Die Folgen von fehlender IT-Sicherheit
Sicherheit für KMU’s wird immer gerne etwas „hinausgeschoben“. Man geht davon aus, dass vor allem andere Personen von Sicherheitslücken, Schadsoftware etc. betroffen sind, man selbst aber irgendwie davor geschützt ist. Aha.
„Irgendwie“.
Die Folgen
Wer sich mit IT-Sicherheit beschäftigt, muss sich auch mit den Folgen von fehlender Sicherheit befassen. In diesem Zusammenhang hört man immer wieder Sätze wie „Für meine Daten interessiert sich sowieso niemand!“ oder „Meine Daten haben keinen Wert für Aussenstehende“. Beide Aussagen sind falsch denn egal ob es sich bei Ihren Daten lediglich um ein Passwort für einen E-Mailaccount oder interne Steuerinformationen handelt – jede Information hat einen Wert. Dies ist auch potentiellen Angreifern bewusst, die gestohlene Daten meist nicht selbst „verarbeiten“ sondern direkt zum Kauf anbieten. Ob diese dann nur als Lektüre genutzt werden oder aber z.B. als Deckmantel für weitere illegale Aktivitäten verwendet werden können Sie nicht mehr kontrollieren. Generell ist dieser Kontrollverlust wahrscheinlich das am belastendste Gefühl überhaupt – neben der absoluten Hilflosigkeit. Ein weiterer Punkt ist, dass man Angreifer gerne unterschätzt – angefangen von Ihrem Verständnis der Materie bis hin zu Ihren kombinatorischen Fähigkeiten und den Möglichkeiten alles zu automatisieren. Der Mensch ist gerade in diesem ständig wechselnden und komplexen Umfeld immer noch eines der grössten Risiken.
Die Ziele
Welche Daten sind überhaupt gefährdet? Auf welche Informationen haben es Angreifer abgesehen? Und was können sie damit anstellen? Grundsätzlich sind alle internen Daten von Interesse – selbst diejenigen die für Aussenstehende keinerlei Wert zu haben scheinen. Gerade solche ermöglichen aber beispielsweise das Erschliessen von weiteren Angriffsmöglichkeiten. Mögliche Beispiele sind:
- Analysieren der Geschäftskorrenspondenz für die Generierung von Passwortlisten
- Vortäuschen von falschen Personen um Zugang zu weiteren Informationen zu erhalten auf Basis von internen Daten
- Generelle Informationsbeschaffung für Schwachstellen (z.B. Verwendete Software, Schutzmechanismen…)
Neben internen Daten sind selbstverständlich auch Passwörter jeglicher Art ein beliebtes Angriffsziel. Ein Passwort öffnet mehr als nur eine Tür – oftmals wird es mehrmals verwendet oder lässt Rückschlüsse auf weitere Passwörter zu. Wer Ihr Passwort kennt verfügt über Ihre digitale Identität und kann ungestört in Ihrem Namen agieren – verantwortlich sind schlussendlich Sie!
Häufige Schwachstellen
Der Mensch als Schwachpunkt
Zu den häufigsten Schwachstellen zählt der Mensch. Sei es bei der Verwaltung wo z.B. aus praktischen Gründen die Standardpasswörter verwendet wurden oder aber als Anwender der zu leichtfertig mit Sicherheitsmerkmalen umgeht. Wer der Schwachpunkt Mensch angreift hat bei entsprechender Vorbereitung eine hohe Erfolgsquote. Hier gilt es Menschen entsprechend aufzuklären aber auch technisch so zu unterstützen, dass wenig Spielraum für Fehler bleiben.
Falsche oder fehlende Konfiguration
Lediglich die Installation von Schutzmechanismen bringt ohne die korrekte Konfiguration wenig. Dasselbe gilt für Updates und Sicherheitsrichtlinien – ohne die richtigen Einstellungen kann aus einem Schutzmechanismus leicht ein offenes Tor für ungebetene Gäste enstehen.
Netzwerk
Sobald jemand Zugriff auf Ihr internes Netzwerk hat, ist es aus und vorbei. Ob dieser nun einfach sämtliche Passwörter (auch über gesicherter Verbindungen!) abfängt oder spezifisch ausgewählte Stationen infiltriert – das Netzwerk wieder zu säubern wird sehr aufwändig und braucht Zeit. Solche Szenarien sind dann möglich wenn Geräte (z.B. Webcams, Drucker…) öffentlich im Netz stehen und Sicherheitsmechanismen gar nicht oder falsch konfiguriert sind.
Updates, Updates, Updates…
Softwareaktualisierungen sind keinesfalls ein „Nice-to-have“ – sie sind wichtig und schliessen aktuelle Sicherheitslücken. Ein Update bringt nur dann etwas wenn es zeitgerecht und korrekt eingespielt wird – es sollte also automatisiert und mit möglichst wenig Interaktion des Benutzers erfolgen. Meldungen wie „Jetzt updaten“ oder „Neue Version verfügbar“ werden meist ignoriert oder hinausgeschoben. Nicht? Ein Update muss sich auch keinesfalls auf Programme beschränken. Sogenannte Firmwareupdates verbessern die Stabilität und schliessen Lücken der Software direkt auf dem elektronischen Gerät an sich. Bei Computer heissen diese beispielsweise BIOS Update hingegen gibt es Firmwareupdates auch für Mobiltelefone, Drucker, Router, Server – ja selbst für Automobile! Anders als bei herkömmlichen Programmupdates sollte man hier aber genau wissen was man macht, denn wurde Firmware falsch oder unvollständig aufgespielt spricht man von einem „brick“ – das Gerät kann nur noch als Briefbeschwerer verwendet werden…
Fremdgeräte
Wenn fremde Geräte (z.B. Notebooks) aus welchen Gründen („Bring-your-own-device“…) auch immer direkt ans interne Netz angeschlossen werden entsteht ein Risiko. Abgesehen vom offensichtlichsten Grund, dem Einschleppen von Schadsoftware oder anderen ungewünschten Zusatzprogrammen, muss man sich auch bewusst sein, dass sämtliche Aktivitäten die diese Fremdgeräte durchführen über Ihre IP-Adresse laufen. Kurz – Sie sind haftbar für sämtliche bewussten und unbewussten Aktionen die dieses Gerät durchführt. Es sollten also dringendst entsprechende Schutz- und Protokollmöglichkeiten konfiguriert sein um mögliche Lücken nachzuvollziehen.
Benutzerrechte
Es gibt einen Grund warum für unterschiedliche Benutzer verschiedene Rechte möglich sind. Es gilt der Grundsatz soviel wie nötig, sowenig wie möglich. Zwar mag es in einzelnen Situationen Sinn machen Anwendern erweiterte Rechte zu erteilen, jedoch müssen diese dann klar über mögliche Konsequenzen und geltende Sicherheitsrichtlinien aufgeklärt werden. Gefährlich sind z.B. auch temporäre Benutzeraccounts für Spezialfälle („Er muss nur schnell ausdrucken…“) die leicht vergessen gehen und dann einfach im Hintergrund aktiv bleiben.
Backup
Ein funktionierendes Backup ist einer der wichtigsten Punkte überhaupt. Es sollte regelmässig und automatisch sichern, eine Rückmeldung über den Erfolg oder Misserfolg der Sicherung geben (wichtig!) und vor allem sollte es nicht frei zugänglich sein. Auf einem Backupträger sind sämtliche Daten enthalten, daher muss es dementsprechend sicher verwahrt und am Besten gleich verschlüsselt sein!
Verlauf, alte Daten und Cookies
Sobald ein Gerät den Besitzer wechselt sollten Verlauf, Cookies und andere benutzerspezifische Daten gelöscht werden. Sensible Daten sollten zudem nicht einfach gelöscht sondern überschrieben werden. Wenn Sie auf Nummer sicher gehen wollen – ganz einfach die Festplatte entfernen und entsprechend entsorgen.
Alles ist mit allem verbunden
IT-Sicherheit betrifft jeden. Die Grenzen zwischen Privatperson und Unternehmen verschwinden immer mehr, denn wie schnell sendet man sich z.B. Dokumente aus dem Büro nach Hause? Oder checkt die E-Mails von unterwegs? Oder kopiert sich grosse Datenmengen von zu Hause auf einen USB-Stick um sie dann im Büro auszudrucken? Oder nutzt im Büro dasselbe Passwort wie privat?
Die Schwachstellen potenzieren sich dadurch. Es ensteht ein sogenannter Schmetterlingseffekt – eine winzige Unachtsamkeit einer Privatperson kann sämtliche Sicherheitsbarrieren eines Unternehmen unterwandern.
Alles nur Schwarzmalerei? „Worst Case“ – Szenarien?
Leider nein. Zu den prominentesten Beispielen zählen etwas Burger King, Jeep, Apple – selbst Banken sind nicht davor geschützt. Und dies sind alles Unternehmen die stark in der Öffentlichkeit stehen und dementsprechend Rückmeldungen über auffälliges Verhalten erhalten.
Viel schlimmer sind Angriffe die nicht entdeckt werden – und auch davon gibt es reichlich Beispiele.
Zurück zu Papier und Bleistift?
Ist IT wirklich dermassen unsicher? Ist der einzige sichere Weg Papier und Bleistift? Sensible Daten nur noch persönlich übergeben? Einzahlungen nur noch persönlich tätigen?
Sind wir ehrlich – dafür ist es längst zu spät. In der heutigen Gesellschaft würde man nur mit Papier und Bleistift nicht mehr weit kommen. Deshalb folgen im nächsten Artikel „Erhöhen Sie Ihre IT-Sicherheit“ einige einfache Grundregeln wie Sie Ihre Sicherheit erhöhen können ohne auf den Komfort von IT zu verzichten.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!