Sicherheitslücke Mensch – eine Herausforderung für Unternehmen

Die Mehrheit der Attacken auf Unternehmensdaten kommen nicht etwa von außen, sondern von innen. Das jedenfalls ist das Ergebnis einer Untersuchung von IBM. Ein Teil dieser „Insider“ geht dabei gezielt vor. Der Rest handelt fahrlässig oder wird geschickt hereingelegt. Für viele Unternehmen keine einfache Situation: Sie müssen schließlich Mitarbeitern Informationen bereit stellen, die sie für ihre Arbeit benötigen.

(Foto: © putilov_denis – Fotolia.com)
(Foto: © putilov_denis – Fotolia.com)

In einem spärlich beleuchteten Raum sitzt er, der Cyberkriminelle. Seine Augen starr auf den leuchtenden Bildschirm seines Laptops gerichtet, die Finger fliegen über die Tastatur. Pizzakartons liegen auf dem Boden. Einen schnellen Schluck aus der Coke light, ein paar Zeilen Code in die Tastatur gehackt und… voilà! Der Hack ist gelungen! Daten über Daten strömen über den Bildschirm. Der Digitalbösewicht lehnt sich grinsend in seinem Stuhl zurück. Er hat es mal wieder geschafft.

So oder ähnlich stellen wir uns vielleicht die Bedrohung vor, mit der sich Unternehmen konfrontiert sehen. Und abgesehen davon, dass dieses Hollywood-Abziehbild eines Hackers wenig mit der Wirklichkeit zu tun hat: Eine weitere Sicherheitslücke lauert woanders. Es kann der unzufriedene Abteilungsleiter sein oder der fahrlässig handelnde Dienstleister oder auch der schlecht geschulte Mitarbeiter.

Laut IBMs „Cyber Security Intelligence Index“ von 2015 war die Quelle bei 55 Prozent der Sicherheitsvorfälle bei „Insidern“ zu suchen. In 31,5 Prozent der Fälle muss man von Böswilligkeit sprechen, weil Daten absichtlich preisgegeben oder für eigene Zwecke missbraucht wurden. Bei 23,5 Prozent ist es Unachtsamkeit, Fahrlässigkeit oder schlichtweg unzureichendes Wissen.

Ein „Insider“ ist bei IBM sehr weitläufig definiert. Durchaus zu Recht: Es gibt sehr viel mehr Menschen aus dem Umfeld einer Firma, die ebenfalls Zugriff auf sensible Daten erlangen oder zum Steigbügelhalter für andere werden könnten. Aus IBMs Definition:

Ein Insider ist in diesem Fall jeder, der physischen oder anderweitigen Zugang zu den Anlagen des Unternehmens hat. Damit gemeint sind Dinge wie Dokumente, Kopien, Speichermedien oder Laptops, aber auch Informationen, die auf digitalem Weg ausgetauscht werden. Auch wenn der Insider oftmals ein Angestellter des Unternehmens ist, könnte er oder sie auch zu einem Dritten gehören. Denken Sie beispielsweise an Geschäftspartner, Kunden oder Servicedienstleister. Allen diesen Personen vertrauen Sie genug, um Ihnen Zugang zu gewähren.

Kurzum: Ja, es geht um die eigenen Mitarbeiter, aber nicht nur. Vielmehr betrifft es alle Menschen, die Zugriff haben oder sich verschaffen können. Und die Gefährdung daraus ist sehr real: Laut einer Studie des Digitalverbands Bitkom wurden in den vergangenen zwei Jahren 51 Prozent aller Unternehmen in Deutschland Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl. Der dadurch entstehende Schaden beläuft sich auf rund 51 Milliarden Euro pro Jahr.

Bleiben Sie auf dem Laufenden!

Wenn Sie Artikel wie diesen nicht verpassen wollen, bestellen Sie unseren wöchentlichen Newsletter. Wir haben jede Woche einen neuen, ausführlichen und nützlichen Beitrag für Sie, geschrieben von Fachjournalisten und Experten. Themen: E-Business, Online-Marketing, Social Media und mehr. Mit uns bleiben Sie auf dem Laufenden und lernen jedes Mal etwas Neues hinzu. Fast 1.900 Empfänger nutzen bereits diesen kostenlosen Service!

Weitere Informationen zu den Inhalten und zum Datenschutz finden Sie auf dieser Seite.

Die Vertrauenskette ist in Gefahr

Einerseits wollen und müssen Unternehmen ihren Mitarbeitern natürlich vertrauen können. Je nach Position ist es dabei unabdingbar, dass Personen direkten Zugriff auf Informationen haben, die vertraulich sind oder gar das wirtschaftliche Fundament der Firma darstellen. Andererseits muss man trotzdem ein Auge darauf haben, was mit diesen Daten geschieht. Dazu gehören beispielsweise geistiges Eigentum, Finanzinformationen oder Entwürfe für neue Produkte.

Erschwert wird die Situation dadurch, dass Mitarbeiter heutzutage weniger loyal sind als das früher der Fall war. Sprich: Um beruflich und persönlich voranzukommen, werden Job und Arbeitgeber in vielen Berufen durchaus regelmäßig gewechselt. Arbeitet der frühere Angestellte dann für einen Konkurrenten, hat er vielleicht noch immer Bekannte und Freunde mit den passenden Zugriffsrechten an der vorherigen Position. Haben sie das Unternehmen im Schlechten verlassen oder versprechen sie sich auf andere Weise einen Gewinn, kann genau das der Ausgangspunkt für ein „Datenleck“ sein. Entsprechend müsse man mit Argusaugen über genau jene Netzwerke wachen, die die wertvollsten Informationen enthalten, heißt es bei IBM.

Aber es geht gar nicht nur um solche Extremfälle. Das Berechtigungsmanagement wird schon im ganz normalen Büroalltag zum Problem. Die Protected Networks GmbH aus Berlin beispielsweise will ihr Produkt „8MAN“ als Standardlösung in diesem Bereich etablieren. Im Gespräch mit mir haben sie drei Beispiele dafür gegeben, wohin ein Organisations- und Strukturmangel führen kann:

Der Azubi-Effekt

Auszubildende durchlaufen während ihrer Betriebszugehörigkeit verschiedene Abteilungen und schnuppern in unterschiedliche unternehmensinterne Daten-Strukturen. In jeder Abteilung erhalten sie neue Berechtigungen, damit sie auf die jeweils relevanten Daten zugreifen können. Nach der regulären Zeit von drei Jahren sind also genügend Berechtigungen auf unterschiedlichste Systeme erfolgt, die Auszubildenden einen Datenüberblick ermöglichen, der kurz unter dem eines Administrators liegen kann. Eine Entwicklung und ein Datenwust, der in keiner Instanz überwacht wird. Auch der Administrator kann diese Verantwortung nicht leisten, vor allem da ihm viele Entwicklungen wie etwa Ausbildungsanfang oder Ausbildungsende oft gar nicht erst bekannt sind.

Der Mitarbeiter-Wunsch

Nicht nur Azubis – auch andere Mitarbeiter wechseln Projekte oder Abteilungen. Bei jedem Job- oder Positionswechsel müssen also auch hier die Zugriffsrechte angepasst werden. Beförderungen, Ausscheiden des Mitarbeiters, Wechsel der Abteilung – die Änderungen können vielfältig sein und sind von sehr individuellen Faktoren abhängig. Nicht nur im Fall der Auszubildenden – auch hier kann der Administrator, der meist alleine verantwortlich für die Vergabe von Zugriffsrechten auf Daten ist, nicht über alle Entwicklungen informiert sein. Es braucht also ein wirkungsvolles System, das Berechtigungswünsche zur gegebenen Zeit weiterträgt und damit für eine sichere und schnelle Abwicklung zur Zufriedenheit aller Beteiligten sorgt.

Die Sammelwut

Eine weitere Gefahr für die Datensicherheit stellt die Angewohnheit jedes Mitarbeiters dar, Daten zu sammeln. Die meisten Dokumente, Präsentationen oder PDF-Dateien werden kaum geordnet, geschweige denn in regelmäßigen Abständen auf Relevanz überprüft. Auf diese Art wird sehr viel Speicherplatz verschwendet. Dazu kommt, dass Daten oft auch doppelt gespeichert, oder verteilt über verschiedene Abteilungen zugleich lokal abgelegt werden. Auf diese Art gehen nicht nur Platz und Zeit verloren, sondern im schlimmsten Fall verschwinden ganze Datenberge im Durcheinander.

Unternehmen stehen nach den Worten von Protected Networks nicht nur vor der Herausforderung Daten zu sichern, sondern müssen schon fast nebenbei Prozesse beschleunigen, Fehlerquoten minimieren und Kosten senken. „Den Anwender im Umgang mit Sicherheit zu schulen und ihn vorneweg überhaupt für das Thema zu sensibilisieren kann ihn zu einem Partner werden lassen mit dessen Hilfe der wirtschaftliche Erfolg gesichert werden kann. Denn nur ein sicherer Mensch macht ein sicheres Unternehmen.“ erklärte Protected Networks Pressekontakt Evelyn Seeger mir gegenüber. Technische Sicherheit reiche zudem nicht aus, wenn ein Mitarbeiter unvorsichtig über die neuesten Produkte plaudere. Oder er Zugriff auf die Quartalszahlen erhalte, da er versehentlich mit den falschen Zugriffsrechten ausgestattet wurde.

Vielfältige Angriffspunkte

In ihrem Report „X-Force Threat Intelligence Quarterly“ fürs zweite Quartal 2015 weist IBM zudem darauf hin, dass IT-Sicherheit nicht allein mit dem Computernetzwerk zu tun hat. Vielmehr sollte man auch im Blick behalten, dass einzelne Geräte zu Sicherheitsproblemen werden können. So hatten Experten vor einigen Jahren gezeigt, wie leicht sich bestimmte IP-Telefone ohne Wissen des Nutzers von außen aktivieren ließen. Oder so mancher ist sich nicht bewusst, dass Kopierer und Faxgeräte eingebaute Speicher haben, die man leicht auslesen kann. Ein Techniker hat darauf beispielsweise Zugriff, wenn er ins Büro kommt. Aber vielleicht verkauft man das Altgerät auch nichtsahnend. So haben Forscher sensible Daten auf solchen Geräten gefunden, die sie zuvor auf eBay gekauft hatten – von Unternehmen oder gar der öffentlichen Verwaltung.

Dass Dienstleister zu einem Sicherheitsproblem werden können, hatte zudem die US-amerikanische Ladenkette Target schmerzhaft erfahren müssen. Die Angreifer konnten Daten von 110 Millionen Menschen abgreifen, insgesamt 11 GB sollen es gewesen sein. Gelungen war das, weil sie sich zunächst die Zugangsberechtigungen einer Servicefirma für Klima- und Kühlanlagen beschaffen konnten, die von Target beauftragt worden war.

Und auch wenn dieses Szenario sicherlich für viele kleine und mittlere Unternehmen weniger realistisch ist, können externe Dienstleister auch auf anderen Wegen zum Problem werden. So sollte man seine Mitarbeiter beispielsweise darauf aufmerksam machen, wichtige Informationen, Unterlagen oder gar Passwörter nicht offen herumliegen zu lassen. Und auch wenn es Zeit kostet: externe Dienstleister sollten in sensiblen Bereichen des Unternehmens nicht allein gelassen werden.

Spam, Malware, Phishing

Spam und Phishing wiederum scheinen heutzutage so allgegenwärtig, dass man kaum noch darauf hinweisen mag. Aber in Wirklichkeit sind solche Attacken weiterhin eine sehr realistische Gefahr – Sony kann ein Lied davon singen. Der folgenschwere Angriff auf Netzwerk und Rechner des Unternehmens wurde möglicherweise durch E-Mails eingeläutet, die vortäuschten, die Apple ID des Nutzers müsse verifiziert werden. Nach Klick auf den Link wurde man wie bei Phishing üblich auf eine täuschend echt aussehende Fälschung geleitet. Mit den so abgegriffenen Zugangsdaten unternahmen die Angreifer dann die nächsten Schritte.

Während Spam insgesamt in den letzten zwei Jahren auf einem ähnlichen Niveau geblieben ist, verweist IBM darauf, dass diese E-Mails zunehmend Schadsoftware enthalten. Zwischen Oktober 2014 und Januar 2015 bewegte sich diese Marke beispielsweise um die 4 Prozent. Bis zum Sommer 2013 hatte dieser Wert nur selten 1 Prozent überschritten.

Die Ziele dahinter können sehr unterschiedlich sein. Für Unternehmen relevant ist es natürlich, wenn sich Mitarbeiter dadurch Schädlinge einfangen, die beispielsweise Passwörter und andere Tastatureingaben belauschen („Keylogger“). Aber auch „Ransomware“ ist eine Bedrohung: In diesem Fall werden beispielsweise die Daten auf dem betroffenen Gerät durch die Malware verschlüsselt und eine Geldsumme erpresst, um sie wieder nutzbar zu machen. Ein Problem, mit dem beispielsweise nicht zuletzt die Polizei in den USA ganz direkt zu kämpfen hat.

Als Gegenmaßnahme bleibt Netzwerkadministratoren, ihre Spam- und Virusfilter auf dem Laufenden zu halten. Zudem sollten ausführbare Dateien in Anhängen generell gefiltert werden. Das ist auch innerhalb von ZIP-Dateien möglich. Zudem sollte die genutzte Mail-Software Bilder und Anhänge nicht automatisch anzeigen.

Zugleich müssen natürlich die Mitarbeiter selbst geschult werden. Sie sollten sich bei E-Mails mit Links und Anhängen beispielsweise fragen:

  • Kenne ich den Absender? Das ist allerdings keine Sicherheit, denn der Absender kann leicht gefälscht werden und aus anderen Daten (Social Media z.B.) lassen sich vertrauenswürdig scheinende Absender gewinnen.
  • Habe ich diese E-Mail und den Anhang erwartet oder nicht?
  • Ergibt es Sinn, dass der Anhang als ZIP vorliegt?
  • Was ist in dem ZIP: Ein Programm, ein Bildschirmschoner oder ein unbekannter Dateityp? Dann auf jeden Fall nicht öffnen.

Jeder von uns bekommt sicherlich etliche dieser E-Mails von Banken und anderen Institutionen, die einen zu dringend scheinenden Handlungen auffordern – obwohl man dort gar kein Kunde ist. Durchaus knifflig wird es, wenn man mit dem vorgeblichen Unternehmen tatsächlich in Kontakt steht. Ich persönlich habe mir angewöhnt, selbst auf die jeweilige Website zu gehen, anstatt auf einen Link in der E-Mail zu klicken. Wobei es aber sicherlich Situationen gibt, in denen ich aus Gedankenlosigkeit oder Bequemlichkeit schon dagegen verstoßen habe.

Social Engineering

Aber es sind nicht nur E-Mails mit Links und Anhängen, von denen eine Gefahr ausgeht. Die Kunst des „Social Engineerings“ macht sich zunutze, dass wir Menschen oftmals hilfreich sein wollen und uns überrumpeln lassen. Weiter oben klang schon einmal Social Media als Quelle für Informationen an: Über viele Menschen kann man bei Facebook & Co so viele Details herausfinden, dass die Betroffenen selbst erstaunt sind, wenn man sie damit anspricht. Wenn wir online etwas posten, denken wir oftmals an Bekannte, Freunde und Verwandte, die das zu sehen bekommen sollen. Wir sind uns hingegen meist weniger bewusst, wie viele andere Menschen ebenfalls an diese Informationen kommen.

Social Engineering kann dabei einfach ein Anruf sein, bei dem man mit einigen gewitzten Tricks zur Herausgabe von Informationen gebracht wird. Und wer mag schon einen angeblichen Kunden in Not, einen besorgten Verwandten eines Kollegen, einen Polizisten oder Anwalt in Frage stellen? Es gibt viele Situationen, in denen wir vielleicht sogar bewusst unsere Kompetenzen überschreiten, weil wir meinen, dass es das richtige Verhalten ist

Dabei geht es zugleich nicht unbedingt darum, dass Mitarbeiter wertvolle Firmengeheimnisse am Telefon ausplaudern. Wie das Beispiel Sony gezeigt hat, gehen Angreifer in mehreren Schritten vor. Da kann das erste „Datenleck“ noch harmlos erscheinen, aber ein wichtiges Detail liefern.

Social Engineering ist schwer abzuwehren. Allgemein wird dazu geraten, klare Regeln für die Mitarbeiter zu haben, in welcher Form mit sensiblen Daten umgegangen wird. Zudem sollte dieses Wissen auch regelmäßig auf die Probe gestellt werden.

Für weitere Ratschläge sei hier der kostenlose Leitfaden „Verhaltensregeln zum Social Engineering“ des Deutschland sicher im Netz e.V. empfohlen.

Schadensbegrenzung

Wie man anhand dieses Artikels vielleicht sieht: Die „Sicherheitslücke Mensch“ ist nicht zu unterschätzen. Wenn Computer gegen Computer kämpfen, haben wir es mit einem recht klar abgesteckten Feld zu tun: Verschlüsselung beispielsweise bietet ein bestimmtes Maß an Sicherheit, die mit einem wiederum quantifizierbaren Aufwand umgehen kann. Überraschungen lauern hier vor allem durch Programmierfehler oder andere Versehen bei der Entwicklung. Da nützt eben die beste Tür vorn nichts, wenn hinten ein Fenster offen ist – einmal sinnbildlich gesprochen.

Aber sobald menschliche Schwächen ausgenutzt werden, gerät eine allein technisch ausgerichtete Sicherheitsstrategie schnell ins Wanken. Und nicht zuletzt kommt kein Unternehmen drumherum, Mitarbeitern und externen Dienstleistern bis zu einem gewissen Grad zu vertrauen.

Es erscheint nahezu unvermeidbar, dass es zu größeren oder kleineren Vorfällen kommt. Insofern geht es nicht nur darum, die Sicherheit zu maximieren, sondern auch darum, auf den Fall der Fälle vorbereitet zu sein. Wichtig ist es da nach Meinung von Experten, die dann folgenden Schritte von vornherein festgelegt zu haben. Dabei ist es wichtig, dass genau nachvollzogen wird, wie der Angriff vonstatten ging. Nur so lassen sich entsprechende Konsequenzen ziehen. Weitere Informationen dazu finden sich u.a. im oben bereits genannten Report von IBM.

Zusammenfassung

Im Gastbeitrag des Deutschland sicher im Netz e.V. in dieser Ausgabe des UPLOAD Magazins klang es schon an: Liest man über all diese Gefahren, macht sich bei manchen ein gewisser „digitaler Fatalismus“ breit. Schutzmaßnahmen werden dann gar nicht mehr ergriffen, weil sie angesichts zahlreicher prominenter Datenlecks geradezu nutzlos erscheinen.

Aber das ist die falsche Konsequenz. Wenn es um die „Sicherheitslücke Mensch“ geht, gibt es einige wesentliche Dinge, die deutlich weiterhelfen:

  • Klare Regeln, Zuständigkeiten und Berechtigungen schaffen.
  • Diese Strukturen gegenüber den Mitarbeitern und anderen betroffenen Personen kommunizieren.
  • Das Bewusstsein bei allen Beteiligten für die Wichtigkeit dieser Maßnahmen und die wesentlichen Bedrohungen regelmäßig auffrischen. Während so mancher Spam und Phishing auch aus dem eigenen Alltag kennen wird, dürften beispielsweise die möglichen Varianten des Social Engineering weniger vertraut sein.
  • Bei Bedarf über die Anschaffung von Systemen nachdenken, die dabei unterstützen, dass nur die tatsächlich berechtigten Personen mit sensiblen Daten, Informationen und Dokumenten umgehen.
  • Von vornherein einen Plan für den Fall der Fälle haben, um Schadensbegrenzung betreiben zu können und das Problem schnell einzugrenzen.

Tipps zum Weiterlesen


Dieser Artikel gehört zu: UPLOAD Magazin 28

Diese Ausgabe liefert wichtige Einblicke und nützliche Tipps und Tricks rund um IT-Sicherheit. Die Beiträge analysieren die aktuelle Lage für Unternehmen, helfen bei der verschlüsselten Kommunikation, geben Hinweise für Mobilgeräte und WLAN und gehen nicht zuletzt auf die „Sicherheitslücke Mensch“ ein.

Jan Tißler ist auch bekannt als jati. Er arbeitet seit über 20 Jahren als Journalist, die meiste Zeit davon digital. 2006 hat er das UPLOAD Magazin aus der Taufe gehoben. Er ist fasziniert von den Freiheiten des digitalen Publizierens und erklärt gern, wie Unternehmen, Organisationen oder auch Selbstständige mit ihren Botschaften im Netz gehört werden. Immer mit einem Bein fest in der Zukunft. Der gebürtige Hamburger lebt inzwischen in Santa Fe, New Mexico.