IT-Sicherheit und der menschliche Faktor – Risiken aufdecken (mit Whitepaper) - Sicherheit - Heise Partnerzones Sicherheit . Dell, Cloud, Mobile, Security, Enterprise, Business, Software . Cloud, Mobile und Security: Erfahren Sie alles über die Lösungen von Dell /styles/zones/basis.css

IT-Sicherheit und der menschliche Faktor – Risiken aufdecken (mit Whitepaper)

Alle IT-Abteilungen kennen die zahlreichen Sicherheitsrisiken, die von menschlichem Verhalten verursacht werden: die leicht zu erratenden Passwörter, die schnellen Klicks auf einen dubiosen E-Mail-Anhang oder Link, das im Taxi vergessene Notebook der Firma. Leider ist es sehr schwierig, die IT-Strukturen eines Unternehmens gegen solche Risiken zu schützen. Der menschliche Faktor der IT-Sicherheit sollte für verantwortungsbewusste IT-Verantwortliche deshalb als Thema genauso wichtig sein wie ein lückenloser technischer Schutz gegen Malware.

Autor: David Göhler

Es ist kaum zu vermeiden, dass bei der Arbeit am Rechner Bedienfehler gemacht werden. Das Verhalten der Mitarbeiter wird aber von vielen IT-Verantwortlichen vernachlässigt, während der technische Schutz vor Fehlern und den dadurch verursachten Risiken meist im Vordergrund steht. Gerade die menschliche Komponente bringt jedoch immer wieder die IT-Sicherheit im Unternehmen in Gefahr. 70 % aller Sicherheitslücken lassen sich nach den Feststellungen der Studie Ponemon Institute© Research Report: The Post Breach Boom, Februar 2013 (PDF in englischer Sprache) auf menschliches Verhalten zurückführen. Bitkom gelangte bei einer Umfrage zu ähnlichen Ergebnissen. Die Reduzierung dieser Risiken durch geeignete Strategien stellt für IT-Abteilungen eine echte Herausforderung dar, denn technische Maßnahmen alleine helfen hier kaum etwas.

E-Mail – ein beliebter Angriffspunkt

Sicherheitsrisiken entstehen oft durch eine Kombination menschlicher Fehler. Eine der geläufigsten Angriffsstrategien sind Phishing-Mails, die Cyberkriminellen einen Zugang zum IT-System des Unternehmens eröffnen und so ein Ausspionieren sensibler Daten ermöglichen. Man nennt diese Strategie auch Social Engineering. Zuerst wird dabei an einen Mitarbeiter eine E-Mail geschickt, die Gefühle wie Neugier, Schadenfreude, Neid oder verletzte Eitelkeit auslösen soll. Durch dieses soziale Element soll der Empfänger dazu verleitet werden, auf einen Link oder Anhang der Nachricht zu klicken. Wenn der Mitarbeiter der Versuchung nachgibt, kann der Angreifer auf diese Weise zum Beispiel einen Trojaner in das IT-System einschleusen und so Zugang zu den gesuchten Informationen oder Daten erhalten.

Solche Angriffe sind gang und gäbe. Meist werden viele solche E-Mails gleichzeitig verschickt, so dass die Wahrscheinlichkeit nicht nur eines, sondern mehrerer Erfolge bei verschiedenen Mitarbeitern besteht. Außerdem kann es oft Wochen dauern, bis die IT-Abteilung einen solchen Angriff überhaupt bemerkt. Die Cyberkriminellen haben also oft reichlich Zeit, um in aller Ruhe die gewünschten Daten auszuspionieren.

IT-Abteilungen müssen deshalb geeignete Maßnahmen ergreifen, damit solche Situationen möglichst gar nicht erst auftreten. Man kann sich nicht darauf verlassen, dass Spam-Filter alleine alle Phishing-Versuche erkennen und herausfiltern. Aus diesem Grund müssen Unternehmen ihren Mitarbeitern zeigen, wie sie solche E-Mails erkennen und wie sie damit umgehen sollen.

So können IT-Abteilungen zum Beispiel E-Mails nach dem Muster von Phishing-Attacken an das Personal verschicken, um deren Reaktionen zu testen. Das IT-Personal erhält bei jedem Klick auf den verdächtigen Link oder die angehängte Datei eine Meldung und kann den Mitarbeiter dann persönlich auf seinen Fehler hinweisen.

Regeln zur Erstellung von Passwörtern

Im Normalfall sollen Passwörter jeden unbefugten Zugang zu bestimmten Daten, Anwendungen oder IT-Geräten verhindern. Damit es diesen Zweck erfüllen kann, muss das jeweilige Passwort natürlich möglichst schwierig zu erraten sein. An diesem Punkt wird menschliches Verhalten erneut zum Risiko. Angreifer müssen nicht lange suchen, wenn das zu knackende Passwort einfach aus dem Namen des geliebten Haustiers, des Nachwuchses oder des Lebenspartners besteht. Aber auch das beste Passwort hilft nichts, wenn es auf einem Notizzettel unter der Tastatur oder sogar am Bildschirm zu finden ist.

Erneut muss hier die IT-Abteilung für Abhilfe sorgen. Einerseits müssen die Mitarbeiter im Rahmen von Anleitungen oder Schulungen genaue Richtlinien für die Erstellung sicherer Passwörter erhalten. Das IT-Personal muss andererseits auch sicherstellen, dass alle Angestellten ihre Passwörter regelmäßig ändern. Und schließlich empfiehlt es sich, dafür zu sorgen, dass das Personal sich für den Zugang zu verschiedenen Daten oder Anwendungen keine unterschiedlichen Passwörter merken muss. Die Verwendung eines einzigen Passworts für alle Zugriffe wirkt sich auf jeden Fall positiv auf die Produktivität aus und ist mit modernen IT-Strukturen problemlos zu verwirklichen.

 - Laut einer Bitkom-Umfrage wurden über die Hälfte aller entdeckten IT-Sicherheitsverletzungen vor Ort verursacht.

Laut einer Bitkom-Umfrage wurden über die Hälfte aller entdeckten IT-Sicherheitsverletzungen vor Ort verursacht.

1 | 2 | 3