Hacker & Mitarbeiter - der Risikofaktor Mensch
Des Weiteren hat die VMware-Studie aufgedeckt, dass für IT-Verantwortliche Bedrohungen nicht nur von außen kommen. Eine wesentliche Schwachstelle ist neben unzureichender Technologie und Organisationsstruktur der Faktor Mensch. Mehr als die Hälfte (56 Prozent) der IT-Entscheider ist der Meinung, dass die Mitarbeiter eine Gefahr für die Datensicherheit seien. Im Falle von Dettelbach war der Mensch gleich in vielfacher Hinsicht ein Sicherheitsrisiko. Zunächst haben ein oder mehrere Mitarbeiter den schädlichen Anhang einer E-Mail geöffnet und damit dem Virus Zugang zum System der Stadt verschafft. Aber es geht noch einfacher: "Es reicht aus", sagte mir einmal ein professioneller Hacker, "dass man ein paar USB-Sticks auf dem Parkplatz verteilt. Einer findet sich immer, der das Ding mitnimmt und gleich am Arbeitsplatz in seinen Rechner einsteckt. Sei es - um in ehrenhafter Absicht - zu sehen, ob er den Besitzer ausfindig machen kann, oder um den Stick zu löschen und ihn selbst zu behalten."
In beiden Fällen wird das Ziel, einen Schädling einzuschmuggeln, erreicht. Auch die Zahlung eines Lösegeldes geht auf den Faktor Mensch zurück, da ein vermutlich etwas in Panik geratener Mitarbeiter der Stadtverwaltung die Angelegenheit so schnell wie möglich regeln wollte - entgegen der gängigen Empfehlungen der Sicherheitsbehörden. Aber auch bereits im Vorfeld der Attacke hätte das Sicherheitskonzept der Stadtverwaltung überprüft und ggf. angepasst werden müssen, das wird nun vermutlich nachgeholt werden. Die Gründe für den Risikofaktor Mensch: Mitarbeiter verfügen oft über wenig Bewusstsein hinsichtlich der Datensicherheit sowie über unzureichende Technologiekenntnisse. Außerdem fehlt oft ein unternehmens- bzw. behördeninterner Notfallplan, was in dieser Situation zu tun ist.
Die Zuständigkeit für das Thema IT-Security ist nach wie vor in vielen Organisationen und Unternehmen nicht klar geregelt, wie das Beispiel Dettelbach eindrucksvoll zeigt. Und solange alles gut läuft, fühlt sich auch niemand berufen, etwas am aktuellen Status Quo zu ändern. Die IT-Abteilung sollte zwar vorausschauend sein und die IT auch auf zukünftige Bedrohungen vorbereiten und ausrichten. Aber in der Praxis werden Vorschläge und Bedenken aus Kostengründen nicht Ernst genommen und abgelehnt. Liegt die Zuständigkeit bei der Geschäftsführungsebene, fehlt oft das technische Verständnis und Wissen um die Komplexität der IT-Infrastruktur. Abhilfe soll hier der Chief Information Security Officer (CISO) schaffen, der als Teil der Geschäftsführung verantwortlich für die Abstimmung von Sicherheitsinitiativen mit den Unternehmenszielen ist. Er soll beide Welten vereinen und sowohl technologisches als auch unternehmerisches Denken unter einen Hut bringen.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Kein ausreichender Schutz vor neuen Angriffsmethoden
Doch wie sind die IT-Abteilungen hierzulande überhaupt aufgestellt angesichts der derzeitigen Cyberattacken? Ein ganzes Drittel der IT-Fachleute (31 Prozent) sieht sich gegen die neuen Angriffsmittel und -methoden sowie deren zunehmende Frequenz nicht ausreichend gewappnet. Ein wesentlicher Grund: Starre und veralteteSicherheitskonzepte können mit der digitalen sowie zunehmend komplexen, mobilen Unternehmenswelt nicht Schritt halten. Die Möglichkeiten, um schnell und adäquat auf Angriffe von außen und Datenverstöße etwa der Mitarbeiter zu reagieren, sind begrenzt - mit entsprechenden Folgen für die Sicherheit des Unternehmensnetzwerkes und der Daten. Denn reaktive Sicherheitsmaßnahmen und Hardware-Appliances mit ihren manuell gepflegten Firewall-Regeln können mit der Dynamik heutiger Infrastrukturen und der aktuellen Bedrohungssituation nicht Schritt halten.
Eine langfristige Lösung hierfür kann ein Software-definierter Ansatz sein: Die Sicherheit wird hier fest auf der Architekturebene verankert. Denn neben den Vorteilen in punkto Sicherheit überzeugt das Software-definierte Rechenzentrum auch in Sachen Leistungsfähigkeit, Agilität, Geschwindigkeit und Effizienz. Angesichts ständig zunehmender Angriffe von Hackern greifen viele Organisationen beim Aufbau ihres Software-definierten Rechenzentrums zur Mikrosegmentierung des Netzwerkes, die sich laut Forrester bereits zur Best-Practice-Methode der IT-Sicherheit entwickelt hat. Der Grund: Bewegen sich Hacker innerhalb des Rechenzentrums von Workload zu Workload, gibt es in herkömmlichen Umgebungen wenige Kontrollen, da Rechenzentren häufig nur mittels Firewalls abgesichert werden. Ein ganzheitlicher Software-definierter Ansatz, der das gesamte Rechenzentrum umfasst, ist die ideale Grundlage für eine sichere und flexible IT, die den heutigen Anforderungen gerecht wird.
Über die reine Technologie hinaus ist es wichtig, ein breites Bewusstsein für das Thema IT-Sicherheit zu schaffen. Sämtliche Mitarbeiter sollten über ein Basis-Knowhow in Sachen Security verfügen, zusätzlich sollte es in jedem Unternehmen einen festen Ansprechpartner für Fragen rund um das Thema geben. Hierbei sollte man nur darauf achten, nicht ausschließlich mit Regelungen und Verboten zu agieren und damit eine Angst-Kultur zu schaffen, die die Belegschaft verunsichert. Vielmehr sollte man seinen Mitarbeitern Vertrauen entgegenbringen, sie mit Weiterbildungen fördern und ihre IT-Kompetenz ausbauen. Die Stadtverwaltung Dettelbach hat hier in nächster Zeit mit Sicherheit noch einiges zu tun. (fm)
- Splash Screens
Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht. - Antivirus Software
Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance. - Perimeter Security
Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen. - Alarm-Ermüdung
Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden. - Ignoranz
Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus. - Passwort-wechsel-dich
Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss? - Security Training
Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt. - Harte Worte
Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen. - Mauer-Fetisch
Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei. - Sharing
Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken. - Schadens-PR
"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?