Machen Sie diesen Beitrag deshalb zur Pflichtlektüre für Ihre Belegschaft!

Unternehmen jeder Größenordnung stehen weiterhin verstärkt im Fadenkreuz von Internetkriminellen. Informationssicherheit bleibt somit ein zentrales Thema im Arbeitsalltag. Sichere Infrastrukturen und auf dem neuesten Stand gehaltene Software bilden dabei die erste Verteidigungslinie. Bedauerlicherweise laden jedoch grob fahrlässige Lücken im technischen Schutzwall Hacker auch im Jahre 2019 immer noch dazu ein, ohne viel Aufwand großes Unheil anzurichten. Datenverlust und Datenkompromittierung haben oft schwerwiegende Imageschäden zur Folge und ziehen nicht selten sogar rechtliche Konsequenzen nach sich. Diese offenen Scheunentore hard- und softwareseitig zu schließen, liegt natürlich in der Verantwortung von unternehmenseigenen IT-Abteilungen und fachkundigen Dienstleistern. Eine weitaus größere Gefahr, die vom ITler nur schwer zu kontrollieren ist, lauert hingegen in der eigenen Mitte. Viele Fachleute sind sich einig: Mitarbeiter sind das IT-Sicherheitsrisiko Nummer Eins, denn wenn Arbeitnehmer nachlässig mit Daten, Programmen und Rechnern umgehen, nützen selbst ausgeklügelte technische Schutzmaßnahmen wenig.

Ist der Mensch das schwächste Glied in der Kette der Informationssicherheit?

Sind Sie sich eigentlich bewusst, welch tragende Rolle Ihnen im Rahmen der Informationssicherheit zukommt? Genau, Sie meine ich. Den Mitarbeiter aus dem Einkauf, dem Vertrieb, der Buchhaltung. Nicht nur der Techniker ist gefragt, wenn es um das Thema Sicherheit in der IT geht. Jeder trägt dazu bei, Unternehmen im Zeitalter der Digitalisierung vor gravierenden Schäden zu schützen. Dieses Verständnis in den Köpfen der Menschen zu verankern lautet der Auftrag, den wir uns bei iwm auf die Fahnen geschrieben haben; denn viel zu selten spiegelt sich diese Ansicht in den Handlungen der Mitarbeiter wider.

Die Frage, die diesem Absatz als Überschrift voransteht, müssen wir also grundsätzlich mit „ja“ beantworten. Doch verstehen Sie mich nicht falsch. Nichts liegt mir ferner, als die Intelligenz des Menschen insgesamt in Frage zu stellen. Vielmehr möchte ich einen Denkanstoß liefern; Sie dazu bewegen, über den Tellerrand hinauszuschauen und sich die Konsequenzen vor Augen zu halten, die Fahrlässigkeit im Umgang mit Informationssicherheit haben kann. Denn dann sieht die Antwort auf die Frage nach dem schwächsten Glied in der Kette schon ganz anders aus. Das Problem ist nämlich nicht, dass der Mensch zu beschränkt wäre, sich angemessen zu schützen. Er tendiert einfach dazu, in hektischen Stresssituationen und überhaupt den Weg des geringsten Widerstands zu gehen und mitunter naiv zu agieren. Das ist nur menschlich, keine Frage. In Bezug auf Sicherheit in der IT ist hierdurch allerdings Gefahr im Verzug. Schreiben Sie sich also hinter die Ohren: Better safe than sorry – auch wenn es mehr Zeit und Gehirnschmalz kostet.

Genau, Sie meine ich. Den Mitarbeiter aus dem Einkauf, dem Vertrieb, der Buchhaltung.

Das Risiko verringern, Informationssicherheit erhöhen

Unternehmen sind in der Bringschuld dafür, im Rahmen der Informationssicherheit passende Rahmenbedingungen zu schaffen, zu denen neben den technischen Schutzmaßnahmen auch verbindliche Richtlinien in Form von klaren Sicherheitskonzepten, Regeln und Verfahrensanweisungen für alle Mitarbeiter gehören. Gibt es diese Vorgaben Ihres Wissens nicht, bestehen zwei Möglichkeiten. Entweder sie existieren sehr wohl, ohne dass Sie davon Kenntnis haben, oder es gibt sie tatsächlich nicht. Doch selbst wenn der letztere Fall zutrifft, sind Sie nicht aus dem Schneider. Unwissenheit schützt vor Strafe nicht, heißt es in der Rechtsprechung. Genauso verhält es sich streng genommen auch hier. Von Unwissenheit kann aber nicht mehr die Rede sein, wenn Sie jetzt weiterlesen. Befolgen Sie die nachstehenden Ratschläge, können Sie besten Gewissens behaupten, pflichtbewusst gehandelt zu haben.

Bedrohungsszenario 1: Passwortdiebstahl vorbeugen

Sie haben es bestimmt mitbekommen. In den letzten Monaten sind erneut millionenfach Passwörter gestohlen und im Internet veröffentlicht worden. Die Skandale gingen lang und breit durch die Presse; der daraus entstandene Schaden ist immens. Die technischen Möglichkeiten der Hacker, Passwörter abzugreifen, sind dabei unbegrenzt, ihre kriminelle Energie gigantisch und Abnehmer für die gestohlenen Daten gibt es sowieso genau. Daraus resultierend entbrennt ein regelrechtes Katz-und-Maus-Spiel zwischen Sicherheitsunternehmen und Cyberkriminellen. Experten kämpfen gegen Computerfreaks. Was aber haben Sie damit zu tun?

Sie haben es in der Hand, es den Hackern so schwer wie möglich zu machen. Wie? Indem Sie aktuelle Passwortrichtlinien für maximale Informationssicherheit beachten. Viele Mitarbeiter nutzen nach wie vor unzureichende Passwörter wie „123456“, das eigene Geburtsdatum, den Namen des Ehepartners oder den des geliebten Haustiers. Diese einfachen Passwörter kann man sich zwar leicht merken, sie sind jedoch so sicher wie eine offenstehende Haustür. Bedenken Sie, dass heutzutage viele Daten über Sie ganz einfach den Sozialen Medien zu entnehmen sind. Zahlenkombinationen können zudem innerhalb von Sekunden durch Brute-Force-Angriffe ermittelt werden. Auch einfache Wörter und Wortkombinationen sind leicht zu durchschauen.

Passwortsicherheit ist ein wichtiger Bestandteil der Informationssicherheit.

Brute Force-Methode

Bei dieser Methode werden durch einen leistungsstarken PC automatisiert alle möglichen Zeichenkombinationen ausprobiert. Möglich ist eine Abfragerate von bis zu mehreren Millionen Passwortmöglichkeiten pro Sekunde. Entsprechend ist eine solche Vorgehensweise schnell erfolgreich.

Wörterbuch-Methode

Bei der Wörterbuch-Methode werden umfangreiche Wörterbücher mit typischen Wörtern oder Wortkombinationen aller Sprachen nacheinander getestet. Auch hier führt eine hohe Abfragerate zu schnellem Erfolg.

Aber, wie sieht ein gutes Passwort für gezielte Informationssicherheit aus?

  • Ein sicheres Passwort hat mindestens 8, besser noch 10 bis 15 Zeichen.
  • Es enthält Buchstaben und Ziffern, jedoch keine Umlaute.
  • Es enthält Groß- und Kleinbuchstaben sowie Sonderzeichen.
  • Es enthält keine personenbezogenen Daten.
  • Es ist in keinem deutsch- oder fremdsprachigen Wörterbuch enthalten.
  • Es wird regelmäßig geändert.
  • Es wird nicht mehrfach verwendet.

Verzichten Sie zudem auf eine Eingabe im Internet, wenn Sie die Sicherheitseinstellungen des Rechners nicht kontrollieren können, zum Beispiel in einem Internet-Café. Steuern Sie überdies Webseiten vor der Eingabe des Passworts direkt an, nicht über Links in E-Mails.

Selbst eigentlich sichere, nach den gültigen Richtlinien erstellte Passwörter werden oft fahrlässig behandelt, etwa indem sie auf einem Notizzettel unter der Tastatur versteckt oder über die Schulter abgeschaut werden. Behalten Sie Ihr Passwort im Kopf und geben Sie es nicht an Dritte weiter. Ist ein Passwort zu komplex, um es zu behalten, nutzen Sie einen Passwortsafe. Dabei handelt es sich um ein Kennwortverwaltungsprogramm, welches Sie bei der Erstellung von Passwörtern unterstützt und sie sicher zur Verfügung stellt. Alternativ können Sie die Akronymmethode anwenden, bei der Sie sich einen Satz merken und die Kombination der ersten Buchstaben der Wörter als Passwort nutzen. Aus „Jeden Abend gehe ich um zehn Uhr ins Bett, damit ich um sieben wieder topfit bin“ würde in diesem Sinne „JAgium10UiBdiu7wtb“. Achten Sie zudem darauf, dass Sie Passwörter immer verdeckt eingeben.

Bedrohungsszenario 2: Virenbefall verhindern

Täglich kommen hunderttausende neue Schadprogramme in Umlauf, die nicht immer sofort von Virenschutzprogrammen erkannt werden und somit die Informationssicherheit gefährden. Hersteller von Antivirenprogrammen liefern sich wie bereits erwähnt einen stetigen Wettlauf mit den Virenprogrammierern. Infizierungen führen zum Ausfall von Systemen, dem Verlust oder dem Diebstahl von Daten. Viren verbreiten sich gezielt über infizierte Webseiten und via Spam-E-Mails. Betroffen sind nicht nur PCs und Notebooks, sondern gerne auch Tablets und Smartphones.

Dass Sie vom Firmenrechner aus keine unseriösen Pornoseiten ansteuern sollten, brauche Ihnen nicht erst erklären. Es versteht sich von selbst. Der Vollständigkeit halber, tue ich es trotzdem. Solche Seiten verteilen neben Schmuddelfilmen auch gerne Trojaner und andere Schadsoftware. Seien Sie jedoch auch bei E-Mails vorsichtig, vor allem wenn sie nichts mit Ihren beruflichen Tätigkeiten zu tun haben, einen Ihnen unbekannten Absender vorweisen oder in schlechtem Deutsch oder Englisch verfasst sind. Sie können sich sicher sein, dass der nigerianische Prinz, der Ihnen freundlicherweise Geld überweisen möchte, nicht existiert. Auch Flirts führen Sie besser ganz offiziell über Paarship. Öffnen Sie zudem in Spam-Mails niemals den Dateianhang oder eingebetteten Link. Ein Klick reicht aus, um die Malware im Hintergrund herunterzuladen, ohne dass Sie etwas davon mitbekommen.

Seriös oder nicht, das ist immer die Frage

Doch auch auf den ersten Blick seriöse E-Mails können sich als Spam herausstellen. Vermehrt gaukeln Phishing-Mails eine verlässliche Herkunft vor, indem sie den Namen und das bekannte Design von vertrauten Unternehmen wie z.B. der Telekom nutzen. Links führen Sie in der Regel zu täuschend echt nachgebauten Webseiten. Geben Sie hier Passwörter oder Kontonummern ein, sind diese kompromittiert.

Nicht selten nehmen Internetkriminelle im Vorfeld einer Phishing-Attacke erheblichen Rechercheaufwand in Kauf. Es ist schon häufig vorgekommen, dass eine Phishing-Mail nicht vom Anwalt eines verstorbenen Milliardärs stammt, dessen Erbe ausgerechnet an Sie gehen soll, sondern niemand anderen als den eigenen Chef als Absender ausweist. Achten Sie deshalb auch auf Details, besonders wenn der Inhalt der E-Mail für Ihren Arbeitgeber untypisch ist. Während in derartigen Mails der Name des Vorgesetzten zwar stimmt, erweist sich die Absenderadresse immer als falsch. Hier kann es sein, dass die Adresse sich an der richtigen Mailadresse orientiert. Aus t.mustermann@musterfirma.de wird dann t.mustermann@mustefirma.de, wobei das fehlende „r“ in diesem Beispiel kein Rechtschreibfehler meinerseits darstellt, sondern vielmehr beabsichtigt ist, da man ihn leicht übersehen kann. Hat man Glück, weicht die Adresse vom Original ab. In unserem Beispiel etwa wäre eine E-Mail mit der Absenderadresse dusel@home.ru ganz leicht als Fake zu identifizieren.

Risikofaktor Speichermedien

Eine weitere Art und Weise, sich hartnäckige Schadprogramme einzufangen, ist die unvorsichtige Verwendung von USB-Sticks oder CDs. Vor allem Datenträger, deren Herkunft Sie nicht nachvollziehen können, dürfen niemals in Kontakt mit Firmenhardware kommen. Folgende Geschichte ist wahr, nur die Namen wurden geändert: Eine Hackergruppe hatte sich vorgenommen, ein bestimmtes Unternehmen ins Visier zu nehmen. Dafür präparierten Sie einen USB-Stick mit Malware, schrieben mit einem Filzstift „Privat“ darauf und platzierten ihn auf dem Mitarbeiterparkplatz. Frau Müller fand das gute Stück und, Sie ahnen was passierte, steckte ihn an Ihrem Arbeitsplatz angekommen getrieben von unendlicher Neugier umgehend in den USB-Port Ihres PCs. Die Schadsoftware installierte sich im Firmennetzwerk und los ging die wilde Fahrt. Es dauerte also keine halbe Stunde bis das Vorhaben der Kriminellen glückte. Klingt wie die Story eines Hollywood-Thrillers, ist aber leider Realität.

Bedrohungsszenario 3: E-Mails schützen, Informationssicherheit garantieren

Seien Sie sich bewusst, dass die Vertraulichkeit einer E-Mail mit der Offenheit einer Postkarte zu vergleichen ist. Jede unverschlüsselte E-Mail kann eingesehen, kopiert, manipuliert oder gar verloren gehen. Digitale Signaturen und das Verschlüsseln vertraulicher Inhalte können Ihre E-Mail-Kommunikation schützen, indem sie die Echtheit des Absenders bestätigen, die Integrität des Inhalts gewährleisten und Veränderungen auf dem Weg zum Empfänger aufzeigen.

Verhaltensregeln:

  • Signieren Sie Ihre E-Mails.
  • Verschlüsseln Sie alle E-Mails mit vertraulichem Inhalt.
  • Antworten Sie niemals auf Spam-Mails.
  • Öffnen Sie niemals in Spam-Mails enthaltene Links oder Dateianhänge.
  • Nutzen Sie Ihre Firmen-E-Mail ausschließlich dienstlich.
Seien Sie sich bewusst, dass die Vertraulichkeit einer E-Mail mit der Offenheit einer Postkarte zu vergleichen ist.

Bedrohungsszenario 4: Software nicht wahllos installieren

Jede aus zweifelhaften Quellen heruntergeladene Software erhöht das Risiko aus Sicht der Informationssicherheit. Installieren Sie keine Software, ohne vorher Rücksprache mit dem Netzwerkadministrator oder einer Führungskraft gehalten zu haben. Installieren Sie insbesondere keine private Software an Ihrem Arbeitsplatz.

Neben dem Sicherheitsrisiko in Bezug auf Schadsoftware, die sich in einem installierten Programm verbergen kann, sind auch fehlende Lizenzen ein Problem. Bei einem Verstoß gegen die Lizenzbedingungen muss Ihre Firma haften und für finanzielle Schäden aufkommen.

Bedrohungsszenario 5: Social Engineering-Attacken erkennen und abwehren

Social Engineering? Was ist das nun wieder? Im privaten Bereich kennt man das Konzept schon seit einiger Zeit: Ahnungslose Opfer – gerne ältere Menschen, für die schon einfache Arbeiten am Rechner der Raketenwissenschaft gleichkommen – werden von einem vermeintlichen Microsoft- oder Telekom-Mitarbeiter angerufen, und dazu gebracht, Einstellungen am Computer oder Router vorzunehmen, um angebliche Sicherheitslücken zu schließen. Tatsächlich ermöglichen die Veränderungen am Setup dem Anrufer jedoch, Zugriff auf das nun ungeschützte System zu erlangen.

Der Schlüssel zum Erfolg liegt hier für die Kriminellen in der Leichtgläubigkeit und Naivität der Menschen. Kommen doch Rückfragen oder Zweifel an der Richtigkeit der Aktion, glänzen die Hacker mit Insiderwissen oder sie setzen das Opfer unter Druck, dem es nicht lange standhalten kann. Der Fachmann spricht eben von Social Engineering, einem Begriff aus der Sozialwissenschaft, welcher die soziale Manipulation von Menschen beschreibt, die dazu dient, vertrauliche Informationen zu erlangen bzw. das Opfer zu bestimmten Handlungen zu bewegen.

Social Engineering goes pro

Diese plumpe Form der zwischenmenschlichen Beeinflussung hält nun professionell weiterentwickelt vermehrt Einzug in die Wirtschaft. Der Versuch, etwa als Systemadministrator getarnt firmeninterne Informationen, vor allem Passwörter zu entlocken, ist dabei in der Regel sehr gut vorbereitet. Nicht selten kennen die Betrüger viele Einzelheiten über Sie, Ihre Kollegen, Vorgesetzten und das Unternehmen. Die Betrüger verwirren Ihre Opfer gerne mit Fachjargon und fischen mit Smalltalk über Mitarbeiter des wirklichen Systemdienstleisters nach Sympathie.

Lassen Sie sich nicht hereinlegen, auch wenn das Ihnen unbekannte Gegenüber gut informiert ist oder gar damit droht, Ihren Vorgesetzten zu kontaktieren, sollten Sie nicht bereit sein, die vertraulichen Daten herauszugeben. Hinterfragen Sie jedes Telefonat und jede E-Mail, die Ihnen spanisch vorkommen. Wenn jemand, den Sie nicht kennen, heikle Daten abfragt, müssen bei Ihnen sofort alle Warnlampen im Kopf angehen. Bleiben Sie auch in Stresssituation cool, lassen Sie sich nicht einschüchtern, fallen Sie nicht auf Komplimente oder Drohungen herein und halten Sie jederzeit interne Zuständigkeiten ein. Privat geben Sie ja auch nicht einfach Ihren Haustürschlüssel an jede x-beliebigen Person weiter, wenden Sie diese Vorsicht auch beruflich an.

Jede aus zweifelhaften Quellen heruntergeladene Software erhöht das Sicherheitsrisiko.
Diese plumpe Form der zwischenmenschlichen Beeinflussung hält nun professionell weiterentwickelt vermehrt Einzug in die Wirtschaft.

Zu diesem Thema empfehlen wir zudem das Webinar „Cyber Security Awareness für Anwender“ des „Unified Threat Management“-Spezialisten Securepoint. Beleuchtet werden dort die Psychologie der Angreifer, gängige Angriffsmethoden, Grundlagen der IT-Security sowie die DS-GVO Datenschutzvorschrift.

Termin: Mittwoch, 20. November 2019, 9:00 – 10:30 Uhr
Preis: 49 € (die Abrechnung erfolgt über iwm)

Bei Rückfragen zum Themenfeld Security oder unserem Leistungsportfolio stehen Ihnen unsere ausgewiesenen Experten jederzeit mit Rat und Tat zur Seite. Sprechen Sie uns einfach über das Kontaktformular auf dieser Seite, per E-Mail oder Telefon an!