Foto: qSkills

4. qSkills Security Summit

Vom Feind auf leisen Sohlen

Im Rahmen des vierten qSkills Security Summit, am 10. Oktober 2011 in Nürnberg, zeigten Experten aus dem Security- und Risk-Umfeld praxisnahe Wege zu mehr Sicherheit und Sensibilität im Umgang mit der Ware Nummer eins: Informationen.

Laut einer Studie der Beratungs-gesellschaft Ernst & Young zum Thema „Datenklau“ unter 400 deutschen Unternehmen, sehen sich über 80 Prozent der befragten Führungskräfte auf der sicheren Seite in puncto Wirksamkeit ihrer präventiven Maßnahmen. Dass dieses Ergebnis verwundert, zu diesem Schluss kommen nicht nur die Macher der Studie, sondern auch Thomas Königshofen, Konzern-Sicherheitsbevollmächtigter der Deutschen Telekom AG.

Datendiebstahl: bekannt, doch unterschätzt

Schaut man sich die Bandbreite potentieller Gefahrenszenarien an, rangieren Naturkatastrophen vor dem Terrorismus und dem organisierten Verbrechen. Das Thema Datendiebstahl steht nach den Worten Königshofens dagegen noch immer am Ende des „Level of violance“. Warum? Weil die direkte Gefahr kaum spürbar ist. Trojaner, Würmer & Co. kommen quasi auf leisen Sohlen daher. Sei es über Mail-Angriffe, USB-Sticks, Zero-Day-Attacken (Ausnutzen von Sicherheitslücken vor dem Bereitstehen neuer Signaturen für Firewalls und Antiviren-Software) oder mithilfe von Backdoor Engineering durch korrumpierte Hard- und Software.

Umstände, die betroffene User in der Regel nicht wahrnehmen, weil ein Großteil der Schadsoftware nicht bekannt oder nur schwer nachweisbar ist. Und fällt ein Eindringen – wie im Falle des Computervirus Stuxnet – auf, ist es meist zu spät. So konnte Stuxnet das Atomprogramm des Iran massiv beeinflussen und stören. Für Experten, wie Thomas Königshofen, ist die Qualität der Stuxnet-Schadsoftware ein Anzeichen dafür, dass hier mit großer Professionalität und langer Planung vorgegangen wurde.

Der Cyberkrieg ist längst Realität

Hinter diesen gezielten Angriffen stecken immer häufiger Staaten, die im Kampf um wirtschaftliche Macht und Interessen auf virtuelle Agenten setzen. Gegen diese Angriffsszenarien sind kaum Schutzmaßnahmen möglich. Nachrichtendienste wissen dies und bauen bei ihrer Spionagearbeit immer häufiger auf Trojaner und Virenprogramme. Sei es von außen eingeschleust oder mithilfe von Mitarbeitern.

Vor allem der „innere Feind“ sabotiert meist mit einfachen Tatwaffen, wie USB-Sticks, die organisationsweite IT-Infrastruktur, legt komplette Produktionen lahm oder hat beim Datendiebstahl leichtes Spiel. Für Frank Romeike, Moderator und Referent des Security Summit und Geschäftsführer der Risknet GmbH, ist diese Entwicklung kein Wunder: „Die Sorglosigkeit mit der viele Unternehmen im Kampf gegen den Datenklau agieren macht vor allem eines klar. Es mangelt in vielen Fällen an Risikomanagement- und Awarenessprogrammen.“ Und darauf zielt der IT-Trainingsanbieter qSkills mit seinen Risikomanagement-Schulungen.

Oft können Mitarbeiter ungehindert an sensible Daten gelangen, diese mit der Handykamera fotografieren oder auf einen Datenträger kopieren und einfach entwenden. Und dieser Datendiebstahl kann Unternehmen teuer zu stehen kommen. Sei es in puncto eines Datenverlustes sensibler Unternehmensinformationen oder einem Imageschaden, der sich nicht in Zahlen beziffern lässt.

„Meist werden Anti-Viren-Scanner und Firewalls installiert. Informationssicherheit beginnt jedoch bereits bei der morgendlichen Fahrt mit der S- oder U-Bahn zum Büro. Damit einher geht die mangelnde Einstellung zu Informationssicherheit und Risikomanagement vonseiten der Mitarbeiter“, so Romeike. Im Klartext: Es fehlt eine gelebte Sicherheits- und Risikokultur.

Mitarbeiter sensibilisieren

Um den möglichen Bedrohungen von Außen und Innen Herr zu werden, bedarf es klarer Spielregeln im Umgang mit wichtigen Unternehmensdaten. Hierzu gehört einerseits, Lieferanten genauer unter die Lupe zu nehmen. Will heißen, bereits im Vorfeld die Vertrauenswürdigkeit von Hard- und Software zu prüfen. Dabei sollte die Frage im Mittelpunkt stehen: wer liefert überhaupt? Aus welchem Land stammen die IT-Produkte und kann ich als Unternehmen dem Zulieferer trauen? Hier ist Sorgfalt geboten, denn Spionagetechnologien werden gerne in IT-Lösungen versteckt – meist unauffindbar. Hinzu kommt, dass Unternehmen nicht alle Server, Notebooks oder Router auf links drehen und absichern können. Das übersteigt die Kapazitäten der meisten Unternehmen, sowohl in Bezug auf Zeit als auch den Kosten.

Ein wesentlicher Aspekt spielt beim modernen Datendiebstahl der Faktor Mensch. Seine Verhaltensweisen tragen meist zu Datenpannen bei. Über Social Engineering wird das persönliche Umfeld von Personen ausspioniert, um an Identitäten und Passwörter zu gelangen sowie in fremde Computersysteme einzudringen. Leicht wird es in diesem Zusammenhang dank Social-Media-Lösungen.

Facebook, Twitter & Co. sind bei Unternehmen und Datendieben gleichermaßen beliebt. Während Organisationen über die neuen Kommunikationskanäle mehr und mehr Informationen verbreiten, nutzen Kriminelle und staatliche Stellen die Sorglosigkeit vieler Firmen gnadenlos aus. Daten werden von potenziellen Opfern im Internet bereitgestellt und darüber lassen sich wiederum Verhaltensmuster von Firmenmitarbeitern ableiten, die von den Social Hackern bewusst aufgegriffen werden.

Dr. Werner Degenhardt von der Fakultät Psychologie und Pädagogik der Ludwig-Maximilian Universität München, verwies in seinem Vortrag auf die Lernfähigkeit von Mitarbeitern im Umgang mit Informationen und den dazugehörigen Verhaltensmustern.

Zum Erfolg werden solche Maßnahmen aber erst mit klaren Regeln und der Einsicht der Unternehmen, dass Mitarbeiter stärker in den Risikomanagement- und Awareness-Prozess integriert werden müssen. Oder wie Romeike resümiert: „Egal, wie viele Fälle von weißen Schwänen wir schon beobachtet haben, lässt das nicht den Schluss zu, dass alle Schwäne weiß sind. Unternehmen werden durch schwarze Schwäne ruiniert.“ Die Kunst des Risikomanagements liege eben exakt darin, die potentiellen schwarzen Schwäne rechtzeitig zu erkennen.

Foto: Knipseline/ Pixelio.de

Industriespionage

Risikofaktor Mensch

Sie sind professionell organisiert, setzen Hackermethoden ein und nutzen die Neugier der Menschen gnadenlos aus: moderne Industriespione. Neben Konzernen haben sie mittlerweile auch den deutschen Mittelstand im Visier. Die Angreifer interessieren sich für Daten aus Forschung & Entwicklung, Kundendatenbanken oder Prozessbeschreibungen.

Foto: Pixelio.de/ Gerd Altmann/ AllSilhouettes.com

Sicherheitskultur

Risikobewusstsein braucht Wissen

Das Thema Awareness und Sicherheitskultur ist wichtig, wie eine KPMG-Umfrage unter 500 Führungskräften zeigt. 87 Prozent der Firmen und 96 Prozent der Finanzdienstleister nennen demnach Unachtsamkeit als Hauptfaktor, der E-Crime-Vorfälle begünstigt hat.

Foto: qSkills Security Summit

qSkills

5. Security Summit zur Informationssicherheit

Unternehmensdaten sind wichtig – sowohl für das Unternehmen als auch seine Konkurrenz. Der 5. qSkills Security Summit zeigt deshalb am 15. Oktober 2012 in Nürnberg neueste Trends für mehr Informationssicherheit in Organisationen.

Kötter

Mitarbeiter für Cybercrime sensibilisieren

Die Internet-Kriminalität ist weiter auf dem Vormarsch. Dabei stellt Cybercrime eine erhebliche Gefahr insbesondere auch für kleine und mittelständische Unternehmen dar.