IT-Sicherheit 20.01.2006, 18:42 Uhr

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

VDI nachrichten, Düsseldorf, 20. 1. 06, pek – Der Mensch am Rechner ist unbestritten die größte Schwachstelle im komplexen System der IT-Sicherheit. Selbst ausgefeilte Sicherheits-Policies und technische Abwehrmechanismen werden ausgehebelt, wenn der Mitarbeiter die falsche Taste drückt, sich im Internet auf unsicheren Seiten herumtreibt oder Daten und Informationen unverblümt ausplaudert. Viele Unternehmen unterschätzen dieses Risiko.

Die E-Mail warnte vor dem Virus „lsass.exe“ und lieferte auch gleich ein Programm mit, das ihn suchen und entfernen konnte. Den spontanen Klick auf „ausführen“ wird Bernhard M. nie vergessen: „Danach ließ sich in der Firma fast nichts mehr starten, kein Textprogramm, nichts.“

„Isass.exe“ ist beileibe kein Virus, sondern ein Windows-eigener und wichtiger Systemprozess. Den Virus hatte sich sich Bernhard M. eingefangen, als er das freundlicherweise gleich mitgeschickte Programm zum Entfernen des angeblichen Virus ausführte.

Zwei Dinge führten zu dem verhängnisvollen Absturz: Es war kein aktuelles Virenprogramm installiert und Bernhard M. hat das getan, was in allen Unternehmen tagtäglich passiert – gutgläubige oder gedankenlose Mitarbeiter hebeln die IT-Sicherheit der Firma aus den Angeln.

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

Die durch Mitarbeiter ausgelösten internen Angriffe auf Computersysteme nehmen rasant zu. Die Sicherheitsstudie 2005 der Beratungsgesellschaft Deloitte & Touche, bei der die Sicherheits-Manager der 100 größten Finanzinstitute der Welt interviewt wurden, spricht gar von einer Verdopplung interner Angriffe im Vergleich zum Vorjahr. „35 % der Befragten bestätigten, innerhalb des letzten Jahres habe es Angriffe aus dem Unternehmen selbst gegeben. Im Vorjahr waren es nur 14 %“, berichtet Stefan Weiss, Senior Manager der Security Services bei Deloitte. „Und die internen Angriffe sind in der Regel viel erfolgreicher, als externe Attacken.“ Er spricht sogar von einem Trendwechsel von externen zu internen Angriffen: „Kriminelle Strategien zielen nun häufiger gegen menschliches Verhalten als gegen technische Sicherheitslücken.“ Also weg vom Hacken und Cracken – hin zum Social Engineering.

Beim Social Engineering wird per Telefon, gefälschten Webseiten oder per Mail versucht, dem Opfer unter Vortäuschung falscher Tatsachen und mit psychologischen Tricks Informationen zu entlocken (z. B. Phishing) oder es dazu zu bewegen, ein Programm auf seinem Rechner auszuführen, das z. B. einen Virus oder Trojaner installiert. Angesichts der dramatischen Zunahme solcher Attacken gerade in den letzten Wochen beim Onlinebanking schlugen am vergangenen Freitag auch Verbraucherschützer Alarm (s. Seite 5): „Wir müssen uns fragen, ob man Onlinebanking überhaupt noch empfehlen kann“, meint Hartmut Strube, Finanzjurist bei der Verbraucherzentrale NRW. Dreh- und Angelpunkt beim Social Engineering ist hauptsächlich die E-Mail-Kommunikation – ein oft unterschätztes Risiko für die IT-Sicherheit und die vertraulichen Unternehmensinterna. Durch sie kommt der Täter auf sehr einfache Weise an die Fehlerquelle Nr. 1 heran – den Menschen im Unternehmen und zu Hause.

Wie unbekümmert Mitarbeiter mit dem Medium E-Mail umgehen, verdeutlicht auch eine Studie von Sicherheitslösungsanbieter Mirapoint. So werden 6 % aller Befragten zum aktiven Sicherheitsrisiko für ihr Unternehmen, weil sie z. B. vertrauliche Unternehmensinformationen an nicht legitimierte Empfänger senden – im schlimmsten Fall an einen Täter aus der Kategorie „Social Engineering“. Oder sie umgehen sämtliche eingesetzten technischen Lösungen zur Kontrolle der E-Mail-Kommunikation, indem sie private E-Mail-Accounts nutzen und über diese Accounts geschäftliche E-Mails senden und empfangen (62 % der Befragten).

„Um das Risiko eines Missbrauchs der E-Mail-Kommunikation und damit eines Schadens für das Unternehmen zu vermeiden, sollten Firmen daher klare Mail-Policies besitzen und gleichzeitig entsprechende technologische Lösungen einsetzen“, so Bethany Mayer, Chief Marketing Officer von Mirapoint. Doch noch immer setzen viele Unternehmen hauptsächlich auf technische Schutzmaßnahmen und vernachlässigen den Faktor Mensch. So sehen 64 % der Finanzinstitute laut Deloitte-Sicherheitsstudie Investitionen in Sicherheitslösungen vor, doch nur 15 % stellen Mittel für die Schulung und Aufklärung der Mitarbeiter bereit.

„Die Fehlerquelle Mensch ist nie ganz auszuschließen“, so Mayer, “ aber Unternehmen sollten schon im ureigensten Interesse darum bemüht sein, sie durch Schulungen und klare Sicherheitsrichtlinien so klein wie möglich zu halten.“ PETER KELLERHOFF

www.mirapoint.de;
www.deloitte.de

Ein Beitrag von:

  • Peter Kellerhoff

    Peter Kellerhoff

    Redakteur VDI nachrichten
    Fachthemen: Automobil, Nutzfahrzeuge, Schiff, Bahn, Verkehr, Mobilität, E-Mobilität, Software, Cloud, Internet, KI

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

ZHAW Zürcher Hochschule für Angewandte Wissenschaften-Firmenlogo
ZHAW Zürcher Hochschule für Angewandte Wissenschaften Informatiker/-in für Software Security und Security Testing als Wissenschaftliche/-r Mitarbeiter/-in Winterthur (Schweiz)
Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth-Firmenlogo
Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth Professur (W2) für das Gebiet Medizinische Informatik Wilhelmshaven
Murrelektronik GmbH-Firmenlogo
Murrelektronik GmbH Applikationsingenieur / -Techniker (m/w/d) Kirchheim/Teck, Oppenweiler / Mobile working / remote
Northrop Grumman LITEF GmbH-Firmenlogo
Northrop Grumman LITEF GmbH Entwicklungsingenieur Software (m/w/d) Freiburg
ZHAW Zürcher Hochschule für Angewandte Wissenschaften-Firmenlogo
ZHAW Zürcher Hochschule für Angewandte Wissenschaften Dozent/in für Informatik (Fachbereich Intelligent Information Systems) Winterthur (Schweiz)
Knauf Engineering GmbH-Firmenlogo
Knauf Engineering GmbH Ingenieur (m/w/d) für Automatisierungstechnik und Robotik Iphofen (Raum Würzburg)
OPTIMA packaging group GmbH-Firmenlogo
OPTIMA packaging group GmbH HMI / SCADA Programmierer (m/w/d) Schwäbisch Hall
DESY Deutsches Elektronen-Synchrotron-Firmenlogo
DESY Deutsches Elektronen-Synchrotron Entwicklungs- und Softwareingenieurin (w/m/d) für industrielle Prozesskontrollen Hamburg
Innoma System GmbH-Firmenlogo
Innoma System GmbH Softwareentwickler*in (m/w/d) Schwalbach-Hülzweiler
B. Braun Melsungen AG-Firmenlogo
B. Braun Melsungen AG Expert Operational Technology (w/m/d) Melsungen

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.