DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Setzen Sie auf die mensch­liche Firewall

menschliche Firewall

Der Mensch baut sie auf – oder macht Löcher in sie hinein. Letztlich ent­scheidet der Nutzer durch sein Ver­halten, wie gut Technik vor Cyber­be­dro­hungen schützen kann.

 

 

Vor kurzem besuchte ich eine IT-Secu­­ri­­ty­­­messe. Durch den NSA-Abhör­­skandal stand bei Vor­trägen und Pro­dukt­in­for­ma­tionen natürlich ein Thema besonders im Fokus. Wie kann ich mein Unter­nehmen am besten vor Cyber­be­dro­hungen schützen? Diese Frage wurde dann aller­dings ziemlich kon­trovers dis­ku­tiert.  Am besten, Sie bilden sich selbst eine Meinung.

Auf der einen Seite befanden sich die tech­no­lo­gie­ver­liebten Sicher­heits­freaks, die es  für unmöglich halten, dass ein Nor­mal­sterb­licher jemals die Sicher­heits­tech­no­logie und die Bedro­hungen die in der Cyberwelt lauern ver­steht. Aus diesem Grund plä­dieren sie hin zu einer tech­no­lo­gi­schen Sicher­heits­aus­stattung die es in sich hat und die, wenn sie so kon­se­quent ein­ge­setzt wird, letztlich auch innerhalb des Unter­nehmens fast bis zur Bewe­gungs­un­fä­higkeit der Anwender führen würde.

Die Anhänger dieser Richtung sind der Ansicht, dass der Cyberwar nur über eine Mate­ri­al­schlacht gewonnen werden kann.

Auf der anderen Seite finden sich die Befür­worter einer ganz­heit­lichen  Sicher­heits­be­trachtung. Die Anhänger dieser Glau­bens­richtung sind der Ansicht, dass in unserer immer kom­plexer wer­denden Umwelt die größte Bedrohung der  Infra­struktur des Unter­nehmens nicht tech­ni­scher Natur ist. Vielmehr sind die mas­sivsten Bedro­hungen sehr mensch­licher Natur und resul­tieren aus mensch­lichen Ver­hal­tens­weisen. Man kann die Risiken ein Stück weit  begrenzen, wenn man sie den Anwendern bewusst macht und ihnen Tipps gibt, damit umzu­gehen.

Leider gibt es keine Pau­schal­lösung, denn die Risiken Ihres Unter­nehmens sind so indi­vi­duell, wie ihr Unter­nehmen selbst. Aller­dings gibt es ein paar Bau­steine, die jedes Pro­gramm zur Erhöhung des Sicher­heits­be­wusst­seins ent­halten sollte.
Ent­wi­ckeln sie eine IT-Sicher­heits­­­rich­t­­linie die die Bedürf­nisse und Gege­ben­heiten Ihres Unter­nehmens wider­spiegelt und somit alle bekannten Risiken beinhaltet.

Fol­gende Fragen sollte man im Vorfeld beant­worten:

  • Welche Art von Infor­ma­tionen gibt es im Unter­nehmen?
  • Wie werden diese Infor­ma­tionen auf­be­wahrt?
  • Wer hat Zugang zu den Infor­ma­tionen?
  • Wie werden die Daten geschützt?
  • Wie werden Com­puter, Netzwerk, Inter­net­zu­gänge und andere Res­sourcen geschützt?
  • Welche generellen/speziellen Sicher­heits­vor­keh­rungen werden/wurden getroffen?

Im nächsten Schritt müssen die Anwender ins Boot geholt werden. Denn IT-Sicherheit geht jeden etwas an und ein ein­ziger fal­scher Maus­klick kann sämt­liche Inves­ti­tionen in IT-Sicher­heits­­­tech­­nogien zunich­temachen.

Security Awa­­reness-Kam­­pagnen

Ein mög­liches Mittel das Sicher­heits­be­wusstsein der Anwender im Unter­nehmen zu schärfen sind soge­nannte Security-Awa­­reness-Kam­­pagnen. Wie könnten die in der Praxis aus­sehen? Schu­lungen und Vor­träge stellen sich oft als ver­hält­nis­mäßig ermüdend und lang­weilig heraus. Im schlimmsten Fall behalten dann die­je­nigen Recht, die davon über­zeugt sind, dass dem Nor­mal­ver­braucher IT-Sicher­heits­­be­wusstsein nicht nahe­zu­bringen ist.

Als sehr effektvoll hat sich hier die Methode erwiesen, Anwender an prak­ti­schen Bei­spielen lernen zu lassen. Und obwohl jedes Unter­nehmen anders ist, gibt es doch ein paar mensch­liche Schwächen, auf die man sich als poten­ti­eller Ein­dringling ver­lassen kann. Wenn man ein paar Maß­nahmen lan­ciert, die gerade auf diese Schwächen ein­gehen, werden die Risiken erlebbar.

Eine nette Idee, seine Mit­ar­beiter für Sicherheit zu sen­si­bi­li­sieren hatte bei­spiels­weise das US-Jus­­ti­z­­mi­­nis­­terium.
Das US-Jus­­ti­z­­mi­­nis­­terium hat im Januar 2009 Phishing-E-Mails an seine Ange­stellten ver­schickt, in denen diese auf­ge­fordert wurden, auf einer Website per­sön­liche Angaben zu ihrem Ren­ten­konto zu machen. Mit der E-Mail wollte das Minis­terium das Sicher­heits­be­wusstsein der Ange­stellten testen.

Gerne ange­klickt werden auch Mails mit Links zu nied­lichen Kat­zen­bildern oder spärlich beklei­deten Damen. Für einen Angreifer eine schöne Mög­lichkeit Malware zu posi­tio­nieren.

Eine gute Idee eine für eine Security Awa­re­ness­kam­pagne hatte auch Microsoft. In der Kam­pagne wurde ein Phantom auf Datenklau gejagt. Die Mit­ar­beiter wussten, dass Gefahr in Verzug ist, wussten aber nicht genau, wann und wie das Phantom zuschlagen würde. Wenn das Know how so spie­le­risch ver­mittelt wird, sind die Erfolgs­chancen recht hoch. Nach­zu­lesen ist die ganze Aktion in diesem White­paper.

Fazit:

Ein gutes IT-Sicher­heits­­­konzept berück­sichtigt immer auch die Mit­ar­beiter des Unter­nehmens. Denn in einer immer kom­ple­xeren, dyna­mi­schen Umwelt ist der Cyberwar allein mit stan­dar­di­sierter Technik nicht zu gewinnen

Bild:  © Ste­phanie Hof­schlaeger / pixelio.de

Ein Kommentar zu Setzen Sie auf die menschliche Firewall

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekann­ten­kreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.