Sicherheitsfaktor Mensch: Die 5 grössten Einfallstore und wie man sie absichert

Die besten Sicherheitsmassnahmen können wirkungslos sein, wenn der Angriff von innen kommt. Die Problemfelder reichen hier von Schadsoftware in E-Mails bis hin zum Social Engineering. In diesem Beitrag zeigen wir auf, wie Sie sich gegen solche Fälle schützen.

Die IT-Sicherheit hat mit einem wachsenden Problem zu kämpfen, das nicht immer leicht zu beheben ist: Bei 34 Prozent der Datenpannen im Jahr 2018 kam der Angriff von innen. Das geht aus Zahlen des Verizon 2019 Data Breach Investigations Report hervor. 2016 waren es demnach noch 25 Prozent. Manchmal steckt in diesen Fällen ein frustrierter Mitarbeiter dahinter, der seinem (ehemaligen) Arbeitgeber ganz bewusst schaden will. Oftmals ist es hingegen Unachtsamkeit oder schlicht Unwissenheit, die das Problem auslöst. Verantwortliche für die IT-Sicherheit stecken hier in einer Zwickmühle: Schliesslich brauchen Mitarbeiter Zugriff auf bestimmte Daten, um ihre Arbeit erledigen zu können. Was nach aussen hin stark geschützt ist, hat nach innen also notwendigerweise offizielle Zugangswege. Aber es gibt Mittel und Wege, auch diese potenziellen Einfallstore abzusichern.

Einfallstor E-Mail

Ein Virenscanner gehört sicher zur Grundaustattung in heutigen Organisationen. Allerdings kann der stets nur bekannte Schädlinge abwehren und ist daher kein hundertprozentiger Schutz. Deshalb ist es weiterhin wichtig, alle Mitarbeiter auf diese Gefahr aufmerksam zu machen und sie zu schulen. Erschwerend kommt allerdings hinzu, dass sich E-Mails mit Schadsoftware heute nicht mehr so einfach zu erkennen geben wie in der Vergangenheit. Die Malware «German Wiper» beispielsweise tarnt sich sehr glaubwürdig als Initiativbewerbung. Darüber hinaus ist es simpel, den Absender einer E-Mail zu fälschen, so dass sie von einem bekannten Kontakt zu kommen scheint. Diese und andere Tricks sollten bei allen in der Organisation bekannt sein. Phishing ist eine weitere Taktik, die noch immer funktioniert. Im Fall der Attacke auf Sony vor einigen Jahren täuschte eine E-Mail beispielsweise vor, dass die Apple-ID der Person zurückgesetzt werden müsste. Das war der Ausgangspunkt für einen letztlich erfolgreichen Angriff. Hier muss beispielsweise klar geregelt sein, dass Login-Daten niemals nach Klick auf einen Link in einer E-Mail eingegeben werden.

Social Engineering

Eine weitere Angriffstaktik ist sehr analog und nutzt menschliche Schwächen aus: Social Engineering meint, eine Person durch psychologische Tricks zur Herausgabe sensibler Informationen zu überlisten. Und wer möchte nicht einem Kunden helfen, der in einer Notlage ist? Oder dem Verwandten eines Kollegen eine Auskunft geben? Deshalb muss klar festgehalten sein, welche Informationen an wen unter welchen Voraussetzungen herausgegeben werden dürfen. Und ob diese Regeln eingehalten werden, sollten Sie zudem unangekündigt überprüfen.

Sorgloser Umgang mit Software, Hardware, Diensten

Ein weiterer Gefahrenpunkt: Oftmals ist bei den Mitarbeitern nicht bekannt, wie problematisch einige bekannte Anwendungen und Geräte im Unternehmensumfeld sein können. So haben Sicherheitsforscher in der Vergangenheit sensible Daten auf Hardware gefunden, die sie schlicht auf eBay gekauft haben. Kopierer und Faxgeräte haben schliesslich interne Speicher, die schnell einmal vergessen werden. Auch gibt es Fälle, in denen Mitarbeiter mit internen Tools nicht zufrieden sind und auf externe Angebote ausweichen, die sie aus ihrem Privatleben kennen. Die aber sind natürlich nicht nur problematisch mit Blick auf Sicherheit, sondern auch mit Blick auf die Compliance. Auch diese Punkte müssen allen in der Organisation klar vermittelt werden.

Partner und externe Dienstleister

Auch Dritte können zum «Insider» werden. Dazu gehören Unternehmen und Serviceanbieter, mit denen die Organisation zusammenarbeitet. Auch sie brauchen bisweilen Zugriff auf Informationen und Daten, um ihre Aufgabe erledigen zu können. Oder sie haben Zugang und Zugriff aus anderen Gründen: Ein Datenleck bei der US-Ladenkette Target kam beispielsweise über eine Servicefirma für Klima- und Kühlanlagen zustande.

Ausufernde Zugriffsrechte

Auf Schulungen, schützende Software und klare Regeln allein sollte sich allerdings kein Unternehmen verlassen. Vielmehr sollte zugleich immer überprüft werden, dass alle Mitarbeiter und Partner nur die Zugriffsrechte haben, die sie tatsächlich benötigen. Das ist nicht immer ganz einfach, weil Jobs heute häufiger gewechselt werden als früher. Mitarbeiter kommen und gehen oder sie wechseln das Aufgabenfeld. Auszubildende sind ein anderes Beispiel: Sie wandern oft durch mehrere Abteilungen und können dabei Zugriffsrechte anhäufen, die fast dem eines Administrators gleichen. Insofern muss die IT-Sicherheit darauf eingestellt sein, Rechte in einem Schwung zu erteilen und zu entziehen.

Schlusswort

Nicht zu unterschätzen ist bei alldem, das Cyberkriminelle bisweilen viel Geduld und Zeit investieren. Sie stürzen sich nicht sofort auf das eigentliche Ziel. Der Angriff kann mit kleinsten Schritten starten und das an Stellen, die für sich genommen nicht als gefährdet angesehen werden. Vor allem via Social Engineering werden hier bisweilen erste Informationen abgegriffen, die dann im nächsten Schritt genutzt werden – und so fort, bis man ins Zentrum vorgedrungen ist. Das macht es so wichtig, dass alle Mitarbeiter über die möglichen Gefahren aufgeklärt sind und nicht nur jene, die direkt mit sensiblen Daten und Informationen zu tun haben.