Datenpannen, Sicherheitslücken, Wirtschaftsspionage und – Sabotage durch Hacker: Laut einer aktuellen Studie der Unternehmensberatung KPMG sind fast 40 Prozent der deutschen Firmen in den letzten zwei Jahren Opfer von Computerkriminalität geworden, Tendenz steigend.
Durch die zunehmenden Meldungen rückt das Thema Datensicherheit verstärkt in den Fokus der Öffentlichkeit. Und damit auch das Thema „Security Awareness“. Aber – was ist das überhaupt? Und ist das das Wundermittel gegen die drohenden Gefahren? Das will diese Artikelserie beleuchten.
Montagmorgen, Tatort
Ein großes mittelständisches Unternehmen. Der Großteil der Mitarbeiter hat das Gebäude bereits betreten, ein Nachzügler ist spät dran und hat es eilig. Er zieht seine Sicherheitskarte durch das Lesegerät, das die Eingangstür sichert und ist schon fast drin, als er ein Rufen von der Straße hört: „Könnten Sie bitte eben die Tür aufhalten?“ Ein mit mehreren Kartons bepackter Mann nähert sich keuchend dem Eingang. „Danke, das ist nett. Ich komme gerade nicht an meine Karte – musste mal wieder Arbeit übers Wochenende mit nach Hause nehmen“ – und deutet mit dem Kinn auf die Kisten. „Na, mit uns können sie es ja machen“ seufzt er. Der andere nickt: „Ja, kommt mir bekannt vor, die Arbeit wird immer mehr, sind einfach zu wenig Leute da. Trotzdem noch einen schönen Tag.“ Kaum ist er Richtung Aufzug verschwunden, schiebt der unbekannte Besucher die – natürlich leeren – Kartons hinter die Sofas im Wartebereich und macht sich auf, das Gebäude zu erkunden. Sein Ziel: Informationen aus Rechnern oder Druckern in unbesetzten Büros holen, Whiteboards in Besprechungsräumen abfotografieren oder vielleicht sogar einen Blick auf einen Prototypen erhaschen. Sorge, dass er dabei erwischt wird, hat er kaum: Schließlich ist er ja im Gebäude, und Zutritt haben doch nur die, die auch eine Sicherheitskarte haben. So zumindest die Theorie.
Tailgating
Sie finden das Beispiel etwas konstruiert und an den Haaren herbeigezogen? Falsch – das passiert tagtäglich dutzendfach. Ja, es gibt sogar einen eigenen Ausdruck für diese Vorgehensweise, nämlich „Tailgating“. „Tailgate“ bezeichnet eigentlich die Heckklappe beim Auto, und „Tailgating“ dementsprechend „zu dichtes Auffahren“ oder „drängeln“. Im weiten Feld des Social Engineerings (das mittlerweile ja gemeinhin mit „Sozialer Manipulation“ übersetzt wird) bedeutet „Tailgating“ die Erlangung des Zugangs zu gesicherten Bereichen, indem sich ein Nicht-Zugangsberechtigter am Eingang einfach an einen Mitarbeiter hängt, ihn bittet, „mal eben“ die Tür aufzuhalten und seine Freundlichkeit ausnutzt oder ihn in ein Gespräch verwickelt, um mit ihm zusammen das Firmengebäude zu betreten.
Der Firma ist kein Vorwurf zu machen, hat sie doch alles richtig gemacht und den Eingang durch eine Chipkarte gesichert – physikalische und technische Sicherheitsmaßnahmen sind also vorhanden. Nein, wieder einmal ist es der Faktor Mensch, der sich hier – wie so oft – als schwächsten Glied einer Sicherheitskette erweist, und dessen Arglosigkeit bzw. dessen Gedankenlosigkeit für kriminelle Zwecke aus genutzt wird.
Security Awareness – das Sicherheitsbewusstsein schärfen
Die beste Technik und die ausgefeilteste Software nutzt wenig, solange der Mensch diese wieder außer Kraft setzt. Daher gilt es, das Sicherheitsbewusstsein (die „Security Awareness“) jedes einzelnen Mitarbeiters zu schärfen, ihn für Themen rund um die Sicherheit in Bezug auf die IT eines Unternehmens, aber auch im Unternehmen selber zu sensibilisieren und ihm die unterschiedlichen Sicherheitsbedrohungen, die während seiner alltäglichen Arbeit lauern, aufzuzeigen. Am Ende einer Security-Awareness-Schulung – wie sie etwa die Skytale Online Academy for IT Security anbietet – sollte dann aber auch die Erkenntnis stehen, dass Datenschutz eben nicht nur Sache des Datenschutzbeauftragten oder des Chefs ist, sondern tatsächlich alle angeht.
Das Tailgating ist aber natürlich nur eine Gefahr, die den Unternehmen droht: Phishing-Mails oder korrupte Mail-Anhänge in Spam-Mails, scheinbar „verlorene“ USB-Sticks auf dem Parkplatz, Erpressungstrojaner oder zu lasche Passwörter – all das ist inzwischen hinlänglich bekannt und gehört zum Standard-Werkzeug der Cyberkriminellen. Aber sie werden immer erfinderischer: So erbeutete erst kürzlich ein Betrüger 220.000 Euro von einem britischen Unternehmen, indem er mit Hilfe einer speziellen Stimmen-Software am Telefon vorgab, der Chef des Angerufenen zu sein – und das so gut, dass dieser ihm anstandslos die geforderte Summe überwies. Diese sogenannte „Fake President“ – Masche war bisher nur per Mail bekannt; weltweit wurden damit im Jahr 2018 mehr als 1,2 Milliarden Euro erbeutet. Dabei hätten all diese Fälle vermieden werden können, wenn die Mitarbeiter etwas weniger vertrauensselig gewesen wären; auch in solchen Fällen nutzt die beste Anti-Virensoftware dann leider gar nichts.
Auf die man sich ohnehin nicht verlassen sollte: So wurde die IT der Stadtverwaltung der niedersächsischen Stadt Neustadt am Rübenberge Anfang September durch einen Angriff mit dem Emotet-Trojaner fast komplett lahm gelegt – einer Schadsoftware, die bereits im Jahr 2014 erstmals identifiziert worden war. Noch ist unklar, wie das hatte passieren können; zu vermuten ist aber, dass ein Angestellter der Stadtverwaltung einfach unachtsam den Anhang einer Mail geöffnet hatte. All das sind scheinbar gute Gründe für eine Security Awareness-Schulung; und doch gibt es Stimmen die das für „rausgeschmissenes Geld“ halten. Warum dem so ist, wollen wir in einer der kommenden Folgen dieser kleinen Artikelreihe beleuchten.
Ausblick auf die kommenden Folgen dieser Reihe
Teil 2: Im zweiten Teil werden wir uns den verschiedenen Methoden der Security-Awareness-Vermittlung widmen – und was da vermittelt wird und was vermittelt werden sollte. Welche Vor- und Nachteile haben die einzelnen Vermittlungsformen, wie effizient sind sie, was kosten sie? Sollte man lieber auf das Gießkannenprinzip oder auf eine spezifische Schulung einzelner Mitarbeiter oder Abteilungen setzen? All das – wie gesagt – gibt es im zweiten Teil.
Teil 3: In der dritten Folge wird beleuchtet werden, welche Rolle Führungskräfte in Bezug auf Datenschutz, Informationssicherheit und Security Awareness in einem Unternehmen spielen. Wie können sie ihre Vorbildfunktion ausfüllen? Welchen Einfluss haben sie auf die Handlungen ihrer Angestellten? Was müssen sie selber über Security Awareness wissen?
Teil 4: Im abschließenden Teil dann lassen wir auch die Kritiker von Security-Awareness-Schulungen zu Wort kommen, die die dafür notwendigen Gelder lieber in eine sichere Software-Entwicklung, bessere Security-Schnittstellen und eine gute Nachsorge stecken würden. Haben die am Ende Recht? Wie weit lässt sich der Faktor Mensch überhaupt durch ein geschultes Sicherheitsbewusstsein eliminieren? Ist der IT-Anwender tatsächlich die letzte wirksame Verteidigungslinie?
Die SKYTALE Online-Akademie für IT-Sicherheit bietet staatlich zugelassene Online-Kurse für IT-Sicherheit und Datensicherheit – als zertifiziertes Fernstudium sowie als eLearning.
Das Kursangebot umfasst zertifizierte Weiterbildungen für IT-Experten sowie Fortbildungen für Mitarbeiter und Führungskräfte.
Die Online-Schulungen zur IT-Sicherheit werden auf einer Lernplattform sowie als App zur Verfügung gestellt und sind als nebenberufliches Studium oder in Vollzeit möglich.