale NRW. Dreh- und Angelpunkt beim Social Engineering ist hauptsächlich die E-Mail-Kommunikation – ein oft unterschätztes Risiko für die IT-Sicherheit und die vertraulichen Unternehmensinterna. Durch sie kommt der Täter auf sehr einfache Weise an die Fehlerquelle Nr. 1 heran – den Menschen im Unternehmen und zu Hause.
Wie unbekümmert Mitarbeiter mit dem Medium E-Mail umgehen, verdeutlicht auch eine Studie von Sicherheitslösungsanbieter Mirapoint. So werden 6 % aller Befragten zum aktiven Sicherheitsrisiko für ihr Unternehmen, weil sie z. B. vertrauliche Unternehmensinformationen an nicht legitimierte Empfänger senden – im schlimmsten Fall an einen Täter aus der Kategorie „Social Engineering“. Oder sie umgehen sämtliche eingesetzten technischen Lösungen zur Kontrolle der E-Mail-Kommunikation, indem sie private E-Mail-Accounts nutzen und über diese Accounts geschäftliche E-Mails senden und empfangen (62 % der Befragten).
„Um das Risiko eines Missbrauchs der E-Mail-Kommunikation und damit eines Schadens für das Unternehmen zu vermeiden, sollten Firmen daher klare Mail-Policies besitzen und gleichzeitig entsprechende technologische Lösungen einsetzen“, so Bethany Mayer, Chief Marketing Officer von Mirapoint. Doch noch immer setzen viele Unternehmen hauptsächlich auf technische Schutzmaßnahmen und vernachlässigen den Faktor Mensch. So sehen 64 % der Finanzinstitute laut Deloitte-Sicherheitsstudie Investitionen in Sicherheitslösungen vor, doch nur 15 % stellen Mittel für die Schulung und Aufklärung der Mitarbeiter bereit.
„Die Fehlerquelle Mensch ist nie ganz auszuschließen“, so Mayer, “ aber Unternehmen sollten schon im ureigensten Interesse darum bemüht sein, sie durch Schulungen und klare Sicherheitsrichtlinien so klein wie möglich zu halten.“ PETER KELLERHOFF
Jobsuche für Ingenieure
www.mirapoint.de;
www.deloitte.de