Aktuelles, Branche - geschrieben von cp am Mittwoch, Oktober 20, 2010 15:17 - ein Kommentar
Attacken auf das Weichziel Mensch: Wenn der Mitarbeiter sich als Komplize instrumentalisieren lässt
Erschreckender Erfahrungsbericht über Neugier und Bequemlichkeit als „Türöffner“ auf der it-sa 2010
[datensicherheit.de, 20.10.2010] Analysiert man die jüngsten Presseberichte über vorsätzliche Verletzungen der Datensicherheit in Betrieben, so wird im Kern erkennbar, dass – egal welcher „Köder“ hierzu ausgelegt wurde – letztlich der fahrlässige Mitarbeiter der eigentliche Verursacher des Schadens ist. Nicht selten verdrängten etwa Neugier und Bequemlichkeit das Sicherheitsbewusstsein, wird es externen Angreifern sehr leicht gemacht:
Frank von Stetten, Vorstand der HvS-Consulting AG aus Garching b. München, führte im „Auditorium“ der it-sa 2010 aus, dass zur Durchführung von Industriespionage mehr und mehr der Mensch als weiches Angriffsziel ins Visier genommen wird. Wie leicht es ist, selbst in gesicherte Betriebsbereiche einzudringen, zeigte er in einem Schulungsfilm, der einerseits belustigte, dann doch auch wieder erschreckte, weil er das menschliche Verhalten so treffend darstellt. Gerade IT-Leute seien z.B. nach seiner Erfahrung so neugierig, dass sie gerne auf einen als „Köder“ ausgelegten, mit ausgeklügelter, nicht sofort erkennbarer Schadsoftware versehenen USB-Stick hereinfielen – und diesen dann zum Auslesen an die betriebliche IT-Infrastruktur ankoppelten. So könne Neugier zur Ausforschung von Betriebsgeheimnissen, aber auch zur Einschleusung zerstörerischer Programme – wie aktuell in der Diskussion etwa der Wurm „Stuxnet“ – führen. Das Video zeigte auch, wie leicht selbst das Eindringen einer Person in einen zugangsüberwachten Betriebsbereich sein kann – das flüchtige Vorzeigen irgendeiner Ausweiskarte gegenüber dem Reinigungspersonal mit dem Hinweis auf eine angebliche Kartenstörung führe häufig zum Erfolg. Ein solches physisches Eindringen einer Person zu Pausenzeiten gestatte dann den vielfältigen Zugriff auf Datenträger – so eben auch auf Papiere. Schlüssel zu Aktenschränken seien meist schnell im Rollcontainer oder in der Stiftbox auf dem Schreibtisch zu finden – und der Akteneinsicht stehe nichts mehr im Wege. Aber auch eine Sichtung des Papierkorbes am zentralen Kopierer fördere so manche „Schätze“ zutage. Neben der Ausforschung papiergebundener Information böten sich manigfaltige Möglichkeiten zur schnellen, heimlichen Manipulation der Rechentechnik an den Arbeitsplätzen. Mit dem Wissen um interne Telefonanschlüsse ließe sich dann z.B. ein Mitarbeiter im Unternehmen gezielt anrufen – mit der Behauptung, dass dessen Arbeitsplatzrechner virenverseucht und deshalb zur Bereinigung des Problems die Kenntnis seines Passwortes notwendig sei, gelinge es in einer Vielzahl der Fälle, dieses auch spontan benannt zu bekommen. In der Regel funktioniere dies in 80 bis 90 Prozent der Fälle; mit einer Sensibilisierung der Belegschaft lasse sich diese Quote auf 20 bis 30 Prozent senken, so von Stetten.
Frank von Stetten: Ohne Sensibilisierung der Mitarbeiter geht es nicht, denn längst nicht alle IT-Sicherheitsprobleme sind rein technisch zu lösen.
„Security-Awareness-Kampagnen“ sollten sich in drei Phasen gliedern:
- Wachrütteln der Betroffenen,
- Wissensvermittlung an die Betroffenen und
- Maßnahmen zur Nachhaltigkeit der Sensibilität und des Wissens bei den Betroffenen
Letztere seien längerfristig über drei bis fünf Jahre konzeptionell zu gestalten. Sein Haus setze für solche Kampagnen auf die IS-FOX-Produktreihe. Sicherheit müsse integraler Bestandteil der ggf. zu modifizierenden Unternehmenskultur sein.
Aktuelles, Experten - Jan. 24, 2025 1:00 - noch keine Kommentare
Stargate: KI-Initiative in den USA setzt Europa unter Zugzwang
weitere Beiträge in Experten
- Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt
- Auskunftsrecht: EDSA hat Bericht zur koordinierten Prüfaktion CEF 2024 publiziert
- Bundestagswahl 2025: Politische Parteien dürfen Adressen zweckgebunden für Wahlwerbung nutzen
- Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen
- Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch
Aktuelles, Branche, Studien - Jan. 23, 2025 0:48 - noch keine Kommentare
Cyber-Versicherungen: Neuer KnowBe4-Bericht zeigt dringenden Bedarf angesichts eskalierender digitaler Bedrohungen auf
weitere Beiträge in Branche
- Der Europäische Datenschutztag am 28. Januar soll Bürger sensibilisieren, die eigenen Daten besser zu schützen
- Gamer geraten ins Phishing-Fadenkreuz
- DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen
- NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber
- Warnung vor neuer Phishing-Angriffskampagne über Reisebüro-Konten
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren