Aufklärung gegen Cybercrime

Wer sich mal die Mühe macht, in seinem Bekanntenkreis herumzufragen, wer in letzter Zeit im Unternehmen Sicherheitsvorfälle miterlebt hat, wird vor allem eins hören: Bei uns gibt’s das nicht. Diese Behauptung ist oft sogar (scheinbar) belegbar, denn was aus den Log-Einträgen nicht explizit hervorgeht, findet nach landläufiger Meinung schlicht nicht statt. Natürlich ist diese Einschätzung kreuzfalsch.

Wie jüngste Beispiele etwa mit chinesischen Hackern zur Genüge zeigen, was aber auch sämtliche Security-Spezialisten seit einiger Zeit predigen: Heimlichkeit ist heute Trumpf. Die Zeiten der grossen, lauten Viren-Attacken, in denen pubertierende PC-Freaks um eine grösstmögliche Aufmerksamkeit buhlten, sind definitiv vorbei. Heute steht hinter den Angreifern eine milliardenschwere Industrie, die – kontrolliert häufig vom organisierten Verbrechen – die Öffentlichkeit scheut wie der Teufel das Weihwasser. Wer heute mit Cyber-Kriminalität seinen (meist aufwendigen) Lebensstil finanzieren will, ist zwingend darauf angewiesen, dass er und seine Angriffe versteckt bleiben
– und er tut alles dafür.

Technik am Anschlag

Wie sich immer wieder zeigt, gehen die Siege im Wettlauf zwischen den Angreifern und den Herstellern von Sicherheitstechnologie regelmässig an erstere. So ausgeklügelt die technischen Massnahmen auch sind – die Hacker haben dennoch meist die Nase vorn, weil die Industrie aus naheliegenden Gründen eben kaum proaktiv kommende Angriffe vorwegnehmen, sondern bestenfalls im nachhinein auf diese reagieren kann.


Das heisst nun allerdings nicht, dass die technischen Massnahmen obsolet wären – im Gegenteil, sie sind heute als erste Barriere gegen Attacken jeder Art nötiger denn je. Mindestens ebenso wichtig (und bis heute viel zu oft vernachlässigt), ist aber die Sensibilisierung der Menschen, neudeutsch auch Awareness, und zwar auf allen Ebenen.

Die Industrie hat dies schon vor einiger Zeit erkannt und entsprechende Massnahmen getroffen, die langsam zu greifen beginnen. Allerdings nützt es herzlich wenig, wenn Hersteller wie Microsoft und zahlreiche weitere ihre Software-Entwicklungen unter die Maxime der höchstmöglichen Sicherheit stellen, wenn gleichzeitig der Endanwender – zuhause oder im Büro – arglos im Internet herumsurft, Attachments beliebig und ohne nachzudenken anklickt und besondere Trouvaillen per E-Mail auch noch blind durch die Gegend verschickt. Der beste Spamfilter hat in dem Moment versagt, in dem auch bloss eine von tausenden Spam-Nachrichten den Filter passiert und zu einem Anwender gelangt, der den Link darin anklickt.

Dasselbe gilt für AV-Software und Trojaner. Oder für Intrusion-Detection- und -Prevention-Systeme, die sich mit mehrstufigen Angriffen durchaus übertölpeln lassen. Auf vielfältigste Weise werden die besten technischen Schutzlösungen mit cleveren Methoden und insbesondere unter Ausnutzung von unbedarften Usern umgangen, und genau hier muss der Hebel deshalb angesetzt werden.

Nur wer Bescheid weiss, kann sein Verhalten ändern

Wie Untersuchungen immer wieder feststellen, zeigt die Mehrzahl der Anwender in ihrem Surf- und Downloadverhalten sowohl zuhause als auch am Arbeitsplatz noch immer eine geradezu skandalöse Sorglosigkeit, die sich im Zusammenhang und im Umgang mit Mails und Attachments tendenziell sogar noch verschlimmert.


Hier sind ganz klar der Arbeitgeber und seine IT-Abteilung gefordert: Wer nur nach einem bekanntgewordenen Schadenfall oder einer grösseren Spam-Welle seine Mitarbeiter rudimentär informiert, hat die Zeichen der Zeit nicht erkannt. Wichtig ist es vielmehr, permanent für die Sensibilisierung zu sorgen – ein gewisses gesundes Misstrauen dem Web und seinen Diensten wie Mail oder Instant Messaging gegenüber muss jedem Mitarbeiter mit Computerarbeitsplatz in Fleisch und Blut übergehen. Er muss die Gefahren und Bedrohungen kennen, schon bevor er ihnen das erste Mal «live» begegnet.

Umsetzen lässt sich dieses Ziel in verschiedener Art und Weise. So lassen sich zum Beispiel mit einer gross aufgezogenen Awareness-Woche im Unternehmen mit verschiedenen Aktionen die Aufmerksamkeit und das Interesse am Thema Cyber-Bedrohungen wekken. Allerdings genügt das bei weitem nicht: Vielmehr muss diese Aufmerksamkeit konserviert und permanent erneuert werden, was beispielsweise über regelmässige Awareness-Artikel in der Mitarbeiterzeitung, noch besser aber mit periodischen Newslettern per
E-Mail erreicht werden kann (siehe Kasten). Die Bedrohungen müssen auch ohne konkreten Anlass im Gespräch bleiben; nur so lassen sich die eingeschliffenen sorglosen Verhaltensweisen mit der Zeit durch neue, erwünschte Sicherheits-Automatismen ersetzen.

Awareness ist kein Allheilmittel

Ob mit Awareness tatsächlich eine Verbesserung der Situation zu erreichen ist, wird allerdings von einigen Sicherheitsexperten bezweifelt. So hat etwa jüngst Mikko Hyppönen, Chef-Virenanalyst der finnischen F-Secure, in einem Interview mit Pressetext erklärt, dass allen Aufklärungskampagnen zum Trotz «die Leute es niemals lernen» werden: «Sie werden immer doppelklicken und ihre Kreditkartennummer weitergeben, wenn jemand danach fragt. So lange man mit Spamming und Phishing auf einfachem Weg so viel Geld verdienen kann, wird das Phänomen eher schlimmer als weniger werden.»


Für einige besonders naive Zeitgenossen mag diese düstere Prognose der anhaltenden Lernunfähigkeit durchaus zutreffen, bei einem Grossteil der Anwender besteht aber doch die berechtigte Hoffnung, dass die Aufklärungskampagnen etwas nützen.

Eine kleine Diskussionsrunde von Sicherheitsexperten kam am Rande der Security-Zone 2007 allerdings zum gleichen Schluss wie Hyppönen: Wir leben in einer bösen Welt, und das Internet ist davon bloss ein Abbild. Die Methoden der «Bösen» mögen sich geändert haben, die Motive jedoch sind immer noch dieselben. Und solange sich mit Spam, Phishing, Identitätsdiebstahl und Hack-Attacken (viel) Geld verdienen lässt, wird das zweifellos auch so bleiben.
Es ist an uns, dies zu ändern.

So führen Sie eine Awareness-Kampagne

Besonders geeignet für eine Awareness-Kampagne im Unternehmen ist ein Newsletter, der regelmässig an alle Mitarbeiter verschickt wird. Damit er auch gelesen wird, ist eine gute Aufmachung wichtig, die Inhalte sollten auch nicht zu lang und möglichst unterhaltsam sein. Mögliche Themen gibt es mehr als genug, und mitunter lassen sie sich auch mit aktuellen Ereignissen verknüpfen: Steht etwa die Erneuerung der Passwörter an, ist es sinnvoll, vorher zwangslos über sichere Kennwörter und ihre Zusammensetzung zu informieren. Aber auch der Umgang mit Mails ist immer aktuell:

Wie verschickt man Massenmails, ohne zu viele Informationen preiszugeben? Was ist bei Attachments zu beachten? Geradezu unerschöpflich sind die Awareness-Themen im Zusammenhang mit mobilen Geräten wie Laptops, USB-Sticks oder Handys. Auch das Surfen im Internet, Downloads, Social-Engineering- und Spionage-Methoden sind dankbare Themenbereiche.
Wer sich die Mühe macht, seine Mitarbeiter regelmässig über Bedrohungen, Datenschutzprobleme und ähnliches zu informieren und sie für angemessene Verhaltensweisen zu sensibilisieren, wird meist schon nach kurzer Zeit eine deutliche Verbesserung des Sicherheitsdenkens feststellen können, was langfristig den Aufwand locker wettmacht.