Springe zum Hauptinhalt

2011-10: Aus der Schublade in die Köpfe

Um mehr Ar­beit zu schaf­fen, neh­men Mit­a­r­bei­ter Da­tei­en auf US­B-­Stick mit nach Hau­se oder schi­cken sie sich per E-­mail. Um schnell und un­kom­pli­ziert mit Kol­le­gen zu kom­mu­ni­zie­ren, nut­zen sie im Un­ter­neh­men Skype. Auf Fa­ce­book er­zäh­len sie be­geis­tert von "ih­rer Fir­ma". Sie nut­zen nach Lust und Lau­ne ih­re Lieb­lings­Ap­ps, um ihr Ar­beit­s­um­feld be­que­mer oder auch span­nen­der zu ge­stal­ten. Für je­den Se­cu­ri­ty­-­Ex­per­ten ein grau­en­vol­les Sze­na­rio, denn al­le die­se Ak­ti­o­nen bie­ten wun­der­ba­re An­sät­ze für So­ci­al En­gi­nee­ring­-­At­ta­cken.

Wie sehr der Mensch im Mit­tel­punkt un­se­rer Se­cu­ri­ty­-­Be­mü­hun­gen ste­hen muss, zeigt die neue Stu­die "The Risk of So­ci­al En­gi­nee­ring on In­for­ma­ti­on Se­cu­ri­ty" von Di­men­si­o­nal Resa­r­ch: 64 Pro­zent der in Deut­sch­land be­frag­ten Un­ter­neh­men wur­den be­reits Op­fer so ge­nann­ter So­ci­al En­gi­nee­ring­-­At­ta­cken. 46 Pro­zent wa­ren in den ver­gan­ge­nen bei­den Jah­ren von 25 oder mehr sol­cher An­grif­fe be­trof­fen mit Fol­ge­kos­ten pro Vor­fall von über 25.000 Dol­lar so­wie Da­ten- und Re­pu­ta­ti­ons­ver­lust.

Eigentlich ist alles in der Security-Policy geregelt ...

Für Da­ten­schutz­be­auf­trag­te, Chief In­for­ma­ti­on Se­cu­ri­ty Of­fi­cer und IT­-­A­mi­nis­tra­to­ren ist das nichts Neu­es. Sie ha­ben al­le Sze­na­ri­os auch in ih­ren Po­li­cies akri­bisch ab­ge­bil­det und Vor­sor­ge ge­trof­fen, doch die Re­a­li­tät zeig­t: Ge­ra­de en­ga­gier­te Kol­le­gen, fin­den We­ge, die tech­ni­schen Maß­nah­men zu um­ge­hen oder sie igno­rie­ren sie ganz ein­fach. „Kann Du mir das schnell auf dei­nen Stick ko­pie­ren, ich darf das ja nicht.“ Geht die Mail mit dem 10­-M­B­-­An­hang nicht raus, wird sie eben über den Pri­vat­-­Ac­count ver­schick­t.

Die Her­aus­for­de­rung ist al­so: Wie kriegt man die Vor­schrif­ten, Re­geln und Pro­zes­se aus der Schub­la­de des CI­SO in die Köp­fe der Mit­a­r­bei­ter?

Einen pfif­fi­gen und durch­aus viel­ver­spre­chen­den An­satz ha­ben Un­ter­neh­men wie Check­point oder die deut­sche it­Watch vor­ge­stell­t. Ak­ti­o­nen (wie Zu­grif­fe auf Ap­pli­ka­ti­o­nen, aber auch Ko­pie­ren von Da­ten auf USB et­c.) sind ab so­fort nicht ein­fach er­laubt oder ver­bo­ten. Ein rech­te­ba­sier­tes Di­a­log­sys­tem weist dar­auf hin, wenn der Mit­a­r­bei­ter et­was tun will, das er nicht darf oder soll. Wenn er bei­spiels­wei­se ein Do­ku­ment, das als "ver­trau­lich" mar­kiert ist, an einen Adres­sa­ten au­ßer­halb der Fir­ma sen­den will, er­scheint ein Hin­weis: "Du schickst gra­de ein ver­trau­li­ches Do­ku­ment nach drau­ßen. Bist du si­cher, dass du das tun willst?". Es läßt sich auch re­geln, dass der Mit­a­r­bei­ter nicht nur „Ja, ich will“ ankli­cken dar­f, son­dern ei­ne kur­ze Be­grün­dung ein­ge­ben muss.

Wer­tet man das Log­ging die­ser Ak­ti­o­nen aus, er­ge­ben sich über­dies wich­ti­ge Er­kennt­nis­se über das Ver­hal­ten ein­zel­ner Mit­a­r­bei­ter: Wer al­so stän­dig mit den glei­chen Aus­nah­men und Re­gel­ver­stö­ßen auf­fäll­t, den kann der Se­cur­tiy­-­Be­auf­trag­te noch­mals ge­zielt dar­auf an­spre­chen und auf die Ri­si­ken hin­wei­sen. Wie im­mer bei sol­chen Aus­wer­tun­gen ist da­für die Zu­stim­mung des Be­triebs­ra­tes nö­tig.

Dialog mit dem Mitarbeiter

Da­mit kön­nen Mit­a­r­bei­ter künf­tig ak­ti­ver in die Se­cu­ri­ty­-­Pro­zes­se ein­ge­bun­den wer­den. Sie kön­nen Si­tua­ti­o­nen, die ge­fähr­lich sein kön­nen, er­ken­nen, ein­schät­zen und selbst und so­fort ver­mei­den. Der Weg führt al­so weg von strik­ten Ver­bo­ten, die sie nicht ein­se­hen kön­nen, weg von der An­samm­lung an Tech­no­lo­gien, die die Kol­le­gen nicht ver­ste­hen, hin zu Pro­zes­sen, die nach­voll­zieh­bar sin­d. Im bes­ten Fall emp­fin­det sie der Mit­a­r­bei­ter auch noch po­si­ti­v, wenn er da­mit bei­spiels­wei­se be­wusst ein Ri­si­ko ver­mei­den kann der sich ei­ne Bla­ma­ge er­spar­t. Ein sol­ches Ver­fah­ren wirkt da­mit gleich­zei­tig wie ei­ne im­mer­wäh­ren­de Awa­ren­ess­-­Maß­nah­me.

Zum Zwei­ten wer­den die Mit­a­r­bei­ter da­bei un­ter­stütz­t, die Po­li­cy ein­zu­hal­ten, oh­ne gro­ßen Auf­wand zu ver­lan­gen. Wenn der An­wen­der sei­ne Da­ten beim Ko­pie­ren auf den US­B-­Stick mit ei­nem ex­tra Pro­gramm ver­schlüs­seln muss, wird es ihm oft ge­nug zu um­ständ­lich sein und der wird es un­ter­las­sen. Wenn die Da­ten beim Ko­pie­ren au­to­ma­tisch ver­schlüs­selt wer­den, dann ist si­cher­lich nie­mand bö­se dar­über.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de