Mitarbeiter im Visier von Hackern und Datendieben


News

Zunehmend machen sich Industriespione und Hacker menschliche Schwächen und strukturelle Defizite in der IT-Sicherheit zu nutze. Waren bislang die Angriffe darauf angelegt, möglichst viele Opfer zu erreichen, geraten nun einzelne Unternehmen oder Institutionen in den Fokus eines qualitativ hochwertigen Angriffs. Darauf macht das Düsseldorfer IT-Beratungs- und Dienstleistungsunternehmen RDS Consulting aufmerksam. Bislang konzentrierten sich die Unternehmen darauf, mit rein technischen Lösungen ihre Netze und Anwendungen zu schützen. Doch nun setzen Angreifer ihren Hebel gezielt an den schwächsten Gliedern der IT-Sicherheit an: Den Mitarbeitern der Unternehmen. „Gängige Sicherheitskonzepte bürden den Mitarbeitern ein hohes Maß an Verantwortung auf. Sie müssen einerseits sorgsam mit diversen Passwörtern umgehen. Andererseits entwickeln sich die Techniken der Angreifer schneller als Sicherheitsbeauftragte die eigenen Mitarbeiter über neue Gefährdungen aufklären können“, weiß Richard Diez-Holz, Systemberater bei der Düsseldorfer RDS Consulting. Das Gefahrenbewusstsein ist dabei durchaus vorhanden: Im „Deloitte Global Security Survey 2006“, einer von Deloitte Touche Tohmatsu jährlich durchgeführten Studie unter den 150 global führenden Unternehmen im Finanzsektor, geben nahezu alle (96 Prozent) der befragten Chief Information Officers und Chief Information Security Officers an, die autorisierten Benutzer innerhalb der firmeneigenen IT-Infrastruktur als Sicherheitsrisiko anzusehen.

Passwort-Flut bereitet Probleme

Doch noch ist es gängige Praxis, dass Mitarbeiter mehrere Passwörter benötigen, um die nötigen Programme aufzurufen und Zugriff auf die Firmendaten zu erhalten. „Wer sich aber zehn oder mehr Passwörter merken muss, wählt seine Passwörter bewusst einfach und macht sich Notizen, die leicht zugänglich in der Schreibtischschublade oder sogar als Post It am Bildschirm hinterlegt sind“, hat Diez-Holz beobachtet. Hacker haben leichtes Spiel: Einfache Passworte sind leicht über Kenntnis des sozialen Umfeld des Mitarbeiters zu knacken (Social Engineering), Notizen können einfach entwendet werden. Die Fakten der Global Security Survey 2006 dazu sind alarmierend: In den vergangenen zwölf Monaten verzeichneten 78 Prozent aller befragten Unternehmen Sicherheitsvorfälle, die auf externe Ursachen zurückzuführen sind. Phishing und Social Engineering Angriffe konnten in 88 Prozent der Fälle als Ursachen nachgewiesen werden.

Identitätsdiebstahl gefährdet die IT-Sicherheit der Unternehmen

Scheiden Mitarbeiter aus dem Unternehmen aus, bleiben oft ungewollt ihre Zugänge zur Unternehmens-IT erhalten. Der Grund: Die Zahl der zu verwaltenden Anwendungen ist in der Regel so groß, dass es nicht gelingt, alle digitalen Identitäten kurzfristig zu löschen. In der Regel müssen IT-Administratoren sämtliche Zugänge und Berechtigungen des ehemaligen Mitarbeiters mühsam rekonstruieren und in einzelnen Schritten manuell deaktivieren. An dieser Stelle treten Fehler auf. Nicht deaktivierte Benutzerzugänge, weiß Diez-Holz aus der Praxis, sind aktuell ein großes Problem in den IT-Infrastrukturen von Unternehmen. Sie machen es ehemaligen Mitarbeitern einfach, weiterhin auf Informationen zuzugreifen oder diese Zugänge – oftmals unbemerkt – anderweitig zu missbrauchen. „Mit einem Identity and Access Management (IAM) lassen sich diese Probleme lösen“, sagt RDS-Berater Diez-Holz. „Doch vielen Unternehmen ist der damit noch verbundene Aufwand zu hoch. Als Einstieg bietet sich stattdessen eine Single Sign On (SSO) Lösung kombiniert mit Biometriesystemen oder Smart Cards an, die für ein IAM grundlegend sind. Und sehr schnell einen Sicherheitsgewinn bei deutlich reduzierten Kosten erreicht “.

Königsweg Biometrie-Signatur?

Statt vieler Passworte melden sich über SSO die Mitarbeiter nur noch mit einem Passwort und beispielsweise per Fingerabdruck am Firmennetz und ihren Anwendungen an. Die Anwender werden entlastet, Notizen werden überflüssig. Ein potenzieller Angreifer benötigt nun zusätzlich zu einem Passwort auch eine gültige Smart Card oder eine Biometrie-Signatur. Eine doppelte Sicherung, die die Gefahr des Identitätsdiebstahls durch Social Engineering und Phishing Angriffe senkt und die IT-Sicherheit erhöht. Diese Methodik spart Geld und Zeit. Eine 2002 von Gartner veröffentlichte Studie führt 30 Prozent aller in einem Help Desk eingehenden Anrufe auf vergessene Passwörter zurück. 20 US-Dollar etwa, schätzen Experten, kostet es im Schnitt, vergessene Passwörter wieder herzustellen. Das kann teuer werden: Bevor eine Schweizer Bankgesellschaft eine Smart-Card-basierte SSO-Lösung einführte, gab es 8.600 Passwort-Probleme bei circa 10.000 Benutzern pro Monat. Nach der Einführung sank die Anzahl auf 750 Fälle monatlich.

Themengebiete
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.