Sorglose Trojaner
Warum risikogerechtes Verhalten am PC für bloße Nutzer so schwierig ist, lässt sich gut an der auf den ersten Blick unverständlichen Sorglosigkeit beim Umgang mit ausführbaren Programmen aus Web und E-Mail erklären: Die fehlende Vorsicht vor Trojanischen Pferden resultiert aus fehlenden Erfahrungswerten. Weil die User von moderner Malware auf ihren Rechnern unmittelbar nichts merken, entwickeln sie auch kein passendes Verhalten dagegen.
Dass Schadprogramme Daten versenden oder im Hintergrund strafbare Aktivitäten entfalten, bleibt für die meisten Anwender eine abstrakte Gefahr. Ohne plastische, geduldige und für sie verständliche Erklärungen haben sie deshalb keinen Zugang zum Risikopotenzial - ganz anders bei Alltagsgefahren, die sie permanent durch ihre Sinne erfassen. Hinzu kommen ein paar weitere menschliche Eigenschaften, die sich in der Offline-Welt über Jahrtausende hinweg bewährt und nun ausgerechnet beim Einsatz von IT-gestützter Kommunikation negative Auswirkungen haben. Dazu gehört auch die SureGain-Heuristik, die Menschen eher zu einem kleinen, sicheren Gewinn greifen lässt als zu einem unsicheren großen. Sie hat auch die Konsequenz, dass die meisten Menschen für ein sicher zu erreichendes und zugleich dringendes Etappenziel die Bedenken über den Ausgang umfassenderer Projekte erst einmal in den Hintergrund schieben.
Genau dies führt dazu, dass ein Anwender alle Warnungen in den Wind schlägt, wenn er beim Absenden einer wichtigen Nachricht irgendwo in einem Hotelnetz die Meldung erhält, dass die Kommunikation potenziell unsicher sei oder dass er eine unbekannte Software installieren müsse. Ein Arbeitnehmer, den der Vorgesetzte nur am primären Ziel seines Tuns misst, der kein Lob erhält, wenn er für sicheres Verhalten Zeit opfert, wird erst recht so vorgehen.
Manipuliert ein Angreifer einen Menschen hingegen direkt, um unberechtigt an Informationen zu gelangen, dann liegt ein Fall von "Social Engineering" vor.
Social Engineering
Die nicht wirklich sozialen Ingenieure kommen häufig durch Ausnutzen von Sympathie oder gespielter Autorität zum Ziel. Auch der Appell an Hilfsbereitschaft funktioniert gut, erfundener Zeitmangel ebenso: "Ich bin Ihr Kooperationspartner aus Taiwan, bitte senden Sie mir schnell die Entwicklungsdaten, sonst kommen wir mit unserem neuen Lieferanten nicht zum Vertrag!"
Geschenke oder gezielte Unterstützung wirken, weil sie in nahezu jedem Kulturkreis unweigerlich den Wunsch wecken, etwas zurückzugeben. Macht ein Social Engineer seinem Opfer vor, alle anderen im Betrieb würden in einer ganz bestimmten Weise handeln, hat er ebenfalls gute Chancen: "Wegen der einen Akte müssen Sie doch nicht den ganzen Dienstweg bemühen, Ihre Kollegen waren da nicht so pingelig."
Hier gegenzusteuern ist schwierig und verlangt Fingerspitzengefühl, weil Vorsicht nicht zu einem lähmenden Misstrauen im Betrieb gegenüber kreativer zwischenmenschlicher Kommunikation führen darf. Wenn Abwehr von Social Engineering mit der Forderung kollidiert, Service-orientiert und hilfsbereit zu sein, ist sogar intensives Training schwieriger Situationen notwendig.
Wie die Praxis der Einbindung von Anwendern in die Sicherheitsstrategie einer Organisation heute aussehen kann, zeigte am 27. und 28. Oktober 2009 die Fachkonferenz Secaware in Düsseldorf ([8], Abbildung 3). Unternehmen und öffentliche Institutionen wie die Rückversicherung Munich Re, die Bundesverwaltung, Volkswagen, T-Systems, Enbw oder auch Microsoft leisten sich entweder eigene Teams aus Sicherheitstechnikern, Marketingprofis und Psychologen, um ihre Mitarbeiter zu trainieren, oder sie ziehen spezialisierte Dienstleister hinzu.
|
Abbildung 3: Auf den Vorträgen der Security-Awareness-Konferenz (Secaware) in Düsseldorf am 27. Oktober stand auch das Spannungsfeld zwischen Mitarbeiterüberwachung und Compliance im Fokus.
|
Die Kampagnen und Einzelmaßnahmen, die dann starten, greifen auf Medien aller Art zurück, von Filmen über Comics, Newsletter und Intranet-Sites bis hin zu klassischen Poster-Kampagnen, begleitenden Spielen und Gadgets. Die Rückendeckung der Geschäftsleitung ist ebenso Standard wie das Einbeziehen des Führungspersonals.
| Whitepaper |
|---|
|
Daten Migration - Eine Publikation von Bloor Research
Datenmigrationsprojekte überschreiten häufig das Budget, neigen zu Verzögerung und werden unter Umständen komplett abgebrochen. Bloor Research ist eines der weltweit führenden IT-Forschungs-, Analyse- und Beratungsunternehmen und wird in dem vorliegenden White Paper die wichtigsten Aspekte dieser Problematik näher beleuchten. Ferner werden praktische Empfehlungen für erfolgreiche Migrationsprojekte gegeben, die Sie auf Ihr nächstes Projekt übertragen können.
Download PDF (Registrierung erforderlich)
|
|
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele
Über die letzten Jahre hinweg haben sich Open Source Lösungen als fester Bestandteil des gesamten Datenintegrationsmarktes etabliert. Viele Unternehmen haben bereits das Open Source Modell für Ihre Datenintegrationsprojekte aufgegriffen. Das vorliegende White Paper illustriert anhand ausgewählter Fallstudien und Anwendungsbeispiele die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
