Hacker-Studium IT-Sicherheit: "Bei der Sensibilisierung von Mitarbeitern gibt es Grenzen"

Risiken in Zeiten    der Digitalisierung

Hacker-Studium IT-Sicherheit: "Angriff und Verteidigung sind eine Einheit"

"Bei der Sensibilisierung von Mitarbeitern gibt es Grenzen"

Die Sicherheit der Technik ist nicht die einzige Schwachstelle: Wie kann man Angestellte aufklären, dass diese auf gefälschte Mails, die sogenannten Phishing-Attacken, nicht mehr hereinfallen?
Teilweise sind diese so gut gemacht, darüber kann man gar nicht aufklären. Ein Kollege von mir ist Kryptologe und hat eine Phishing-Mail bekommen, in der ein angeblicher Kollege aus Korea behauptet, er habe einen Fehler in einer Publikation gefunden. Den Namen des koreanischen Sicherheitsforschers gab es wirklich. Im Anhang sollte angeblich der Fehler markiert sein. Dort war aber eine .exe-Datei, also eine Anwendung, und keine PDF. Das war super-professionell gemacht, genau auf den Empfänger zugeschnitten.

Wenn sogar Profis damit Probleme haben, wie können dann Mitarbeiter für eine sichere Datennutzung sensibilisiert werden?
Bei der Ausbildung und Sensibilisierung von Mitarbeitern gibt es gewisse natürliche Grenzen. Es gibt in diesem Gebiet auch viel Unfug: Unselige Passwort-Policies schreiben vor, alle drei Tage sein Passwort zu wechseln. Dann darf es auch noch nur aus Sonderzeichen bestehen. Das bringt nicht wirklich viel und lenkt die Aufmerksamkeit in die falsche Richtung. Eine gut gemachte Phishing-Mail wird von einer solchen Policy überhaupt nicht abgedeckt. Darüber kann man nicht mehr aufklären, sondern muss technische Maßnahmen ergreifen um den Schaden zu minimieren, wenn so etwas passiert.

Bräuchten wir eine staatliche Zertifizierung, eine Art IT-TÜV? Bei selbstfahrenden Autos dürfte das Risiko in Zukunft doch eher die elektronische Steuerung als die Bremsen sein.
So eine Diskussion gibt es in den USA gerade. Die großen Initiativen von Netzaktivisten sind aber gegen die Gesetzesinitiative, so einen IT-TÜV einzuführen. Eine Zertifizierung ist eine gute Maßnahme für über lange Jahre statische Technologien. Bremssysteme von Autos sind nicht so dynamisch wie die Informationstechnologie.

Was würden Sie stattdessen empfehlen?
Bug-Bounty-Programme und Penetration-Tests sind flexibel und finden neue Lücken auch in neuen Komponenten. Wenn Sie eine Sicherheitszertifizierung für ein IT-System haben, dürfen Sie nur Updates durchführen, keine Upgrades. Das ist einer der Gründe dafür, warum der Internet-Explorer 6 noch recht häufig anzutreffen ist, obwohl er seit 10 Jahren veraltet ist. Eine Firma, die auch nur auf Internet-Explorer 7 upgradet, verliert ihr Zertifikat. Hier widerspricht eine Zertifizierung der sinnvollen Empfehlung, stets die aktuellste Software zu nutzen.

Anzeige

Vielen Dank für das Gespräch!

Anzeige
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%