IT-Sicherheit: Der Mensch - Das schwächste Glied
Ursache für Sicherheitslücken ist fast immer menschliches Versagen. Mehr als 90 Prozent der Sicherheitsvorfälle, die 2014 in IT-Sicherheitssystemen entdeckt wurden, entstanden nach Informationen der weltweit tätigen IT-Sicherheitsorganisation International Information Systems Security Certification Consortium (ISC) durch menschliches Fehlverhalten.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt menschliches Versagen in seinem Lagebericht der IT-Sicherheit in Deutschland 2014 als eine der zentralen Bedrohungen auf. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) konstatierte 2013 in ihrem jährlichen Bericht über Störfälle, dass Menschen das schwächste Glied in der Sicherheitskette bleiben.
Technologie versagt, wenn Ihre Anwender falsche Entscheidungen treffen, sei es aus Unwissenheit, Versehen, Ignoranz oder Vorsatz. So wird der Mensch mit typischen Eigenschaften wie Neugier oder Gutgläubigkeit zum Risikofaktor und vielleicht sogar zur entscheidenden Schwachstelle in Ihrer Sicherheitskette.
Ein Blick auf einschlägige Statistiken von Sicherheitsvorfällen in der IT von Unternehmen zeigt, dass die berechtigten Benutzer, dazu zählen hauptsächlich die eigenen Mitarbeiter und Fremdfirmenpersonal, mit ca. 70 - 85 % der Verstöße das größte Sicherheitsrisiko darstellen.
Wie kommen diese Besorgnis erregenden Zahlen zustande? Sind die Unternehmen von kriminellen Elementen unterwandert worden? Werden keine Sicherheitsvorkehrungen getroffen? Nichts davon ist in den meisten Fällen zutreffend!
Menschliche Faktoren wie Unachtsamkeit, Leichtsinn, Spieltrieb, mangelndes Sicherheitsbewusstsein, schlechter Ausbildungsstand oder Frustration sind die überwiegenden Ursachen für Angriffe durch eigenes Personal. Bei fremden Angreifern sind kommerzielle Motive ("Werksspionage"), Spieltrieb, Leichtsinn; Geltungssucht oder Rachegelüste vorherrschend.
Eine für geübte Angreifer sehr ergiebige Schwachstelle hat mit Technik gar nichts zu tun. Der effizienteste Angreifer ist ein guter Zuhörer, der die Kunst des Social Engineering beherrscht. Die Bezeichnung Social Engineering wird von Angreifern für Techniken verwendet, die auf Schwächen der menschlichen Akteure (Programmierer, Administratoren, Operatoren etc.) als auf Schwächen in der Software abzielen. Das Ziel ist es, Leuten Kennwörter oder andere Informationen zu entlocken, die die Sicherheit eines Zielsystems kompromittieren.
Social Engineering konzentriert sich auf das schwächste Glied in der Sicherheitskette, den Menschen, der nur zu gerne bereit ist, zugunsten von einem Quäntchen Anerkennung und Bequemlichkeit auf Sicherheitsmerkmale zu verzichten.
Alle Computer-Systeme sind in irgendeiner Weise von Menschen abhängig, sodass diese Sicherheitslücke sozusagen Plattform übergreifend ist, also unabhängig von eingesetztem Betriebssystem, Software, Art des Netzwerkes oder auch vom Alter der verwendeten Hardware. Somit ist jeder, der auch nur zu einem Teil Zugang zu einem Computer-System hat, als potenzielles Risiko für die Sicherheit eben dieses Systems zu betrachten. Jede Information aus einem System kann dazu verwendet werden, weitere Informationen zu beschaffen. Somit können auch Personen, die nicht zum IT-Personal gezählt werden, Ausgangspunkt massiver Sicherheitsverletzungen sein.
