Sehr
gehrte Damen und Herren,
wenn
über Sicherheit von IT Systemen gesprochen wird, dann meist
vom unaufhörlichen Hase und Igel Spiel, Hacker versus
Einbruchssysteme, Vierenscanner versus Erfinder von Schadsoftware oder
Spamfilter versus Spamer. Oft glaubt man sich sicher hinter einer guten
Firewall, optimal eingestellten IDS/IPS, täglich
aktualisiertem Virenscanner und Spamfilter, optimaler
Mailverschlüsselung und anderen technischen Raffinessen der IT
Security. Aber dies ist nur die halbe Wahrheit.
Vergleichen wir
doch mal
unsere IT Sicherheit mit Dingen aus dem täglichen
Leben. Eine wohl situierte Familie tut alles für die
Sicherheit
ihres Eigentums. Die Villa ist abgesichert mit hohen Mauern, der
modernsten Alarmanlage mit direktem Meldesystem zur Polizei. Zwei
äußerst wachsame Hunde sorgen dafür, dass
sogar der Briefträger nicht ohne weiteres Zutritt hat und dann
das.
Ein netter junger
Mann stellt
sich bei Familie x vor - Versicherungs- und Finanzexperte in allen
Lebenslagen. Natürlich bittet Frau x ihn gern ins Haus in
Erwartung der neusten Anlagetips. Man spricht über Werte, was
man angelegt hat und holt schnell mal die aktuellen Papiere
aus dem Save. Als Gastgeberin will man die Bitte nach einem
Kaffee auch nicht abschlagen und so ist unser sympathischer
junger
Anlageberater mal kurz allein mit dem, was normalerweise Mauer,
Alarmanlage, Hund und Save schützen. Das wichtige Dinge fehlen
und das Herr y nur formal Finanzberater ist, merkt Familie x
viel später.
Sicher werden Sie
denken, was
hat das alles mit IT Security zu tun ?
Vieles, denn oft
gelangen
Daten nach außen, weil trotz aller Hackersicherheit an
einfache Dinge nicht gedacht wird. Wie Herr z, leitender Konstrukteur
auf Auslandsreise. Weil man mit der Erarbeitung von Projektunterlagen
nicht ganz fertig geworden ist, synchronisiert man diese auf dem
Notebook. Sicheres Kennwort, verschlüsselte Platten - kann
eigentlich nichts passieren und dann das.
Abends im Hotel
arbeitet Herr
z noch an seinen Unterlagen. Leider gibt es keinen Zugang
über Internet in die Firma, so dass die neuen Ergebnisse nicht
übertragen werden können. Sichern will Herr z seine
Arbeit natürlich trotzdem und sein Sohn hat ihm zu Weihnachten
einen
super modernen 8 GByte USB Stick geschenkt. 3 GB MP3 für die
lange Weile im Hotel und die neuen Projektunterlagen passen auch noch
drauf.
Am
nächsten Tag dann
beim Kunden. Konferenz von 10 Personen, externe "Berater", wie Mr. x
sind auch dabei. Man präsentiert sich - alles ist sehr
interessant, vor allem der letzte Beitrag des "Beraters" Mr. x. Diesen
möchte man gern haben und natürlich ist Mr. x sofort
bereit, den Vortrag als Powerpoint zu übergeben. Leider ist
der USB Stick von Mr. x defekt, aber kein Problem. Herr z hat doch
einen und natürlich überspielt Mr. x gern
in der nächsten Rauchpause die Daten.
Herr z freut sich
über die Präsentation, Mr. x über die
aktuellsten Projektdaten von Herrn z. Alle technischen Vorkehrungen
haben versagt, wegen einer kleinen Unachtsamkeit. Aber genau darauf
bauen professionelle Wirtschaftsspione. Andere Themen sind Sozial
Engineering, wo Angreifer über den IT Anwender direkt an
Informationen kommen oder diesen benutzen um in Netze zu gelangen oder
sind Sie sich sicher, dass die Memory Card die Ihnen auf dem Messestand
geschenkt wurde nicht präpariert ist ?
100 prozentig
lassen sich
diese Dinge nicht vermeiden, denn kein Mensch ist frei von
Nachlässigkeiten vor allem in der Hektik des Beruflebens. Aber
das ständige Bewusstsein über solche
Sicherheitslücken und eine gesunde Skepsis machen es IT
Spionen schwerer, an Daten zu kommen. Der Weg dazu ist die Initiation
einer Awareness
Kampagne, die Mitarbeiter und vor allem die
verantwortlichen Manager für das Thema organisatorische IT
Sicherheit sensibilisiert und entsprechende Verhaltensregeln
implementiert.
Aber eine
einmalige Aktion bringt nicht viel. In kurzer Zeit ist wieder vieles
vergessen und der "Schlendrian" hat wieder eine Chance. Das
wäre das gleiche, als wenn Sie Ihr IPS System nach einem
halben Jahr abstellen, weil kein Angriff erfolgte. Nur durch
ständige Etablierung von IT
Security Awareness können
Sie die Sicherheit vor unbefugten Datenzugriff über 007
Methoden permanent erhöhen.
Aus
diesem Grund entwickelt abc Information eine professionelle Methodik
für Ihre Awareness
Kampagne.
Ihre
Friederike Tödter
|
