Handelsblatt

MenüZurück
Wird geladen.

29.10.2013

14:19 Uhr

IT-Sicherheit

Schwachstelle Mensch

VonChristof Kerkmann

Die Kanzlerin telefoniert und simst unverschlüsselt – und die NSA bekommt alles mit. Datenpannen wie diese lassen sich vermeiden, doch viele Nutzer sind zu bequem. Was gegen das Sicherheitsrisiko Mensch hilft.

dpa

DüsseldorfIm Pentagon, so erzählt man sich unter Sicherheitsexperten, hängt ein Schild in den Toiletten: „Hier ist kein sicherer Konferenzraum“, warnt es die Beamten vor dienstlichen Besprechungen am Pissoir oder Waschbecken. Der Hinweis ist berechtigter, als er zunächst klingt: Im US-Verteidigungsministerium gehen täglich Besucher ein und aus, die Verschlusssachen nichts angehen.

Ein ähnlicher Hinweis hätte vielleicht auch am Handy von Angela Merkel pappen müssen: „Das hier ist kein sicheres Gerät.“ Die Bundeskanzlerin nutzt ein Mobiltelefon der Partei auch für Regierungsgeschäfte. Nennenswerte Verschlüsselungstechnologien beherrscht es nicht. Damit machte die Politikerin es dem US-Geheimdienst NSA leicht, ihr „Herrschaftsinstrument“ („Der Spiegel“), mit dem sie CDU und Kabinett führt, zu überwachen.

Trotz aller Unterschiede haben diese beiden Fälle eines gemeinsam: Behörden, Unternehmen oder Politiker machen es Schnüfflern oft leicht. „Viele Sicherheitsvorfälle werden durch eigene oder externe Mitarbeiter verursacht, die Zugang zu sensiblen Daten haben“, sagt Marc Fliehe, Sicherheitsexperte beim Hightech-Branchenverband Bitkom. Gegen vorsätzlichen Datenklau könne man sich zwar kaum schützen, aber Risiko und Ausmaß zum Beispiel durch eingeschränkte Zugriffsrechte vermindern. Ebenso wichtig: Sie müssen die Nutzer für drohende Gefahren sensibilisieren.

Das Problem beginnt auf der Vorstandsebene. „Oft herrscht die Devise: Warum soll es uns treffen? Wir sind nicht in der Rüstungsbranche“, weiß Christoph Fischer, Chef der Karlsruher Firma BFK edv-consulting. Viele Manager unterschätzten die Wahrscheinlichkeit eines Angriffs. Wenn kriminelle Hacker erst ihr Unwesen treiben, werden sie bei Fischer vorstellig – seine Firma entwickelt Sicherheitskonzepte, leistet aber auch Notfallhilfe.

Schutz gegen Datendiebe

Passwörter gut schützen

Es klingt offensichtlich: Nutzer sollten ihre Passwörter gut schützen. Doch nicht wenige kleben ein Post-it mit Zugangsdaten an den Monitor oder speichern sie gar in einer Datei auf dem Rechner. Beides ist riskant – wenn Eindringlinge ins Büro oder auf den Rechner gelangen, können sie auch auf die E-Mails oder das Content Management System zugreifen.

Erst lesen, dann klicken

Es ist der Klassiker: In der E-Mail wird ein lustiges Katzenbild oder ein sensationelles Video angekündigt. Lädt man den Anhang herunter oder klickt auf den Link, fängt man sich aber einen Virus ein. Daher gilt nach wie vor die Regel, Anhänge und Links kritisch zu prüfen, ebenso Nachrichten von unbekannten Absendern.

Vorsicht mit USB-Sticks

Eine beliebte Angriffsmethode: Hacker lassen präparierte USB-Sticks auf dem Parkplatz oder in der Kantine liegen – und hoffen darauf, dass arglose Mitarbeiter das Gerät an den PC anschließen. Diese Masche funktioniert erschreckend gut. Die Lehre daraus: Nutzer sollten mit unbekannten Speichermedien extrem vorsichtig umgehen.

WLAN nur mit Verschlüsselung

Ob im Café oder am Flughafen: Wer mit seinem Smartphone oder Notebook ein öffentliches WLAN-Netzwerk nutzt, geht ein Risiko ein. Wenn man vertrauliche Daten abrufen will, sollte man das beispielsweise möglichst nur mit einer SSL-Verbindung tun. Weitere Tipps gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Schutz gegen Mitleser

In der Bahn oder im Flugzeug können Mitreisende ohne Probleme einen Blick auf das Notebook oder Smartphone erhaschen – und bekommen so möglicherweise sensible Informationen mit. Sicherheitsexperten raten daher, sich nach sogenannten Schultersurfern umzusehen und im Zweifelsfall die Datei geschlossen zu lassen. Zudem raten sie dringend davon ab, das Gerät auch nur kurz aus dem Auge zu lassen.

Gesunde Skepsis bei Apps

Apps können das Leben leichter machen, aber auch unsicherer: Viele Anwendungen fragen Informationen ab, die die Nutzer vermutlich nicht weitergeben wollen. Gerade Android-Nutzer sollten genau überprüfen, welche Berechtigungen ein Programm einfordert und im Zweifelsfall lieber die Finger davon lassen. Gleiches gilt für PC-Nutzer, die Programme aus dem Nutzer herunterladen und installieren. Besonders illegale Kopien sind häufig verseucht.

Code fürs Smartphone

Es mag zwar vielleicht nerven, wenn man jedes Mal einen Code eingeben muss, bevor man das Smartphone nutzen kann. Doch eine Sperre ist höchst nützlich, wenn das Gerät verloren geht oder gestohlen wird. Viele Firmen schreiben eine solche physische Absicherung vor. Im Büro kann es durchaus sinnvoll sein, den Rechner zu sperren, während man eine Besprechung hat oder in die Mittagspause geht.

Software aktuell halten

Auch dieser Tipp ist bekannt, er wird aber trotzdem oft nicht beherzigt: Nutzer sollten die Software auf ihrem Rechner immer aktuell halten. Das gilt nicht nur für den Virenscanner, sondern auch das Betriebssystem und Anwendungsprogramme wie Browser oder Textverarbeitung. Potentiell können Angreifer viele Lücken ausnutzen, um schädliche Software auf das Gerät zu schleusen.

Die erste Regel für Unternehmen, Behörden und Parteien lautet daher: „Das Management muss den Schutz vertraulicher Informationen als Chefsache begreifen“, sagt Steve Durbin, Vizepräsident der internationalen Sicherheitsorganisation Information Security Forum (ISF). Im besten Fall ist ein Vorstandsmitglied dafür verantwortlich – ob als Chief Information Security Officer oder Chief Risk Officer. Auch bei einem Mittelständler gehöre die Aufgabe in die Geschäftsführung.

Die zweite Regel lautet: Nicht gutgläubig sein. „Das Unternehmen muss zunächst klassifizieren, welche Informationen besonders sensibel sind“, sagt Durbin. Dann wird festgelegt, wer auf welche Daten zugreifen darf. Das gelte auch für Zulieferer und Anwälte, betont Durbin, der bei verschiedenen Technologie-Anbietern im Vorstand saß. Gleichzeitig muss überwacht werden, wer auf welche Daten zugreift. Wenn ein Mitarbeiter plötzlich mehrere Gigabyte herunterlädt, ist das ein Warnzeichen.

Kommentare (19)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Rumor

29.10.2013, 14:47 Uhr

Merkwürdig ist und bleibt, dass Frau Merkel offenbar keine kompetenten Sicherheitsberater hatte und hat, die sie auf die Risiken ihr jahrelangen beim Telefonieren praktizierten Verhaltensweise hingewiesen haben.

Naivität gepaart mit Unbedarftheit bei einer Regierungschefin und ihren engsten Beratern, lässt tief blicken in die allgemein herrschende Mediokrität von großen Teilen der Personenausstattung der Berliner Politik

www_mmnews_de

29.10.2013, 15:10 Uhr

Was ist eigentlich mit dem Bundesnachrichtendiesnt (BND)?

Dem Militärischen Abschirmdiesnst (MAD)?

Dem Verfassungsschutz (BfV)?

Waren sie so dämlich und haben die Abhöraktionen in Deutschland nicht bemerkt?

Unfähigkeit?

Oder arbeiteten sie gar mit der NSA zusammen gegen das deutsche Volk??

esspi

29.10.2013, 15:17 Uhr

was wird denn in anderen Fällen unternommen, um der "Schwachstelle Mensch" adäquat zu entgegnen?

Richtig: Regeln, Normen, Standards und Gesetze.

Wenn ich einen Dienst anbiete, muss dieser auch sicher sein.
Unverschlüsselte Kommunikation anzubieten ist fahrlässig - eine alleinige Absicherung seitens der Nutzer kann nicht erwartet werden.

Würde das Verbraucherschutzministerium nicht die Industrie vor dem Verbraucher schützen, sondern den Verbraucher vor riskanten Produkten, gäbe es auch ein Ministerium in dessen Zuständigkeitsbereich das Projekt "Abhörsicherheit durch Pauschalverschlüsselung" fallen würde.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×