Aus Linux-Magazin 01/2010

Security Awareness: Der Mensch als Sicherheitsrisiko

©Tommy Ingberg, 123rf.com

Mit Linux wird nicht automatisch alles besser, wenn die größte Bedrohung für die IT vor dem Computer sitzt. Praxisgerechte Ratschläge für Admins gibt das folgende “Sicherheitshandbuch Mensch” .

Dau, Dumm-User, PEBKAC (Problem Exists Between Keyboard And Chair) – dem Anwender trauen Administratoren selten viel, bisweilen alles zu, erst recht dann, wenn es um Sicherheit geht. Aber letztlich müssen sich Admins und User doch zusammenraufen, weil moderne Angriffe Anwender direkt angehen.

Gemischt: Blended Threats

So genannte Blended Threats [1], also Attacken, die grundverschiedene Angriffstechniken kombinieren, machen es dem IT-Leiter schwer, ohne die Kooperation der PC-Nutzer Informationen zu schützen. Der menschliche Faktor verdient in der IT-Sicherheit heute aus einer ganzen Reihe äußerer Gründe mehr Aufmerksamkeit als in vergangenen Jahren.

Die Angriffsschemata haben sich geändert, Firmen stehen im Fokus gezielter Attacken, wobei nicht mehr wie in einem Computerspiel der Sieg des Hackers über das Sicherheitssystem das Hauptziel ist, sondern der Diebstahl oder die Manipulation von Informationen aus wirtschaftlichen Motiven. Manchmal geht es schlicht um den Missbrauch von Rechenleistung, etwa indem die Angreifer Trojanische Pferde auf Firmen-PCs schleusen und diese für sich arbeiten lassen, meist mit Aufgaben, die die Opfer auch rechtlich in die Bredouille bringen.

Für moderne Angreifer steht die Computertechnik weit weniger im Mittelpunkt als für die klassischen Hacker, gerade das macht sie aus der Sicht von IT-Spezialisten auch viel schwieriger, weil unberechenbarer. Die Angreifer setzen jedes beliebige erfolgversprechende Mittel ein, das ihnen Zugang zu verwertbaren Informationen verschafft, solange es ihr Zeit- und Ressourcenbudget nicht sprengt.

Deshalb nehmen in letzter Zeit Blended Threats deutlich zu, Angriffsbäume enthalten heute technische und menschliche Komponenten, bestehen also aus Hacking-Elementen, Malware-Einsatz und direkten Attacken auf Menschen in Form von Social-Engineering-Angriffen.

Zu Beginn spionieren Angreifer vielleicht auf technischem Weg erste Hinweise auf die Infrastruktur des Unternehmens aus, dann erschleichen sie sich ein Kennwort bei einem Sachbearbeiter und stehlen dessen Notebook. Mit den so gesammelten Hintergrundinformationen horcht auf dem Golfplatz ein scheinbarer Insider den Leiter der Entwicklungsabteilung aus, worauf er endlich mit den Rechten eines internen Mitarbeiters zu jener Datenbank vordringt, in der die zentralen Projektdaten gespeichert sind.

Technisch wehrlos?

Rein technisch verstandene IT-Sicherheit kann heute Informationen nicht mehr umfassend schützen. Wer als Sicherheitsverantwortlicher im Sinne des Bundesamtes für Sicherheit in der Informations- technik (BSI) arbeitet, muss die Anwender ins Boot holen, sie instruieren und befähigen zur Sicherheit beizutragen, am PC genauso wie am Telefon.

Studien von Corporate Trust [2] gehen davon aus, dass 2007 jedes fünfte deutsche Unternehmen bereits von Industriespionage betroffen war und dass dabei jährlich 2,8 Milliarden Euro Schaden für die deutsche Wirtschaft entstehen. Der Informationsabfluss durch eigene Mitarbeiter hatte mit 20,3 Prozent den höchsten Anteil am Geschehen. Das darf jedoch nicht zu dem Schluss verleiten, die eigenen Mitarbeiter seien in diesem Maße böse. Wie weitere Studien belegen ([3], Abbildungen 1 und 2) sind Unachtsamkeit und Unkenntnis bedeutend häufigere Problemquellen als etwa kriminelle Energie.

Abbildung 1: Eine Studie von Pricewaterhouse Coopers zeigt: Die Unternehmenskultur bestimmt, wie ausgeprägt das Sicherheitsverhalten der Mitarbeiter ist.

Abbildung 1: Eine Studie von Pricewaterhouse Coopers zeigt: Die Unternehmenskultur bestimmt, wie ausgeprägt das Sicherheitsverhalten der Mitarbeiter ist.

Abbildung 2: Der PWC-­Untersuchung zufolge wirkt sich schon die bloße Existenz einer Unternehmensethik messbar positiv aus.

Abbildung 2: Der PWC-­Untersuchung zufolge wirkt sich schon die bloße Existenz einer Unternehmensethik messbar positiv aus.

Gleichzeitig wird der Umgang der Unternehmen und der IT-Abteilungen mit den Anwendern aber immer schwieriger. Die Grenzen zwischen Privatleben und Arbeitszeit weichen auf [4]. Mobile Geräte nehmen zu und immer mehr kreativ tätige Arbeitnehmer surfen und mailen zu Hause so viel auf eigene Kosten für den Arbeitgeber, wie sie im Büro private Dinge erledigen.

Zu viel Kontrolle gilt deshalb als unfair [5] und die Forderung nach größerem Respekt im Umgang mit Anwendern erhält umso mehr Zustimmung, wie die Arbeitnehmerüberwachung durch den Datenhunger einzelner Firmen in Verruf gerät. Admins und Manager gleichermaßen können ihre Jobs verlieren, wenn sie Security mit Big-Brother-Methoden erzwingen wollen.

Für die Sicherheit engagieren sich ohnehin nur loyale Mitarbeiter und loyal bleiben nur die, die sich nicht misstrauisch überwacht und gegängelt fühlen. Hinzu kommt, dass die Globalisierung kulturelle Konflikte mit sich bringt. Schon die Risiken selbst fallen regional unterschiedlich aus, weil Personen verschiedener Kulturkreise in verschiedenen Lebensund Arbeitsbereichen auch differierende Risikobereitschaft zeigen. Richtlinien in einem expandierenden weltweiten Unternehmen sind in jedem Fall auf verschie- dene Einsatzorte anzupassen.

Ist Linux sicherer?

In der allgemeinen Wahrnehmung gilt Linux als sicherer als Windows. Dies mag insoweit stimmen, als es für Linux und andere Unix-Derivate weniger Malware gibt als für Windows. Außerdem unterscheiden Linux- und Unix-Varianten meist konsequent zwischen Anwender- und Administrationskonten sowie User- und Kernelspace und laufen im Regelfall nicht standardmäßig im Administratormodus. Diese Vorzüge des Open-Source-Betriebssystems reduzieren generell die Verletzlichkeit für ein paar gängige An- griffsvektoren. Vor allem für solche, die arglosen Nutzern der Microsoft-Betriebssysteme das Leben schwer machen. Das gilt umso mehr, wenn Systeme aus der Zeit vor Vista im Spiel sind.

Unglücklicherweise geht die Bedeutung dieser Vektoren zurück. Wer die Folgen dieser Entwicklung einschätzen will, muss zwei Einsatzmodi von Linux betrachten: Der Pinguin in der Hand von erfahrenen Fachleuten oder Power-Usern einerseits, andererseits Linux als Arbeitsplatzsystem in Organisationen, die ihren Mitarbeitern das System einfach per Migrationsverordnung überstülpen. Solche reinen Anwender wollen sich mit ihren Computern nur so intensiv auseinandersetzen, wie sie es vielleicht auch mit ihren Autos, Fahrrädern und Kaffeemaschinen tun. Es ist ihnen nicht zu verübeln, wenn sie IT nicht im Detail zu verstehen versuchen, sie müssen auf anderen Gebieten Profis sein.

Linux macht sie zwar auf jeden Fall etwas weniger verwundbar als die Windows-User, aber mit dem Rest der Bedrohun- gen kämpfen sie genauso wie jeder Benutzer anderer Betriebssysteme auch: Sie plaudern unbedacht Informationen aus, schreiben Kennwörter auf, verlieren Notebooks und USB-Sticks in U-Bahnen, fallen Phishing-Attacken zum Opfer und geben zu viele Informationen weiter, weil ihre Anwendungen die Selektion zu schwierig machen oder weil der Zeitdruck alle Regeln für Sicherheit im Betrieb ad absurdum führt.

Dort, wo die Technik überhaupt im Spiel ist, bringt Linux nicht mehr als ein gut eingestelltes Windows-System. Ein Power-User wiederum mag sein System in Eigenregie gegen technische Attacken abgeschottet haben, aber auch er ist als Mensch verwundbar. Psychologen – wie etwa Werner Degenhardt von der Universität München, Dozent und zugleich CIO seines Departments und Identitätsmanagement-Spezialist – meinen sogar, bei dieser Personengruppe schlage vermehrt der “Control Bias” zu Buche: jene fest verdrahtete menschliche Einschätzung, die eine Person annehmen lässt, alles werde gut, solange sie nur selbst am Steuerknüppel sitze oder die Fäden in der Hand halte [6].

Control Bias

Im richtigen Leben fahren Menschen unbesorgt 100 Kilometer im Auto zum Flughafen und sitzen dann zitternd im Flieger, obwohl jede Statistik ihnen sagt, dass sie den gefährlichsten Teil ihrer Reise schon überstanden haben – ein skurriles Phänomen, auf das auch der US-Security-Guru Bruce Schneier in seinem Blog regelmäßig hinweist [7].

Power-User halten sich in besonderem Maße für souveräne Herrscher über ihre IT-Infrastruktur und über die Gefahren des Web und probieren gerade deshalb gern einmal Tricks und Webseiten aus, die sie anderen Anwendern strickt verbieten. Ihr einziger Vorteil ist dann, dass sie technische Probleme, die aus mangelnder Vorsicht resultieren, in der Regel schneller wieder beseitigen können als die Durchschnittsanwender.

Den Social-Engineering-Profis aber gehen Linux-Fans genau so leicht auf den Leim wie alle anderen Opfer. Etwa dann, wenn die Manipulatoren gezielt ebenfalls als Linux-Spezialisten auftreten und den Fachjargon einsetzen, um Vertrauen zu wecken. Die sensiblen Daten wieder völlig unter eigene Kontrolle zu bekommen, ist meist aussichtslos.

Aus Sicht von IT-Profis ist das Risikoverhalten von Anwendern am PC oft unverständlich und erscheint dumm oder verantwortungslos. Spezialisten vergessen aber leicht, dass sie sich im Laufe ihrer Karriere über ihr Wissen und durch permanente Auseinandersetzung mit der Materie ein besonderes Gefühl für ungewöhnliches Verhalten von IT-Systemen und für die Auswirkungen schädlicher Prozesse erarbeitet haben. Für Außenstehende erscheint ihr Verständnis der Materie so magisch und unerreichbar wie die Fähigkeit eines Automechanikers, Motorprobleme allein aufgrund der Geräusche des Fahrzeugs zu erkennen.

Sorglose Trojaner

Warum risikogerechtes Verhalten am PC für bloße Nutzer so schwierig ist, lässt sich gut an der auf den ersten Blick unverständlichen Sorglosigkeit beim Umgang mit ausführbaren Programmen aus Web und E-Mail erklären: Die fehlende Vorsicht vor Trojanischen Pferden resultiert aus fehlenden Erfahrungswerten. Weil die User von moderner Malware auf ihren Rechnern unmittelbar nichts merken, entwickeln sie auch kein passendes Verhalten dagegen.

Dass Schadprogramme Daten versenden oder im Hintergrund strafbare Aktivitäten entfalten, bleibt für die meisten Anwender eine abstrakte Gefahr. Ohne plastische, geduldige und für sie verständliche Erklärungen haben sie deshalb keinen Zugang zum Risikopotenzial – ganz anders bei Alltagsgefahren, die sie permanent durch ihre Sinne erfassen. Hinzu kommen ein paar weitere menschliche Eigenschaften, die sich in der Offline-Welt über Jahrtausende hinweg bewährt und nun ausgerechnet beim Einsatz von IT-gestützter Kommunikation negative Auswirkungen haben. Dazu gehört auch die SureGain-Heuristik, die Menschen eher zu einem kleinen, sicheren Gewinn greifen lässt als zu einem unsicheren großen. Sie hat auch die Konsequenz, dass die meisten Menschen für ein sicher zu erreichendes und zugleich dringendes Etappenziel die Bedenken über den Ausgang umfassenderer Projekte erst einmal in den Hintergrund schieben.

Genau dies führt dazu, dass ein Anwender alle Warnungen in den Wind schlägt, wenn er beim Absenden einer wichtigen Nachricht irgendwo in einem Hotelnetz die Meldung erhält, dass die Kommunikation potenziell unsicher sei oder dass er eine unbekannte Software installieren müsse. Ein Arbeitnehmer, den der Vorgesetzte nur am primären Ziel seines Tuns misst, der kein Lob erhält, wenn er für sicheres Verhalten Zeit opfert, wird erst recht so vorgehen.

Manipuliert ein Angreifer einen Menschen hingegen direkt, um unberechtigt an Informationen zu gelangen, dann liegt ein Fall von “Social Engineering” vor.

Social Engineering

Die nicht wirklich sozialen Ingenieure kommen häufig durch Ausnutzen von Sympathie oder gespielter Autorität zum Ziel. Auch der Appell an Hilfsbereitschaft funktioniert gut, erfundener Zeitmangel ebenso: “Ich bin Ihr Kooperationspartner aus Taiwan, bitte senden Sie mir schnell die Entwicklungsdaten, sonst kommen wir mit unserem neuen Lieferanten nicht zum Vertrag!”

Geschenke oder gezielte Unterstützung wirken, weil sie in nahezu jedem Kulturkreis unweigerlich den Wunsch wecken, etwas zurückzugeben. Macht ein Social Engineer seinem Opfer vor, alle anderen im Betrieb würden in einer ganz bestimmten Weise handeln, hat er ebenfalls gute Chancen: “Wegen der einen Akte müssen Sie doch nicht den ganzen Dienstweg bemühen, Ihre Kollegen waren da nicht so pingelig.”

Hier gegenzusteuern ist schwierig und verlangt Fingerspitzengefühl, weil Vorsicht nicht zu einem lähmenden Misstrauen im Betrieb gegenüber kreativer zwischenmenschlicher Kommunikation führen darf. Wenn Abwehr von Social Engineering mit der Forderung kollidiert, Service-orientiert und hilfsbereit zu sein, ist sogar intensives Training schwieriger Situationen notwendig.

Wie die Praxis der Einbindung von Anwendern in die Sicherheitsstrategie einer Organisation heute aussehen kann, zeigte am 27. und 28. Oktober 2009 die Fachkonferenz Secaware in Düsseldorf ([8], Abbildung 3). Unternehmen und öffentliche Institutionen wie die Rückversicherung Munich Re, die Bundesverwaltung, Volkswagen, T-Systems, Enbw oder auch Microsoft leisten sich entweder eigene Teams aus Sicherheitstechnikern, Marketingprofis und Psychologen, um ihre Mitarbeiter zu trainieren, oder sie ziehen spezialisierte Dienstleister hinzu.

Abbildung 3: Auf den Vorträgen der Security-­Awareness-­Konferenz (Secaware) in Düsseldorf am 27. Oktober stand auch das Spannungsfeld zwischen Mitarbeiterüberwachung und Compliance im Fokus.

Abbildung 3: Auf den Vorträgen der Security-­Awareness-­Konferenz (Secaware) in Düsseldorf am 27. Oktober stand auch das Spannungsfeld zwischen Mitarbeiterüberwachung und Compliance im Fokus.

Die Kampagnen und Einzelmaßnahmen, die dann starten, greifen auf Medien aller Art zurück, von Filmen über Comics, Newsletter und Intranet-Sites bis hin zu klassischen Poster-Kampagnen, begleitenden Spielen und Gadgets. Die Rückendeckung der Geschäftsleitung ist ebenso Standard wie das Einbeziehen des Führungspersonals.

Gute Stimmung

Problematisch ist, dass schon die Erhebung von Defiziten in Wissen und Verhalten des Personals an Leistungsmessung grenzt und daher in enger Kooperation mit Betriebsräten und Datenschützern erfolgen muss. Auffällig war der von fast allen Referenten geäußerte Appell, auf eine vertrauensvolle Zusammenarbeit mit den Anwendern zu setzen. Im Zusammenhang mit Awareness-Maßnahmen (Bewusstsein) sollte ein eventuell aufgedecktes kritisches Verhalten der Mitarbeiter nicht bestraft werden.

Schwierig ist, wie die Secaware und der Awareness-Track der vorangegangenen Security-Konferenz ISSE [9] in Den Haag zeigten, vor allem die aus Compliance-Gründen und zur internen Rechtfertigung für viele Unternehmen unumgängliche Messung der Wirkung von Awareness-Maßnahmen. Hier sichern sich Unternehmen die Hilfe speziell ausgebildeter Sozialpsychologen, die für Risikoanalysen im menschlichen Bereich (Human Factor Risk Assessment) ein ganzes Arsenal von Befragungsmethoden einsetzen.

Führungskräfte mitnehmen

Für CIOs und Administratoren kleiner und mittlerer Unternehmen sind Kampagnen der oben geschilderten Art zwar zu groß und zu kostspielig. Das Prinzip, Führungskräfte ins Boot zu holen, weil sich Mitarbeiter eher an ihren Fachvorgesetzten oder dem oberen Management orientieren als am IT-Personal, gilt aber in Organisationen jeder Größe. Die Manager haben eine für jede Awareness-Maßnahme zentrale Aufgabe: Sie müssen den Anwendern deren Verantwortung für die Sicherheit von Informationen verdeutlichen, die sie allen technischen Schutzmaßnahmen zum Trotz haben.

Das Wort einer echten Vorbildfigur, mit E-Mails, Web oder Datenträgern vorsichtig umzugehen, kann oft mehr bewirken als noch so viele Appelle aus der IT-Abteilung. Administratoren sollten sich deshalb nach Managern umsehen, mit denen sie sich verstehen, und diese in die Arbeit einbeziehen. Manchmal finden sich in einem Unternehmen aber auch andere Respektspersonen, Sympathieträger oder Meinungsführer, die helfen können. Wer Medien einsetzen will, kann vielleicht die sonst so gescholtenen Blogger, Web-2.0- und Twitter-Fans im Betrieb dafür begeistern [4]. Ideal, aber zeitaufwändig ist es, wenn sich ein IT-Verantwortlicher eine Position erarbeitet, in der er als souveräner, aber fairer Ansprechpartner für Sorgen und Probleme in IT-Fragen gilt. Unter diesen Umständen kann er leichter Forderungen durchsetzen und lästige Regeln rechtfertigen ([10], [11])

Auf manche Anwender üben Online-Gefahren und ihre Abwehr regelrechte Faszination aus, die sich auch für Awareness-Maßnahmen nutzen lässt, so wie Live-Hacking auf Messen viele Zuschauer anzieht. Manche Personen stoßen auch im privaten Umfeld auf IT-Risiken, etwa im Zusammenhang mit Onlinebanking. Viele User möchten also durchaus verstehen, wie Hacker oder Industriespione arbeiten, und diesen Angreifern gern selbst ein Schnippchen schlagen.

Eigenverantwortung

Aus psychologischer Sicht ist das Bewusstsein, selbst etwas gegen eine Gefahr tun zu können, neben dem Verantwortungsgefühl die zweite wesentliche Vorbedingung dafür, dass sich Menschen für eine Sache wie Informationssicherheit oder Datenschutz engagieren.

Wer es – vielleicht zusammen mit der Personalabteilung – schafft, sicheren Umgang mit IT zum persönlichen Ziel der Mitarbeiter zu machen und ihnen zugleich sicherheitsbezogenes Können vermittelt, das auch am heimischen PC hilft, ist im Vorteil. Schließlich sind ja Menschen durchaus bereit, für Sicherheit Lernaufwand auf sich zu nehmen, wenn sie den Sinn und Vorteil der Sache verstehen: Sporttaucher etwa trainieren nicht umsonst freiwillig eine ganz neue Technik der Kommunikation.

Mitarbeiter sind nicht dumm in Sachen IT-Sicherheit, sondern eher unbeholfen, unsicher oder einfach desinteressiert. Nicht eine bestimmte Technik aktiviert sie im positiven Sinne, sondern eine bestimmte Art des Umgangs mit ihnen, garniert mit interessanten Informationen und gegebenenfalls kleinen Trainings kritischer Situationen.

Infos

[1] Blended Threats: [http://www.mcafee.com/us/enterprise/solutions/network_protection/blended_threat_protection_for_email_and_web.html]

[2] Corporate Trust: [http://www.corporate-trust.de]

[3] Pricewaterhouse Coopers: Wirtschaftskriminalität 2007; [http://www.pwc.de/fileserver/RepositoryItem/studie_wikri _2007.pdf?itemId=3169192]

[4] Bettina Weßelmann, Johannes Wiele, “Digital Natives und Informationssicherheit”: Kes, 5/2009, S. 6 bis 12

[5] Johannes Wiele, “Mitarbeiterdatenschutz versus Sicherheit: Das Recht hilft nur mit Diplomatie”: DuD 11/2009

[6] Psychologie der IT-Sicherheit: [http://www.presseforum08.de/fileadmin/pdf/pf/2008/2008_lmu.pdf].

[7] Bruce Schneiers Blog: [http://www.schneier.com/blog]

[8] Secaware-Konferenz: [http://www.secaware.de]

[9] ISSE-Konferenz: [http://www.isse.eu.com]

[10] Johannes Wiele, “Die Mitarbeiter als Firewall”: Lanline 7/2005, S. 56 bis 59

Die Autoren

Bettina Weßelmann ist freie Journalistin und Kommunikationsberaterin. Ihr Spezialgebiet sind die unterschiedlichen Bedingungen und Risiken internationaler Sicherheitskulturen. Dr. Johannes Wiele arbeitet als Director Business Consulting beim IT-Security-Dienstleister DefenseAG inIsmaning.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 4 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben