IT-Sicherheit assoziiert die Mehrheit der Computernutzer mit sorgsam errichteten Firewalls, Rechenzentren im Hochsicherheitstrakt, Richtlinien für hochkomplexe Passworte und kaum zu durchdringenden Prozessen zur Vergabe von Benutzerrechten.
Derlei technische Hürden zu überwinden gestaltet sich für moderne Computergauner immer komplexer. Entsprechende Kopfstände müssen diese zu ihrem Glück aber gar nicht vollführen, denn sie können sich immer wieder auf die zuvorkommenden Schwachstellen zum Beispiel in Gestalt der Mitarbeiter am Empfang oder auch neuer und mit der Organisation noch nicht vertrauter Mitarbeiter verlassen, welche die bösen Buben tatkräftig dabei unterstützen, Informationen über die IT-Infrastruktur zu sammeln oder auch direkt Zugang zum Netzwerk zu bekommen. Das Liefern von Passwörtern ist oft eine Serviceleistung, die inklusive ist.
Sind Sie sicher, dass nicht auch in Ihrem Unternehmen menschliche Schwachstellen aktiv sind, die jeden Tag nicht nur gegenüber Ihren Kunden und Geschäftspartnern, sondern auch gegenüber Gaunern, die es auf Ihre Geschäftswerte abgesehen haben, freundlich und zuvorkommend auftreten? Sie meinen, dies sei ausgeschlossen?
Die folgende Schilderung wird Sie zum Nachdenken anregen:
Freitagmittag. Das Telefon am Empfang eines weltweit agierenden Konzerns klingelt. Es meldet sich ein junger Mann, der sich als Mitarbeiter des IT-Servicedesk vorstellt. Er möchte zur Personalabteilung verbunden werden – der Empfang stellt das Gespräch durch.
“Personalabteilung, Sie sprechen mit Herrn A.”
“Hallo, hier ist Herr Y vom IT-Servicedesk. Wir haben Probleme mit neu angelegten Benutzern, um die ich mich kümmern soll. Könnten Sie mir bitte die neuen Mitarbeiter der letzten zwei Wochen und deren Telefonnummern nennen, damit ich die Kollegen kontaktieren und die Probleme beheben kann?”
“Ja, gern, kleinen Moment. Es sind nur zwei neue Mitarbeiter in den letzten beiden Wochen eingestellt worden, Frau X aus der Finanzabteilung und Frau Z aus dem Vertrieb.”
Herr A nennt zudem die Telefonnummern der beiden neuen Kolleginnen. Nachdem Herr Y diese noch einmal wiederholt hat, bedankt er sich und wünscht Herrn A. ein schönes Wochenende.
Nächster Montagmorgen. Eine Menge Arbeit steht in der neuen Woche an. Frau X, die neue Mitarbeiterin in der Finanzabteilung, kommt gerade zur Bürotür herein, als das Telefon schrillt. Aus dem Apparat tönt eine freundliche Männerstimme: “Hallo, hier ist Herr Y vom Servicedesk. Wir hatten am Wochenende eine IT-Störung und ich möchte mich, bevor alle mit der Arbeit beginnen, erkundigen, ob die Störung auch bei Ihnen behoben ist. Haben Sie heute Morgen Netzwerkstörungen bemerkt?”
Frau X kann diese Frage nicht beantworten, da sie ihren PC noch nicht gestartet hat. Herr Y wartet geduldig, bis dies geschehen ist. Danach möchte er mit Frau X einige Tests durchführen, um sicherzustellen, dass sie störungsfrei arbeiten kann. Frau X ist hocherfreut angesichts dieses proaktiven Kümmerns, das sie so von den IT-Abteilungen ihrer vorherigen Arbeitgeber nicht kennt, und wartet auf die Testanweisungen durch Herrn Y.
Dieser bittet Frau X, ihre Benutzerkennung, die er für das Testprotokoll aufschreiben will, im Anmeldedialog für das Netzwerk einzugeben, danach folgt ihr Passwort. “Bitte nennen Sie mir Ihr Passwort nicht. Sie sollten Ihr Passwort niemals am Telefon nennen, auch nicht Mitarbeitern des Servicedesk”, betont Herr Y fürsorglich. Frau X tippt also ihr Passwort, ohne die Eingabe Herrn Y mitzuteilen, und ist sogleich am PC und damit im Netzwerk angemeldet.
Nun soll sie zwei Anwendungen, die sie regelmäßig nutzt, starten. Herr Y zeigt sich zufrieden, als dies erfolgreich gelingt. Frau X ist ebenso erleichtert, dass alles funktioniert.
Zum Abschluss berichtet Herr Y noch vom Update eines Programmes, mit dem jeder Nutzer sehr komfortabel sein eigenes Passwort ändern könne. Er bittet Frau X, mit ihm dieses Update noch kurz zu testen. Die Angestellte willigt sofort ein, ist sie doch sehr dankbar, dass Herr Y sich so rege gekümmert hat, damit sie heute störungsfrei arbeiten kann.
Herr Y bittet Frau X, die Windows-Standardfunktion zum Passwortwechsel auszuführen und das Passwort testweise auf “Passwort123″ zu setzen. Dieses Passwort soll sie bitte auch bestätigen und sich dann kurz vom PC abmelden.
Herr Y benötigt einige Minuten, um festzustellen, dass das Update des Passwortwechsel-Programmes zuverlässig funktioniert. Danach bittet er Frau X, sich mit dem “Passwort123″ wieder anzumelden. Auch dies funktioniert einwandfrei. Abschließend soll sie das Passwort noch ein letztes Mal wechseln. Herr Y rät Frau X, auf jeden Fall ein sicheres Passwort zu nutzen, d. h. keine Begriffe zu wählen, die im Wörterbuch stehen, sowie unbedingt Buchstaben und Zahlen und auch mindestens ein Sonderzeichen einzufügen. Frau X realisiert, dass ihr altes Passwort diesen Anforderungen nicht gerecht geworden ist, und denkt sich ein neues, sicheres Passwort aus. Sie ist sehr froh über den Hinweis dieses netten Kollegen zur Passwortgestaltung.
Herr Y bedankt sich für die Unterstützung beim Programmupdate-Test. Frau X bedankt sich ihrerseits für Herrn Ys Einsatz und ist sehr froh, nun mit einem guten Gefühl in die neue Woche starten zu können.
Alle beschriebenen Aktionen erscheinen auf den ersten Blick recht harmlos, doch es lohnt sich, einen Blick hinter die Kulissen zu werfen:
Die Bemühungen des Herrn Y um die proaktive Feststellung von PC-Problemen beeindrucken Frau X, die solches Handeln aus anderen IT-Organisationen nicht kennt. – Wie oft kommt es vor, dass man am PC noch schnell etwas zu Ende bringen möchte und dieser streikt? Es dauert dann ewig, bis das Problem durch die IT gelöst wird. – Sehr gern ist Frau X deshalb dem Kollegen bei seinem kleinen Test behilflich.
Natürlich geht es Herrn Y nicht um den Test eines fiktiven Passwortwechsel-Programmes, sondern er hat es auf den kleinen zeitlichen Zwischenraum abgesehen, in dem Frau X darauf wartet, sich erneut anmelden zu können, um das testweise gesetzte Passwort wieder durch ein sicheres ersetzen zu können. Während dieser Wartezeit kann sich Herr Y mit der Benutzerkennung von Frau X sowie mit “Passwort123″ im Firmennetzwerk anmelden und auf einem der Finanzserver, auf dem Frau X weitreichende Zugriffsrechte besitzt, ein kleines Schadprogramm installieren, das ihm ab sofort ungehinderten Zugang zu den Systemen der Firma von Frau X gewährt.
Frau X schöpft keinen Verdacht, da sie unmittelbar erlebt hat, wie rege sich Herr Y kümmert (er ruft proaktiv an, um zu prüfen, ob bei ihr eine IT-Störung besteht) und wie sehr er auf IT-Sicherheit bedacht ist („Verraten Sie niemandem Ihr Passwort. Nutzen Sie ein sicheres Passwort.“).
Wenn das von Herrn Y installierte Schadprogramm überhaupt jemals entdeckt wird, dann wird mit hoher Wahrscheinlichkeit nicht geklärt werden können, wie es auf dem Server installiert werden konnte.
Vermutlich wollen Sie nun nicht mehr ausschließen, dass dies ebenso in Ihrer Firma passieren kann.
Vorbeugen kann man hier nur durch Aufklärung, damit die auch in Ihrer Organisation in vielen Zusammenhängen sehr zuvorkommend auftretenden Mitarbeiter nicht unabsichtlich zu IT-Schwachstellen mutieren. Organisieren Sie IT-Sicherheitsseminare und lockern Sie diese mit ebenjenen Geschichten auf, von denen die meisten Menschen meinen, so etwas könne ihnen nie passieren. Basis der IT-Sicherheit im hiesigen Beispiel ist unter anderem ein Authentifizierungssystem für den Servicedesk.