Sicherheit für KMUs - Mitarbeiter und ihre Bedrohungen
 

Manipulierung des Menschen

"Social Engineering" ist eine der gefährlichsten Techniken um Benutzer von EDV-Systemen anzugreifen. Social Engineering benutzt subtile psychologische Techniken um Menschen dazu zu bringen, Informationen preiszugeben. Indem sie menschliche Schwachstellen, wie zum Beispiel den Wunsch, behilflich zu sein, oder einen Vorgesetzten beeindrucken zu wollen, ausnutzt, kann eine Person mit schlechten Absichten seinem Opfer vertrauliche Informationen entlocken.

Um den Verlust vertraulicher Informationen durch Social Engineering zu vermeiden, muss das gesamte Personal auf die Problematik hin sensibilisiert werden, um im Ernstfall adäquat reagieren und kommunizieren zu können. Man sollte:

  • Mitarbeiter in Kommunikation schulen und vor allem auf den Schutz des Firmenimages sensibilisieren (während des E-Mail-Verkehrs, bei Forum-Beiträgen und im Austausch mit der Presse). (Schreiben Sie eine Leitlinie zur Personalsicherheit - Schulung und Information und sorgen Sie für deren Umsetzung).

  • Mitarbeiter punkto Sicherheitspraktiken sensibilisieren, auch wenn sie sich außerhalb des Sicherheitsbereichs der Organisation befinden.

  • Jedem Benutzer, der am Help-Desk anruft, eine Ticket-Nummer vergeben.

  • Die Leitlinie zur Identifizierung bei Informationsanfragen verstärken. (Schreiben Sie eine Leitlinie zum Management von organisationseigenen Werten und sorgen Sie für deren Umsetzung).

  • Besondere Vorsicht sollte bei Ferngesprächen gelten - Telefonie-Server (PBX) müssen gesichert werden.

Menschliche Fehler: Schutzmaßnahmen

Das Spektrum menschlicher Fehler ist groß, es reicht von Mails, die versehentlich an die falsche Person geschickt werden bis zum irrtümlichen Löschen kritischer Unternehmensdaten. Um dieses Risiko zu vermeiden, sollten Sie:

  • Das Personal angemessen schulen. (Schreiben Sie eine Leitlinie zur Personalsicherheit - Schulung und Information und sorgen Sie für deren Umsetzung).

  • Verstärkt Sicherheitskopien von kritischen Unternehmensdaten machen. Schreiben Sie eine Leitlinie zum Thema "Betriebs- und Kommunikationsmanagement - Backup von Informationen" und sorgen Sie für deren Umsetzung.

  • Ein Vieraugenprinzip bei der Ausführung kritischer Operationen einführen.

  • Ein Logging aller Operationen im Bereich "kritische Informationen" einführen (Papierregister, Auditlogs).

Missbrauch der informatischen Ressourcen

Die den Mitarbeitern zur Verfügung gestellten Betriebsmittel können für den privaten Gebrauch missbraucht werden. Jede Organisation muss die Privatsphäre der Mitarbeiter respektieren, diese hingegen dürfen die zur Verfügung gestellten Betriebsmittel nicht missbräuchlich verwenden. Dies gilt insbesondere für die Benutzung von Internet oder von E-Mail. So können Sie z.B.:

Personal-Abwesenheit

Die Verfügbarkeit des Informationsverarbeitungssystems hängt eng mit der Verfügbarkeit des Personals zusammen. Im Idealfall sollte man dafür sorgen, dass stets alle Informationen zur Verfügung stehen. Dies kann durch die Verwendung von Sicherheitsermächtigungen, durch den Einsatz von Sicherheitspersonal und auf Ebene der System-Administratoren organisiert werden. Die Umsetzung der folgenden Maßnahmen kann hilfreich sein:

Der Administrator

Der Systemadministrator verfügt aufgrund seiner Aufsichtsfunktion über spezielle Zugriffsrechte. Er kann Zugang auf alle im System befindlichen Informationen haben, und falls eine böse Absicht vorhanden ist, den Zugang zum gesamten System unterbrechen. Aus Sicherheitsgründen wird folgendes vorgeschlagen:

  • Das Aufzeichnen aller Administrator-Operationen betreffend sensible Daten sowie die Verwendung von Sicherheitsermächtigungen.

  • Die Sensibilisierung der Administratoren bezüglich ihrer vom Gesetz vorgegebenen Verantwortung (Schreiben Sie eine Leitlinie zur Personalsicherheit - Schulung und Information und sorgen Sie für deren Umsetzung).

  • Sicherheitsmaßnahmen in Relation mit der Bedrohung "Administration nicht möglich".

Spam / Phishing

Spam sind unerwünschte E-Mails. Diese Art von E-Mail wird zu Werbezwecken an Empfänger gerichtet, um diese zum Benutzen einer Dienstleistung oder eines Produkt zu überreden, beziehungsweise zum Besuch einer Website anzuregen. Bestenfalls führt dies zu Zeitverlust, Verschwendung von Ressourcen und sollte deswegen unterbunden werden. Spam könnte auch Schadprogramme enthalten und kann somit eine konkrete Bedrohung der Werte der Organisation darstellen.

Phishing, eine spezielle Form von Social Engineering benutzt vorzugsweise E-Mails um Benutzer auf vertrauenserweckende, aber gefälschte Internetseiten zu leiten, um an persönliche Informationen (wie etwa Bankverbindungsdaten) zu gelangen. Dieser Form von Angriffen wird hauptsächlich gegen Privatpersonen gerichtet, kannaber auch zum Erlangen von kritischen Unternehmensdaten eingesetzt werden.

Beide Bedrohungen gefährden maßgeblich die Benutzung von elektronische Mitteilungen/Nachrichten (Messaging). Sie sollten sich schützen, indem Sie:

  • Anti-Spam-Filter benutzen (auf Seite der Benutzer-Anwendung wie auch auf Ebene der Mail-Server). Schreiben Sie eine Leitlinie zum Thema "Betriebs- und Kommunikationsmanagement - Elektronische Mitteilungen/Nachrichten (Messaging) und sorgen Sie für deren Umsetzung.

  • Sensibilisieren Sie Ihre Mitarbeiter auf sichere Praktiken in diesem Bereich, wie zum Beispiel:

    • Jeder Form von Spam oder Phishing zu ignorieren.

    • Stellen Sie sicher, dass E-Mail-Adressen nur mir Ihrer ausdrücklichen Zustimmung weitergegeben werden können. Einige Zugangsanbieter oder Dienstleister können Sie automatisch in ein Webverzeichnis eintragen. (Schreiben Sie eine Leitlinie zur Personalsicherheit - Schulung und Information und sorgen Sie für deren Umsetzung.)

  • Vermeiden Sie wenn möglich die Preisgabe Ihrer E-Mail-Adresse in Foren oder auf Internetseiten.

  • Halten Sie vertrauliche Informationen geheim (Kreditkartendaten,...) (Schreiben Sie eine Leitlinie zum Management von organisationseigenen Werten und sorgen Sie für deren Umsetzung).

  • Beschränken den Zugriff auf das E-Mail-Verzeichnis der Organisation.

Systemzugang durch einen nicht berechtigten Dritten

Nutzer, welche das Informationssystem verwenden, verfügen lediglich über die benötigten Benutzerberechtigungen. Der einfachste Fall ist der physische Zugang zu einer Maschine. Falls ein Dritter einen Betriebswert benutzt, für den er nicht berechtigt ist, spricht man von Eindringen. Falls ein Dritter Benutzerrechte einer anderen Person benutzt, um sich Zugang zum Informationsverarbeitungssystem zu verschaffen, spricht man von Identitätsmissbrauch oder Identitätsraub. Sie sollten also darauf achten, dass eine Authentifizierung den Benutzer auch identifizieren kann und somit ein Eindringen vermieden werden kann. Es ist sinnvoll:

  • Alle Geräte nach deren Benutzung zu sperren oder eine automatische Sperrung bei Nichtbenutzung einzurichten. (Schreiben Sie eine Leitlinie zur Zugangskontrolle -Trennung von Netzen und und Verwaltung von Benutzerberechtigungen und sorgen Sie für deren Umsetzung).

  • Die Weitergabe von Badges und Passwörtern zu untersagen (Schreiben Sie eine Leitlinie zur Zugangskontrolle - Verwaltung von Passwörtern).

  • Alle Operationen auf sensible Betriebswerte (Maschinen, Daten und Sicherheitsbereiche) aufzuzeichnen.