Den "Hausverstand" schulen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


04.11.2009 Wolfgang Schnabl*

Den "Hausverstand" schulen

Die eigenen Mitarbeiter sind die größte Bedrohung für die Informationssicherheit jedes Unternehmens.

Hört man den Ausdruck »Insider«, so denkt man an üble Mitarbeiter, die Firmengeheimnisse gegen viel Geld an Mitbewerber verkaufen. Die Öffentlichkeit stürzt sich gierig auf aufgedeckte Skandale und tritt diese breit. Wer erinnert sich nicht an den Steuerdaten-Klau in Luxemburg und den Verkauf dieser Informationen an den deutschen Bundesnachrichtendienst oder an den Verlust von 17 Millionen Kundendaten durch T-Mobile?

DATENVERLUST DURCH INSIDER Dies ist jedoch im Alltag nicht das Hauptproblem für Datenverlust. Eine aktuelle Studie »Insider Risk Management« von IDC kommt zu dem Ergebnis, dass vor allem unbeabsichtigter Datenverlust das Hauptproblem für Unternehmen darstellt. Grundsätzlich ist es vielen Unternehmen zwar bewusst, dass durch die internen Nutzer potenzielle Risiken entstehen. Doch werden sorgloses Zugriffsverhalten oder regelwidriger Umgang mit sensiblen Daten oftmals nicht beachtet, da äußere Bedrohungen als wichtiger eingestuft werden.

Insider sind autorisierte Benutzer mit rechtmäßigem Zugriff zum Firmennetzwerk, zu Anwendungen und Daten. Dazu gehören Mitarbeiter, Geschäftsleitung, IT-Abteilung, Berater, Outsourcer, Lieferanten und Geschäftspartner. Während Unternehmen Strategien entwerfen, um ihr Kerngeschäft besser abzusichern, sollten ebenfalls konkrete Überlegungen angestellt werden, um dem Risiko der Insider-Gefahr zu begegnen. Seit einiger Zeit – seit dem IDC Enterprise Security Survey 2008 – ist nämlich die Bekanntgabe vertraulicher Information an die erste Stelle gerückt im Wettstreit »Größte Gefahr für die Unternehmenssicherheit«. Datenverlust hat damit alle anderen Bedrohungen, auch Virenbefall und Hackerangriff, überholt. Die betroffenen Unternehmen bestätigen zudem, dass Probleme durch Insider meist unbeabsichtigt passieren.

WO LERNT MAN SECURITY? Da stellt sich mir die Frage, warum soviel Geld zur Abwehr externer Gefahren ausgegeben wird, wenn das Problem, das den Firmen am meisten Geld kostet, intern sitzt?

Die Antwort auf diese Frage ist – wie üblich im Security-Umfeld – mehrschichtig. Hauptproblem ist, wie ebenfalls üblich, das mangelnde Problembewusstsein der Führungsschicht. Woher sollte das Problembewusstsein auch kommen, wenn uns die Hersteller von Sicherheitsprodukten eine heile Welt suggerieren – vorausgesetzt man kauft ihr spezielles Produkt. Der Fokus von Herstellern ist nun einmal auf hohe Stückzahl gerichtet, je mehr Boxen und Lizenzen er verkauft, desto besser. Da stellt sich die Frage einfach nicht, wie passend das Produkt für die Firma ist und ob es überhaupt optimal eingesetzt werden kann.

WARUM FIREWALLS? Da jedoch die Hersteller starkes monetäres Interesse haben ihre Produkte zu verkaufen, kann eine seriöse Sicherheitsberatung so niemals stattfinden. Dies ist jedoch der Hauptweg, wie vor allem kleinere Unternehmen mit ihrer Sicherheit umgehen – Beratung durch Hersteller oder Reseller.

Durch diese einseitige, sehr technische Beratung wird leider ein Großteil der potenziellen Gefahren nicht beachtet. Eine ausgewogene Gesamtsicherheitslösung besteht nur zu 20 Prozent aus technischen, zu 80 Prozent jedoch aus organisatorischen und persönlichen Maßnahmen. Da wird oft um zusätzliche Features bei Firewalls gefeilscht und diskutiert, ob ein spezielles Produkt 97 oder 98 Prozent Sicherheit bietet und dabei übersehen, dass der Administrator ohnehin einem Drittel der Mitarbeiter des Unternehmens die Regel »alles offen« eingerichtet hat (reales Beispiel eines Audits!). Da frage ich mich dann, wozu überhaupt eine Firewall verwendet wird? Da ist es nämlich völlig egal, welches Produkt ich verwende; also warum nicht ein Router aus dem Mediamarkt oder Saturn um 39,90 Euro, anstatt eine Firewall um 3.990?

Was müssen wir machen, um die Gefahr zu bannen, die von naiven Mitarbeitern droht? Es gibt eine einfache, kostengünstige und nicht-technische Lösung: Tragen wir dazu bei, dass die Mitarbeiter nicht naiv bleiben! Ich nenne es »den Hausverstand schulen«. Nur wenn der Benutzer weiß, wo in der virtuellen Welt überhaupt Gefahren drohen, kann er seinen in der realen Welt so gut funktionierenden Instinkt einsetzen.

SPRACHE VERFEHLT PUBLIKUM Mitarbeitersensibilisierung ist das Schlagwort, das bewusst machen von Zusammenhängen. Die Erklärung von DNS Server Cache Poisoning Möglichkeiten oder einer Signal Race Vulnerability des Sendmail MTA verfehlen jedoch völlig das Zielpublikum. Dies ist auch der Grund, warum trotz Fachwissens ein IT-Mitarbeiter der denkbar schlechteste Vortragende für Mitarbeitersensibilisierung ist. IT-Leute sprechen, genauso wie Chemiker, Mediziner oder Juristen, eine eigene Sprache.

DER ETWAS ANDERE ANSATZ Persönlich betroffen machen ist der Schlüssel zum Erfolg. Warum müssen es immer gleich trockene Security-Policies sein? Awareness beginnt einen Schritt vorher! Das Aufzeigen des großen Bildes, das bewusst machen der virtuellen Gefahren muss erreicht werden, bevor man auf Richtlinien eingehen kann. Probieren Sie als ersten Schritt einmal private Themen wie »Sicheres Einkaufen im Internet«, »Facebook, Twitter & Co sicher nutzen« oder »Absichern des Heim-PCs«! Damit erreichen Sie

  • die ungeteilte Aufmerksamkeit der Teilnehmer (Fast alle der 350 Mitarbeiter des Unternehmens, wo ich dieses Experiment durchführte, nahmen freiwillig und außerhalb ihrer Arbeitszeit an diesen Veranstaltungen teil. Wegen der enormen Nachfrage mussten mehr Veranstaltungen als ursprünglich geplant durchgeführt werden.)
  • selbst bei komplexen Themen und Zusammenhängen ein aufmerksames, konzentriertes und aktives Publikum.
  • bei den Mitarbeitern eine erstaunlich große Einsicht in die aktuellen Gefahren der virtuellen Welt. Dies wird durch die volle Aufmerksamkeit der Mitarbeiter bei den Veranstaltungen garantiert, da das Gefahrenbewusstsein letztendlich das Risiko der Teilnehmer im privaten Umfeld deutlich reduziert.
  • einen deutlich spürbaren Sicherheitsgewinn für ihr Unternehmen, denn viele der Gefahren sind identisch, sowohl im Firmenumfeld als auch im privaten Umfeld. Des Weiteren sind durch den immer stärkeren Einfluss Sozialer Medien beide Welten immer weniger zu trennen (und dieser Trend nimmt zu).
  • letztendlich für ihr Unternehmen ein positives internes und externes Image, da sie »uneigennützig« ihren Mitarbeitern die Möglichkeit bieten, sich über aktuelle und brennende Themen weiterzubilden.

MITARBEITER SIND UNTERNEHMENSKAPITAL Die meisten Mitarbeiter wollen zur Sicherheit des Unternehmens aktiv beitragen. Geben wir ihnen durch aktuelle und spannende Themen die Chance ihren Hausverstand zu schulen, dann werden sie diesen auch zum Vorteil des Unternehmens einsetzen und somit stellt sich der Unternehmenserfolg automatisch ein.

*Dr. Wolfgang Schnabl, CISSP, CISA, beschäftigt sich seit über 10 Jahren intensiv mit Informationssicherheit. www.security-awareness.at

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr

Hosted by:    Security Monitoring by: