Aktuelles, Branche - geschrieben von cp am Mittwoch, Oktober 20, 2010 15:17 - ein Kommentar
Attacken auf das Weichziel Mensch: Wenn der Mitarbeiter sich als Komplize instrumentalisieren lässt
Erschreckender Erfahrungsbericht über Neugier und Bequemlichkeit als „Türöffner“ auf der it-sa 2010
[datensicherheit.de, 20.10.2010] Analysiert man die jüngsten Presseberichte über vorsätzliche Verletzungen der Datensicherheit in Betrieben, so wird im Kern erkennbar, dass – egal welcher „Köder“ hierzu ausgelegt wurde – letztlich der fahrlässige Mitarbeiter der eigentliche Verursacher des Schadens ist. Nicht selten verdrängten etwa Neugier und Bequemlichkeit das Sicherheitsbewusstsein, wird es externen Angreifern sehr leicht gemacht:
Frank von Stetten, Vorstand der HvS-Consulting AG aus Garching b. München, führte im „Auditorium“ der it-sa 2010 aus, dass zur Durchführung von Industriespionage mehr und mehr der Mensch als weiches Angriffsziel ins Visier genommen wird. Wie leicht es ist, selbst in gesicherte Betriebsbereiche einzudringen, zeigte er in einem Schulungsfilm, der einerseits belustigte, dann doch auch wieder erschreckte, weil er das menschliche Verhalten so treffend darstellt. Gerade IT-Leute seien z.B. nach seiner Erfahrung so neugierig, dass sie gerne auf einen als „Köder“ ausgelegten, mit ausgeklügelter, nicht sofort erkennbarer Schadsoftware versehenen USB-Stick hereinfielen – und diesen dann zum Auslesen an die betriebliche IT-Infrastruktur ankoppelten. So könne Neugier zur Ausforschung von Betriebsgeheimnissen, aber auch zur Einschleusung zerstörerischer Programme – wie aktuell in der Diskussion etwa der Wurm „Stuxnet“ – führen. Das Video zeigte auch, wie leicht selbst das Eindringen einer Person in einen zugangsüberwachten Betriebsbereich sein kann – das flüchtige Vorzeigen irgendeiner Ausweiskarte gegenüber dem Reinigungspersonal mit dem Hinweis auf eine angebliche Kartenstörung führe häufig zum Erfolg. Ein solches physisches Eindringen einer Person zu Pausenzeiten gestatte dann den vielfältigen Zugriff auf Datenträger – so eben auch auf Papiere. Schlüssel zu Aktenschränken seien meist schnell im Rollcontainer oder in der Stiftbox auf dem Schreibtisch zu finden – und der Akteneinsicht stehe nichts mehr im Wege. Aber auch eine Sichtung des Papierkorbes am zentralen Kopierer fördere so manche „Schätze“ zutage. Neben der Ausforschung papiergebundener Information böten sich manigfaltige Möglichkeiten zur schnellen, heimlichen Manipulation der Rechentechnik an den Arbeitsplätzen. Mit dem Wissen um interne Telefonanschlüsse ließe sich dann z.B. ein Mitarbeiter im Unternehmen gezielt anrufen – mit der Behauptung, dass dessen Arbeitsplatzrechner virenverseucht und deshalb zur Bereinigung des Problems die Kenntnis seines Passwortes notwendig sei, gelinge es in einer Vielzahl der Fälle, dieses auch spontan benannt zu bekommen. In der Regel funktioniere dies in 80 bis 90 Prozent der Fälle; mit einer Sensibilisierung der Belegschaft lasse sich diese Quote auf 20 bis 30 Prozent senken, so von Stetten.
Frank von Stetten: Ohne Sensibilisierung der Mitarbeiter geht es nicht, denn längst nicht alle IT-Sicherheitsprobleme sind rein technisch zu lösen.
„Security-Awareness-Kampagnen“ sollten sich in drei Phasen gliedern:
- Wachrütteln der Betroffenen,
- Wissensvermittlung an die Betroffenen und
- Maßnahmen zur Nachhaltigkeit der Sensibilität und des Wissens bei den Betroffenen
Letztere seien längerfristig über drei bis fünf Jahre konzeptionell zu gestalten. Sein Haus setze für solche Kampagnen auf die IS-FOX-Produktreihe. Sicherheit müsse integraler Bestandteil der ggf. zu modifizierenden Unternehmenskultur sein.
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren