IT-Sicherheit 20.01.2006, 18:42 Uhr

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

VDI nachrichten, Düsseldorf, 20. 1. 06, pek – Der Mensch am Rechner ist unbestritten die größte Schwachstelle im komplexen System der IT-Sicherheit. Selbst ausgefeilte Sicherheits-Policies und technische Abwehrmechanismen werden ausgehebelt, wenn der Mitarbeiter die falsche Taste drückt, sich im Internet auf unsicheren Seiten herumtreibt oder Daten und Informationen unverblümt ausplaudert. Viele Unternehmen unterschätzen dieses Risiko.

Die E-Mail warnte vor dem Virus „lsass.exe“ und lieferte auch gleich ein Programm mit, das ihn suchen und entfernen konnte. Den spontanen Klick auf „ausführen“ wird Bernhard M. nie vergessen: „Danach ließ sich in der Firma fast nichts mehr starten, kein Textprogramm, nichts.“

Top Stellenangebote

Zur Jobbörse
Bundeswehr-Firmenlogo
Ingenieurin/Ingenieur (m/w/d) für Informationstechnik in der Laufbahn der Offizierinnen und Offiziere Bundeswehr
keine Angabe Zum Job 
Bundeswehr-Firmenlogo
Leitende Ingenieurin/Leitender Ingenieur (m/w/d) im höheren technischen Dienst - Beamtenausbildung Bundeswehr
THOST Projektmanagement GmbH-Firmenlogo
Consultant (m/w/d) im Projektmanagement der Energiewende THOST Projektmanagement GmbH
Nürnberg, Berlin Zum Job 
Bundeswehr-Firmenlogo
Ingenieurin/Ingenieur (m/w/d) im hehobenen technischen Dienst - Beamtenausbildung Bundeswehr
Landeshauptstadt München-Firmenlogo
Rohr-, Kanal- und Industriemeister*in / Bauingenieur*in / Umweltingenieur*in als Betriebshofleitung (w/m/d) Landeshauptstadt München
München Zum Job 
ILF Beratende Ingenieure GmbH-Firmenlogo
Senior Projektingenieur (m/w/d) Maschinenbau / Anlagenbau ILF Beratende Ingenieure GmbH
Bremen,Berlin,Hamburg,München,Essen Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Ingenieur*in (m/w/d) im Projektmanagement THOST Projektmanagement GmbH
Berlin, Hamburg, Hannover, Leipzig, Nürnberg, Kiel, Lübeck, Dresden Zum Job 
Stadtwerke München GmbH-Firmenlogo
Bauingenieur*in/Verkehrsingenieur*in als Projektleitung Neu- und Ausbau Münchner Straßenbahn (m/w/d) Stadtwerke München GmbH
München Zum Job 
ILF Beratende Ingenieure GmbH-Firmenlogo
Senior Projektingenieur (m/w/d) Verfahrenstechnik ILF Beratende Ingenieure GmbH
München Zum Job 
Stadtwerke München GmbH-Firmenlogo
Stadtplaner*in / Verkehrsplaner*in als Projektleitung Straßenbahn (Tram) (m/w/d) Stadtwerke München GmbH
München Zum Job 
Keysight Technologies Inc.-Firmenlogo
Resident Engineer - Automotive & Energy Solutions (m/f/x) Field Service Engineer Keysight Technologies Inc.
Garching Zum Job 
Wieland-Firmenlogo
Berechnungsingenieur (m/w/d) FEM Multiphysics Wieland
Bamberg Zum Job 
Murrelektronik GmbH-Firmenlogo
Softwareentwickler (m/w/d) Murrelektronik GmbH
Oppenweiler, Kirchheim/Holzmaden Zum Job 
Murrelektronik GmbH-Firmenlogo
Embedded Software Architekt (m/w/d) Murrelektronik GmbH
Oppenweiler, Stollberg, Berlin, Kirchheim/Holzmaden, Home-Office Zum Job 
Leuze-Firmenlogo
Industrial Engineer / Anlagenspezialist (m/w/d) Inbetriebnahme und Verlagerungen Leuze
Owen bei Kirchheim/Teck Zum Job 
Murrelektronik GmbH-Firmenlogo
SPS-Programmierer / Application Engineers (m/w/d) Murrelektronik GmbH
Oppenweiler, Kirchheim/Holzmaden Zum Job 
GEYER Electronic GmbH-Firmenlogo
Field Sales Engineer FSE (m/w/d) GEYER Electronic GmbH
Planegg bei München Zum Job 
GEYER Electronic GmbH-Firmenlogo
Field Application Engineer FAE (m/w/d) GEYER Electronic GmbH
Planegg bei München Zum Job 
GEYER Electronic GmbH-Firmenlogo
Messtechniker (m/w/d) GEYER Electronic GmbH
Planegg bei München Zum Job 
AbbVie-Firmenlogo
QA Manager Biologics / Qualified Person (all genders) AbbVie
Ludwigshafen am Rhein Zum Job 

„Isass.exe“ ist beileibe kein Virus, sondern ein Windows-eigener und wichtiger Systemprozess. Den Virus hatte sich sich Bernhard M. eingefangen, als er das freundlicherweise gleich mitgeschickte Programm zum Entfernen des angeblichen Virus ausführte.

Zwei Dinge führten zu dem verhängnisvollen Absturz: Es war kein aktuelles Virenprogramm installiert und Bernhard M. hat das getan, was in allen Unternehmen tagtäglich passiert – gutgläubige oder gedankenlose Mitarbeiter hebeln die IT-Sicherheit der Firma aus den Angeln.

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

Die durch Mitarbeiter ausgelösten internen Angriffe auf Computersysteme nehmen rasant zu. Die Sicherheitsstudie 2005 der Beratungsgesellschaft Deloitte & Touche, bei der die Sicherheits-Manager der 100 größten Finanzinstitute der Welt interviewt wurden, spricht gar von einer Verdopplung interner Angriffe im Vergleich zum Vorjahr. „35 % der Befragten bestätigten, innerhalb des letzten Jahres habe es Angriffe aus dem Unternehmen selbst gegeben. Im Vorjahr waren es nur 14 %“, berichtet Stefan Weiss, Senior Manager der Security Services bei Deloitte. „Und die internen Angriffe sind in der Regel viel erfolgreicher, als externe Attacken.“ Er spricht sogar von einem Trendwechsel von externen zu internen Angriffen: „Kriminelle Strategien zielen nun häufiger gegen menschliches Verhalten als gegen technische Sicherheitslücken.“ Also weg vom Hacken und Cracken – hin zum Social Engineering.

Beim Social Engineering wird per Telefon, gefälschten Webseiten oder per Mail versucht, dem Opfer unter Vortäuschung falscher Tatsachen und mit psychologischen Tricks Informationen zu entlocken (z. B. Phishing) oder es dazu zu bewegen, ein Programm auf seinem Rechner auszuführen, das z. B. einen Virus oder Trojaner installiert. Angesichts der dramatischen Zunahme solcher Attacken gerade in den letzten Wochen beim Onlinebanking schlugen am vergangenen Freitag auch Verbraucherschützer Alarm (s. Seite 5): „Wir müssen uns fragen, ob man Onlinebanking überhaupt noch empfehlen kann“, meint Hartmut Strube, Finanzjurist bei der Verbraucherzentrale NRW. Dreh- und Angelpunkt beim Social Engineering ist hauptsächlich die E-Mail-Kommunikation – ein oft unterschätztes Risiko für die IT-Sicherheit und die vertraulichen Unternehmensinterna. Durch sie kommt der Täter auf sehr einfache Weise an die Fehlerquelle Nr. 1 heran – den Menschen im Unternehmen und zu Hause.

Wie unbekümmert Mitarbeiter mit dem Medium E-Mail umgehen, verdeutlicht auch eine Studie von Sicherheitslösungsanbieter Mirapoint. So werden 6 % aller Befragten zum aktiven Sicherheitsrisiko für ihr Unternehmen, weil sie z. B. vertrauliche Unternehmensinformationen an nicht legitimierte Empfänger senden – im schlimmsten Fall an einen Täter aus der Kategorie „Social Engineering“. Oder sie umgehen sämtliche eingesetzten technischen Lösungen zur Kontrolle der E-Mail-Kommunikation, indem sie private E-Mail-Accounts nutzen und über diese Accounts geschäftliche E-Mails senden und empfangen (62 % der Befragten).

„Um das Risiko eines Missbrauchs der E-Mail-Kommunikation und damit eines Schadens für das Unternehmen zu vermeiden, sollten Firmen daher klare Mail-Policies besitzen und gleichzeitig entsprechende technologische Lösungen einsetzen“, so Bethany Mayer, Chief Marketing Officer von Mirapoint. Doch noch immer setzen viele Unternehmen hauptsächlich auf technische Schutzmaßnahmen und vernachlässigen den Faktor Mensch. So sehen 64 % der Finanzinstitute laut Deloitte-Sicherheitsstudie Investitionen in Sicherheitslösungen vor, doch nur 15 % stellen Mittel für die Schulung und Aufklärung der Mitarbeiter bereit.

„Die Fehlerquelle Mensch ist nie ganz auszuschließen“, so Mayer, “ aber Unternehmen sollten schon im ureigensten Interesse darum bemüht sein, sie durch Schulungen und klare Sicherheitsrichtlinien so klein wie möglich zu halten.“ PETER KELLERHOFF

www.mirapoint.de;
www.deloitte.de

Ein Beitrag von:

  • Peter Kellerhoff

    Peter Kellerhoff

    Redakteur VDI nachrichten
    Fachthemen: Automobil, Nutzfahrzeuge, Schiff, Bahn, Verkehr, Mobilität, E-Mobilität, Software, Cloud, Internet, KI

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.