IT-Sicherheit 20.01.2006, 18:42 Uhr

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

VDI nachrichten, Düsseldorf, 20. 1. 06, pek – Der Mensch am Rechner ist unbestritten die größte Schwachstelle im komplexen System der IT-Sicherheit. Selbst ausgefeilte Sicherheits-Policies und technische Abwehrmechanismen werden ausgehebelt, wenn der Mitarbeiter die falsche Taste drückt, sich im Internet auf unsicheren Seiten herumtreibt oder Daten und Informationen unverblümt ausplaudert. Viele Unternehmen unterschätzen dieses Risiko.

Die E-Mail warnte vor dem Virus „lsass.exe“ und lieferte auch gleich ein Programm mit, das ihn suchen und entfernen konnte. Den spontanen Klick auf „ausführen“ wird Bernhard M. nie vergessen: „Danach ließ sich in der Firma fast nichts mehr starten, kein Textprogramm, nichts.“

„Isass.exe“ ist beileibe kein Virus, sondern ein Windows-eigener und wichtiger Systemprozess. Den Virus hatte sich sich Bernhard M. eingefangen, als er das freundlicherweise gleich mitgeschickte Programm zum Entfernen des angeblichen Virus ausführte.

Zwei Dinge führten zu dem verhängnisvollen Absturz: Es war kein aktuelles Virenprogramm installiert und Bernhard M. hat das getan, was in allen Unternehmen tagtäglich passiert – gutgläubige oder gedankenlose Mitarbeiter hebeln die IT-Sicherheit der Firma aus den Angeln.

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

Das größte IT-Sicherheitsrisiko sitzt vor dem Computer  

Die durch Mitarbeiter ausgelösten internen Angriffe auf Computersysteme nehmen rasant zu. Die Sicherheitsstudie 2005 der Beratungsgesellschaft Deloitte & Touche, bei der die Sicherheits-Manager der 100 größten Finanzinstitute der Welt interviewt wurden, spricht gar von einer Verdopplung interner Angriffe im Vergleich zum Vorjahr. „35 % der Befragten bestätigten, innerhalb des letzten Jahres habe es Angriffe aus dem Unternehmen selbst gegeben. Im Vorjahr waren es nur 14 %“, berichtet Stefan Weiss, Senior Manager der Security Services bei Deloitte. „Und die internen Angriffe sind in der Regel viel erfolgreicher, als externe Attacken.“ Er spricht sogar von einem Trendwechsel von externen zu internen Angriffen: „Kriminelle Strategien zielen nun häufiger gegen menschliches Verhalten als gegen technische Sicherheitslücken.“ Also weg vom Hacken und Cracken – hin zum Social Engineering.

Beim Social Engineering wird per Telefon, gefälschten Webseiten oder per Mail versucht, dem Opfer unter Vortäuschung falscher Tatsachen und mit psychologischen Tricks Informationen zu entlocken (z. B. Phishing) oder es dazu zu bewegen, ein Programm auf seinem Rechner auszuführen, das z. B. einen Virus oder Trojaner installiert. Angesichts der dramatischen Zunahme solcher Attacken gerade in den letzten Wochen beim Onlinebanking schlugen am vergangenen Freitag auch Verbraucherschützer Alarm (s. Seite 5): „Wir müssen uns fragen, ob man Onlinebanking überhaupt noch empfehlen kann“, meint Hartmut Strube, Finanzjurist bei der Verbraucherzentrale NRW. Dreh- und Angelpunkt beim Social Engineering ist hauptsächlich die E-Mail-Kommunikation – ein oft unterschätztes Risiko für die IT-Sicherheit und die vertraulichen Unternehmensinterna. Durch sie kommt der Täter auf sehr einfache Weise an die Fehlerquelle Nr. 1 heran – den Menschen im Unternehmen und zu Hause.

Wie unbekümmert Mitarbeiter mit dem Medium E-Mail umgehen, verdeutlicht auch eine Studie von Sicherheitslösungsanbieter Mirapoint. So werden 6 % aller Befragten zum aktiven Sicherheitsrisiko für ihr Unternehmen, weil sie z. B. vertrauliche Unternehmensinformationen an nicht legitimierte Empfänger senden – im schlimmsten Fall an einen Täter aus der Kategorie „Social Engineering“. Oder sie umgehen sämtliche eingesetzten technischen Lösungen zur Kontrolle der E-Mail-Kommunikation, indem sie private E-Mail-Accounts nutzen und über diese Accounts geschäftliche E-Mails senden und empfangen (62 % der Befragten).

„Um das Risiko eines Missbrauchs der E-Mail-Kommunikation und damit eines Schadens für das Unternehmen zu vermeiden, sollten Firmen daher klare Mail-Policies besitzen und gleichzeitig entsprechende technologische Lösungen einsetzen“, so Bethany Mayer, Chief Marketing Officer von Mirapoint. Doch noch immer setzen viele Unternehmen hauptsächlich auf technische Schutzmaßnahmen und vernachlässigen den Faktor Mensch. So sehen 64 % der Finanzinstitute laut Deloitte-Sicherheitsstudie Investitionen in Sicherheitslösungen vor, doch nur 15 % stellen Mittel für die Schulung und Aufklärung der Mitarbeiter bereit.

„Die Fehlerquelle Mensch ist nie ganz auszuschließen“, so Mayer, “ aber Unternehmen sollten schon im ureigensten Interesse darum bemüht sein, sie durch Schulungen und klare Sicherheitsrichtlinien so klein wie möglich zu halten.“ PETER KELLERHOFF

www.mirapoint.de;
www.deloitte.de

Von Peter Kellerhoff
Von Peter Kellerhoff

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

Pixida-Firmenlogo
Pixida Functional Owner – Digital Services und Connected Devices (m/w/d) München
Porsche AG-Firmenlogo
Porsche AG Softwareingenieur (m/w/d) ASPICE für Entwicklungsprozesse Weissach
Jungheinrich Aktiengesellschaft-Firmenlogo
Jungheinrich Aktiengesellschaft Embedded Softwareentwickler (m/w/d) Norderstedt
Porsche AG-Firmenlogo
Porsche AG IT Security Expert (m/w/d) Digital Workplace Weilimdorf
Porsche AG-Firmenlogo
Porsche AG Service-Experte (w/m/d) Data-Streaming Weilimdorf
XTRONIC GmbH-Firmenlogo
XTRONIC GmbH Embedded Software Developer (w/m/d) Böblingen
DIgSILENT GmbH-Firmenlogo
DIgSILENT GmbH Ingenieur Elektrotechnik (w/m/d) Anwendungsentwickler C++ Gomaringen
XTRONIC GmbH-Firmenlogo
XTRONIC GmbH Requirements Engineer Bereich Kombiinstrumente (m/w/d) Böblingen
DMK Deutsches Milchkontor GmbH-Firmenlogo
DMK Deutsches Milchkontor GmbH PLC Software Engineer (m/w/d) Anlagentechnik Lebensmittelproduktion Georgsmarienhütte
A. Eberle GmbH & Co. KG-Firmenlogo
A. Eberle GmbH & Co. KG Techniker / Ingenieur im Bereich Power Quality (m/w/d) Nürnberg

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.