Seit Juli 2015 ist das IT-Sicherheitsgesetz in Kraft, ein Gesetz zur „Erhöhung der Sicherheit informationstechnischer Systeme“. Übergeordnetes Ziel ist der Schutz der Bürger sowie die Sicherheit von Unternehmen im Internet. Schaut man sich das neue Gesetz an, so birgt es einige besonders interessante Punkte.
Schlagwort: Informationssicherheit
Verknappung eines Gutes spielt Computergaunern in die Karten
Menschen sind zu Handlungen, für die sie im Allgemeinen keine Motivation zeigen, oft dennoch zu bewegen, wenn sich ihnen die besondere Gelegenheit bietet, ein knappes Gut zu erwerben.
Viele Menschen wollen sich die Chance nicht entgehen lassen, als einer der ersten 500 neu registrierten Benutzer einer Website ein iPad zu gewinnen.
Sicherheitslücke durch Drang nach sozialer Bestätigung
Wird jemand um einen Gefallen gebeten mit dem Hinweis, dass andere Menschen bereits mitmachen, wirkt diese Information wie ein Katalysator für eine Zustimmung. Menschen orientieren sich stark an ihrem sozialen Umfeld und neigen oft zum Mitmachen allein aufgrund der Tatsache, dass andere schon beteiligt sind.
Mit dem Hinweis, dass bereits eine Anzahl von Kollegen beim Test einer neuen Software mitarbeitet, kann die Installation einer Schadsoftware gelingen, ohne dass der Angreifer selbst einen Tastendruck ausführen müsste.
Konsequenz unter allen Umständen ermöglicht Cyberattacken
Sich vor anderen zu etwas zu bekennen führt bei den meisten Menschen dazu, dass sie bestrebt sind, künftig im Einklang mit ihrer Aussage zu handeln. Selbst wenn sich herausstellt, dass dies keine gute Idee ist, halten Menschen an ihrem Standpunkt fest, um gegenüber Dritten nicht als unzuverlässig, sprunghaft und mithin als inkonsequent zu erscheinen.
Das Bestreben, sich zu revanchieren, gefährdet die IT-Sicherheit
Menschen, die bereits etwas für sie Wertvolles erhalten haben, sind häufiger bereit, dem Geber auch ihrerseits einen Gefallen zu tun. Das Bestreben, einen Ausgleich für das Erhaltene zu schaffen, ist oft derart stark, dass sogar grundlegende Sicherheitsvorkehrungen außer Acht gelassen werden.
Gefälligkeit aus Sympathie öffnet Cyberkriminellen Tür und Tor
Wenn Menschen andere Menschen sympathisch finden, sind sie häufig bereit, auch einmal unbürokratisch zu helfen – selbst unter Umgehung eines etablierten Sicherheitsmechanismus.
So stellt die Dame vom Empfang dem ungewöhnlich freundlichen neuen Kollegen aus der Zweigniederlassung ganz unbürokratisch einen freien Besprechungsraum zur Verfügung, in dem er in Ruhe seine E-Mails checken kann. Der vermeintliche Kollege nutzt dann auch gleich die Möglichkeit, sich mit dem firmeninternen Netzwerk zu verbinden und sich darin ein wenig umzusehen.
Autoritätshörigkeit wird zum Sicherheitsrisiko
Menschen neigen dazu, Anweisungen ohne Nachfrage zu befolgen oder Wünsche zu erfüllen, wenn diese direkt durch eine Autoritätsperson oder indirekt in deren Auftrag geäußert werden. Sie vermeiden es tendenziell, durch Nachfrage oder Diskussion die Autorität einer vorgesetzten Person in Frage zu stellen und sich damit den Ärger dieser Person zuzuziehen.
Vor diesem Hintergrund sendet ein Mitarbeiter auch an eine unbekannte E-Mail-Adresse vertrauliche Dokumente, um die ein Anrufer, der vorgeblich für den Geschäftsführer arbeitet, gebeten hat.
Angreifer nutzen soziale Eigenschaften des Menschen
Wie in diesem Blog bereits thematisiert, dringen erfolgreiche Hacker heutzutage kaum noch über technische Einrichtungen in IT-Systeme ein. Wieso sollten sie mühevoll eine Firewall überwinden, wenn sie mit ein wenig Empathie die Menschen hinter dieser Firewall dazu bewegen können, das Tor ins Netzwerk ganz freiwillig weit zu öffnen?
Wie aber gelingt es immer wieder, selbst Mitarbeiter, die eine IT-Sicherheitsschulung genossen haben, zu Handlungen zu animieren, die die Informationssicherheit in hohem Maße bedrohen?
Zuvorkommende Schwachstellen in der IT-Sicherheit
IT-Sicherheit assoziiert die Mehrheit der Computernutzer mit sorgsam errichteten Firewalls, Rechenzentren im Hochsicherheitstrakt, Richtlinien für hochkomplexe Passworte und kaum zu durchdringenden Prozessen zur Vergabe von Benutzerrechten.
Derlei technische Hürden zu überwinden gestaltet sich für moderne Computergauner immer komplexer. Entsprechende Kopfstände müssen diese zu ihrem Glück aber gar nicht vollführen, denn sie können sich immer wieder auf die zuvorkommenden Schwachstellen zum Beispiel in Gestalt der Mitarbeiter am Empfang oder auch neuer und mit der Organisation noch nicht vertrauter Mitarbeiter verlassen, welche die bösen Buben tatkräftig dabei unterstützen, Informationen über die IT-Infrastruktur zu sammeln oder auch direkt Zugang zum Netzwerk zu bekommen. Das Liefern von Passwörtern ist oft eine Serviceleistung, die inklusive ist.
Sind Sie sicher, dass nicht auch in Ihrem Unternehmen menschliche Schwachstellen aktiv sind, die jeden Tag nicht nur gegenüber Ihren Kunden und Geschäftspartnern, sondern auch gegenüber Gaunern, die es auf Ihre Geschäftswerte abgesehen haben, freundlich und zuvorkommend auftreten? Sie meinen, dies sei ausgeschlossen?
Die folgende Schilderung wird Sie zum Nachdenken anregen:
IT-Sicherheit in Deutschland
Jährlich veröffentlicht das BSI (Bundesamt für Sicherheit in der Informationstechnik) einen Bericht zur Lage der IT-Sicherheit in Deutschland.
Zwei der im Bericht für 2014 beschriebenen Sicherheitsvorfälle regen besonders zum Nachdenken an: