Attacken auf das Weichziel Mensch: Wenn der Mitarbeiter sich als Komplize instrumentalisieren lässt

Erschreckender Erfahrungsbericht über Neugier und Bequemlichkeit als „Türöffner“ auf der it-sa 2010

[datensicherheit.de, 20.10.2010] Analysiert man die jüngsten Presseberichte über vorsätzliche Verletzungen der Datensicherheit in Betrieben, so wird im Kern erkennbar, dass – egal welcher „Köder“ hierzu ausgelegt wurde – letztlich der fahrlässige Mitarbeiter der eigentliche Verursacher des Schadens ist. Nicht selten verdrängten etwa Neugier und Bequemlichkeit das Sicherheitsbewusstsein, wird es externen Angreifern sehr leicht gemacht:
Frank von Stetten, Vorstand der HvS-Consulting AG aus Garching b. München, führte im „Auditorium“ der it-sa 2010 aus, dass zur Durchführung von Industriespionage mehr und mehr der Mensch als weiches Angriffsziel ins Visier genommen wird. Wie leicht es ist, selbst in gesicherte Betriebsbereiche einzudringen, zeigte er in einem Schulungsfilm, der einerseits belustigte, dann doch auch wieder erschreckte, weil er das menschliche Verhalten so treffend darstellt. Gerade IT-Leute seien z.B. nach seiner Erfahrung so neugierig, dass sie gerne auf einen als „Köder“ ausgelegten, mit ausgeklügelter, nicht sofort erkennbarer Schadsoftware versehenen USB-Stick hereinfielen – und diesen dann zum Auslesen an die betriebliche IT-Infrastruktur ankoppelten. So könne Neugier zur Ausforschung von Betriebsgeheimnissen, aber auch zur Einschleusung zerstörerischer Programme – wie aktuell in der Diskussion etwa der Wurm „Stuxnet“ – führen. Das Video zeigte auch, wie leicht selbst das Eindringen einer Person in einen zugangsüberwachten Betriebsbereich sein kann – das flüchtige Vorzeigen irgendeiner Ausweiskarte gegenüber dem Reinigungspersonal mit dem Hinweis auf eine angebliche Kartenstörung führe häufig zum Erfolg. Ein solches physisches Eindringen einer Person zu Pausenzeiten gestatte dann den vielfältigen Zugriff auf Datenträger – so eben auch auf Papiere. Schlüssel zu Aktenschränken seien meist schnell im Rollcontainer oder in der Stiftbox auf dem Schreibtisch zu finden – und der Akteneinsicht stehe nichts mehr im Wege. Aber auch eine Sichtung des Papierkorbes am zentralen Kopierer fördere so manche „Schätze“ zutage. Neben der Ausforschung papiergebundener Information böten sich manigfaltige Möglichkeiten zur schnellen, heimlichen Manipulation der Rechentechnik an den Arbeitsplätzen. Mit dem Wissen um interne Telefonanschlüsse ließe sich dann z.B. ein Mitarbeiter im Unternehmen gezielt anrufen – mit der Behauptung, dass dessen Arbeitsplatzrechner virenverseucht und deshalb zur Bereinigung des Problems die Kenntnis seines Passwortes notwendig sei, gelinge es in einer Vielzahl der Fälle, dieses auch spontan benannt zu bekommen. In der Regel funktioniere dies in 80 bis 90 Prozent der Fälle; mit einer Sensibilisierung der Belegschaft lasse sich diese Quote auf 20 bis 30 Prozent senken, so von Stetten.

© datensicherheit.de

Frank von Stetten: Ohne Sensibilisierung der Mitarbeiter geht es nicht, denn längst nicht alle IT-Sicherheitsprobleme sind rein technisch zu lösen.

„Security-Awareness-Kampagnen“ sollten sich in drei Phasen gliedern:

1. Wachrütteln der Betroffenen,
2. Wissensvermittlung an die Betroffenen und
3. Maßnahmen zur Nachhaltigkeit der Sensibilität und des Wissens bei den Betroffenen

Letztere seien längerfristig über drei bis fünf Jahre konzeptionell zu gestalten. Sein Haus setze für solche Kampagnen auf die IS-FOX-Produktreihe. Sicherheit müsse integraler Bestandteil der ggf. zu modifizierenden Unternehmenskultur sein.