Sicherheits-Risiko Mitarbeiter
Heinz Johner, Information Security Consultant bei IBM Schweiz, zeichnet ein beängstigendes Bild der aktuellen IT-Sicherheitslage. Einen modernen Angriff auf die IT-Sicherheit – so Johner – könne man sich heute nicht mehr wie einen Banküberfall vorstellen, der, noch bevor die Sicherheitsmassnahmen greifen, möglichst schnell zum Ziel führen soll. Vielmehr erinnern die Ausführungen des IBM-Manns an einen High-Tech-Thriller.
«Der moderne Angreifer lässt sich Zeit, sehr viel Zeit. Ein Angriff dauert nicht mehr ein paar Minuten, sondern Monate. Der Angreifer hält sich im Verborgenen, er lauscht, überwacht, befragt unauffällig und geschickt andere Mitarbeiter, und er führt den Angriff in vielen kleinen Schritten aus. Er lernt vielleicht zufällig ein wichtiges System-Passwort, nutzt es aber nicht sofort für einen Angriff, sondern installiert sich nur ein kleines Stück Software, das ihm erst später hilfreich sein wird. So schleicht er sich mit kleinen, unscheinbaren und schwer erkennbaren Schritten zielsicher in ein System ein», erzählt Johner. Mit dieser Strategie bleibe sogar der eigentliche Angriff dann vielleicht lange Zeit unerkannt, während gegen den schnellen Angriff im Stil eines Banküberfalls wirksame Abwehrmassnahmen entwickelt und implementiert wurden.
Wie geschickt heute teils vorgegangen wird, zeigt Johner an folgendem Beispiel: «Ein Angreifer kann sich fast mit Sicherheit darauf verlassen, dass ein herrenloser USB-Stick irgendwann von einem glücklichen und nichtsahnenden Finder in einen PC oder Laptop gesteckt wird, wodurch geschickt versteckte Spionagesoftware an jeder Firewall und jedem Virenscanner vorbei eingeschleust werden kann. Die Abwehr gelingt nicht mehr nur mit technischen Mitteln.»
Nachholbedarf bei Angestellten
Gegen diese menschlichen Faktoren gibt es keine Software, und so bekommt man – egal welchen Sicherheits-Spezialisten man nach den heute aktuellen Bedrohungen fragt – immer ein und dieselbe Antwort: Mitarbeiter und deren mangelnde Sensibilisierung. «Einen gewissen Grundschutz mit Policies, Firewall und Virenscanner hat mittlerweile fast jedes Unternehmen», führt Magnus Kalkuhl, Virenanalytiker bei den Kaspersky Labs aus. «Nachholbedarf besteht bei den Angestellten: Auch heute noch werden viele Mailanhänge bedenkenlos geöffnet und wichtige Dateien auf unverschlüsselten Datenträgern transportiert. Viele dieser Probleme liessen sich mit einfachen Schulungen innerhalb des Unternehmens aus der Welt schaffen.» Um gegen die Sicherheitsbedrohungen der Zukunft gewappnet zu sein, reiche es nicht, einmal im Jahr die Sicherheitsrichtlinien zu aktualisieren, so Kalkuhl weiter. «Mit jedem neuen Mitarbeiter, jeder neuen Software und jeder neuen Hardware ändert sich auch die Sicherheitslandschaft eines Unternehmens. Es ist illusorisch zu glauben, dass ein IT-Administrator diese Verantwortung nebenbei erledigen könnte. Deswegen sollte mindestens ein Mitarbeiter einzig und allein für das Thema IT-Sicherheit abgestellt werden.»
Johner von IBM spricht von zwei Strategien, um die IT-Sicherheit künftig gewährleisten zu können: Die Bewusstseinsschulung der Mitarbeiter und der Einsatz neuer technischer Hilfsmittel. «Die Bewusstseinsschulung muss sehr feinfühlig geschehen, ist aber mindestens so erfolgsversprechend wie reine technische Massnahmen und in der Regel kosteneffizienter.» Jedoch müsse darauf geachtet werden, dass kein Klima des Misstrauens und der Überwachung entsteht. Technische Abwehrmassnahmen wiederum würden dadurch raffinierter, dass sie gesammelte Informationen über einen längeren Zeitraum speichern und analysieren. So lassen sich neue Verhaltensmuster auch dann erkennen, wenn eine Attacke schleichend erfolgt.