IT-Sicherheit 20.01.2006, 18:42 Uhr

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

VDI nachrichten, Düsseldorf, 20. 1. 06, pek – Der Mensch am Rechner ist unbestritten die größte Schwachstelle im komplexen System der IT-Sicherheit. Selbst ausgefeilte Sicherheits-Policies und technische Abwehrmechanismen werden ausgehebelt, wenn der Mitarbeiter die falsche Taste drückt, sich im Internet auf unsicheren Seiten herumtreibt oder Daten und Informationen unverblümt ausplaudert. Viele Unternehmen unterschätzen dieses Risiko.

Die E-Mail warnte vor dem Virus „lsass.exe“ und lieferte auch gleich ein Programm mit, das ihn suchen und entfernen konnte. Den spontanen Klick auf „ausführen“ wird Bernhard M. nie vergessen: „Danach ließ sich in der Firma fast nichts mehr starten, kein Textprogramm, nichts.“

„Isass.exe“ ist beileibe kein Virus, sondern ein Windows-eigener und wichtiger Systemprozess. Den Virus hatte sich sich Bernhard M. eingefangen, als er das freundlicherweise gleich mitgeschickte Programm zum Entfernen des angeblichen Virus ausführte.

Zwei Dinge führten zu dem verhängnisvollen Absturz: Es war kein aktuelles Virenprogramm installiert und Bernhard M. hat das getan, was in allen Unternehmen tagtäglich passiert – gutgläubige oder gedankenlose Mitarbeiter hebeln die IT-Sicherheit der Firma aus den Angeln.

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

Die durch Mitarbeiter ausgelösten internen Angriffe auf Computersysteme nehmen rasant zu. Die Sicherheitsstudie 2005 der Beratungsgesellschaft Deloitte & Touche, bei der die Sicherheits-Manager der 100 größten Finanzinstitute der Welt interviewt wurden, spricht gar von einer Verdopplung interner Angriffe im Vergleich zum Vorjahr. „35 % der Befragten bestätigten, innerhalb des letzten Jahres habe es Angriffe aus dem Unternehmen selbst gegeben. Im Vorjahr waren es nur 14 %“, berichtet Stefan Weiss, Senior Manager der Security Services bei Deloitte. „Und die internen Angriffe sind in der Regel viel erfolgreicher, als externe Attacken.“ Er spricht sogar von einem Trendwechsel von externen zu internen Angriffen: „Kriminelle Strategien zielen nun häufiger gegen menschliches Verhalten als gegen technische Sicherheitslücken.“ Also weg vom Hacken und Cracken – hin zum Social Engineering.

Beim Social Engineering wird per Telefon, gefälschten Webseiten oder per Mail versucht, dem Opfer unter Vortäuschung falscher Tatsachen und mit psychologischen Tricks Informationen zu entlocken (z. B. Phishing) oder es dazu zu bewegen, ein Programm auf seinem Rechner auszuführen, das z. B. einen Virus oder Trojaner installiert. Angesichts der dramatischen Zunahme solcher Attacken gerade in den letzten Wochen beim Onlinebanking schlugen am vergangenen Freitag auch Verbraucherschützer Alarm (s. Seite 5): „Wir müssen uns fragen, ob man Onlinebanking überhaupt noch empfehlen kann“, meint Hartmut Strube, Finanzjurist bei der Verbraucherzentrale NRW. Dreh- und Angelpunkt beim Social Engineering ist hauptsächlich die E-Mail-Kommunikation – ein oft unterschätztes Risiko für die IT-Sicherheit und die vertraulichen Unternehmensinterna. Durch sie kommt der Täter auf sehr einfache Weise an die Fehlerquelle Nr. 1 heran – den Menschen im Unternehmen und zu Hause.

Wie unbekümmert Mitarbeiter mit dem Medium E-Mail umgehen, verdeutlicht auch eine Studie von Sicherheitslösungsanbieter Mirapoint. So werden 6 % aller Befragten zum aktiven Sicherheitsrisiko für ihr Unternehmen, weil sie z. B. vertrauliche Unternehmensinformationen an nicht legitimierte Empfänger senden – im schlimmsten Fall an einen Täter aus der Kategorie „Social Engineering“. Oder sie umgehen sämtliche eingesetzten technischen Lösungen zur Kontrolle der E-Mail-Kommunikation, indem sie private E-Mail-Accounts nutzen und über diese Accounts geschäftliche E-Mails senden und empfangen (62 % der Befragten).

„Um das Risiko eines Missbrauchs der E-Mail-Kommunikation und damit eines Schadens für das Unternehmen zu vermeiden, sollten Firmen daher klare Mail-Policies besitzen und gleichzeitig entsprechende technologische Lösungen einsetzen“, so Bethany Mayer, Chief Marketing Officer von Mirapoint. Doch noch immer setzen viele Unternehmen hauptsächlich auf technische Schutzmaßnahmen und vernachlässigen den Faktor Mensch. So sehen 64 % der Finanzinstitute laut Deloitte-Sicherheitsstudie Investitionen in Sicherheitslösungen vor, doch nur 15 % stellen Mittel für die Schulung und Aufklärung der Mitarbeiter bereit.

„Die Fehlerquelle Mensch ist nie ganz auszuschließen“, so Mayer, “ aber Unternehmen sollten schon im ureigensten Interesse darum bemüht sein, sie durch Schulungen und klare Sicherheitsrichtlinien so klein wie möglich zu halten.“ PETER KELLERHOFF

www.mirapoint.de;
www.deloitte.de

Ein Beitrag von:

  • Peter Kellerhoff

    Peter Kellerhoff

    Redakteur VDI nachrichten
    Fachthemen: Automobil, Nutzfahrzeuge, Schiff, Bahn, Verkehr, Mobilität, E-Mobilität, Software, Cloud, Internet, KI

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

Excellence AG-Firmenlogo
Excellence AG Embedded Software Entwickler C/C++ (m/w/d) Düsseldorf
VMT Vision Machine Technic Bildverarbeitungssysteme GmbH-Firmenlogo
VMT Vision Machine Technic Bildverarbeitungssysteme GmbH Mathematisch-technischer Softwareingenieur (m/w/d) Herten
VMT Vision Machine Technic Bildverarbeitungssysteme GmbH-Firmenlogo
VMT Vision Machine Technic Bildverarbeitungssysteme GmbH Softwareentwickler (m/w/d) Herten
Jungheinrich AG-Firmenlogo
Jungheinrich AG Projektleiter (m/w/d) Realisierung Automatiksysteme Moosburg an der Isar
AGCO GmbH-Firmenlogo
AGCO GmbH Softwareentwickler (m/w/d) elektronische Steuergeräte Marktoberdorf
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen-Firmenlogo
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen Development Engineer Embedded Software (m/w/d) Schwieberdingen bei Stuttgart
Technische Hochschule Nürnberg Georg Simon Ohm-Firmenlogo
Technische Hochschule Nürnberg Georg Simon Ohm Professur (W2) Mobile Robotik Nürnberg
in-tech GmbH-Firmenlogo
in-tech GmbH Informatiker als Softwareentwickler C++/Qt für industrielle Systeme (m/w/d) Garching bei München, München
Porsche AG-Firmenlogo
Porsche AG Praktikant (m/w/d) – Digital Workplace, Cloud, Platform & Infrastructure Services Weilimdorf
DLR-Institut für Vernetzte Energiesysteme e.V.-Firmenlogo
DLR-Institut für Vernetzte Energiesysteme e.V. Luft- und Raumfahrttechniker/in / Wirtschaftswissenschaftler/in / Informatiker/in (w/m/d) Security Management Cochstedt

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.