WiWo App 1 Monat für nur 0,99 €
Anzeigen

IT-Sicherheit Die Gefahr sitzt vor dem Rechner

Wenn es um Computer geht, sind die Deutschen manchmal regelrechte Trottel. Technisches Halbwissen und Naivität von Unternehmen können zur echten Gefahr werden.

  • Artikel teilen per:
  • Artikel teilen per:
Short-Cuts, die einem das Leben schwer machen
SprachwechselDa tippt man fröhlich vor sich hin und auf einmal ist alles anders: Das „Y“ wird zum „Z“ und andersherum. Das @-Zeichen ist nicht mehr da, wo es hingehört und auch die Umlaute funktionieren nicht mehr. In diesem Fall wurde die Tastatur von Deutsch auf Englisch eingestellt. Je nachdem welche Sprachen eingestellt wurden, verändert sich die Funktion der Tasten. Zwischen den installierten Sprachen lässt sich mit SHIFT+ALT wechseln.
KopfstandDa kann man schon mal einen Schreck bekommen. Auf einmal stehen alle Fenster im Desktop Kopf. Wer keinen Kopfstand vorm Rechner machen möchte, kann einfach die Tastenkombination STRG+ALT+PFEIL NACH OBEN drücken. So wird das Bild wieder richtig ausgespielt.
DunkelzeitDüster wird der Desktop bei allen, die ausversehen die Farben ihres Bildschirms intensiviert haben. Einfach SHIFT+ALT+DRUCK drücken und alles sieht wieder normal aus.
Der KlassikerAuf einmal erscheinen alle Buchstaben in VERSALIEN? DA IST MAN DANN WOHL AUF DIE CAPS_LOCK_TASTE GEKOMMEN: DIE BEFINDET SICH ÜBER DER SHIFT_TASTE: EINFACH NOCHMAL DRÜCKEN – und alles ist wieder normal.
Notebook-PanneWer auf einem Notebook einen Text schreibt und plötzlich zwischen drinnen Zahlen statt Buchstaben tippt, der ist auf die Num-Lock-Taste gekommen. Diese aktiviert den Zahlenblock auf dem Rechner, der auf den Buchstaben I, J, K, L und M liegt. Auch hier gilt: Nochmal drauf klicken, und das Problem ist behoben.
Num-Lock die ZweiteDie Num-Lock-Taste kann einem auch am normalen Rechner fürchterlich auf den Keks gehen. Denn auch ein Klassiker ist es, diese nicht eingestellt zu haben, so dass trotz drücken der Tasten, die Zahlen einfach nicht auf dem Bildschirm erscheinen wollen.
Das Ende der Short-CutsManchmal passiert es, dass die kleinen hilfreichen Short-Cuts einfach nicht mehr funktionieren wollen. Zum Beispiel, wenn man fünf Mal hintereinander die Shift-Taste gedrückt hat. So wird die Einrast-Funktion eingestellt und zugelassen, dass die Short-Cuts, die mehrere Tasten betreffen, nicht gleichzeitig gedrückt werden müssen, sondern hintereinander.

Jeder kennt das Gefühl, am PC zu verzweifeln – wenn der Rechner nicht macht, was er soll. Die Tastatur klemmt, die Maus bewegt sich nicht mehr oder ganze Datensätze sind plötzlich nicht mehr aufzufinden. Der Affengriff (Zur Erinnerung: Tasten "Steuerung", "Alt", "Entfernen" gleichzeitig drücken!) hilft auch nicht mehr. Es folgt ein panischer Anruf in der IT-Abteilung, die in der Regel penetrant gelassen zurückfragt: „Schon mal den Rechner neu gestartet?“

Der Blick in deutsche Büros zeigt: Wir sind ahnungslos. Projektmanager, Sekretäre, Auszubildende und Chefs sitzen vor Maschinen, von denen sie nicht den leisesten Schimmer haben. Hinzukommt: Das technische Halbwissen der Mitarbeiter kann für Unternehmen eine kostspielige Angelegenheit werden.

Wie einfach und schnell Daten preisgegeben werden können, zeigt dieses Beispiel: 2005 wurde ein Word-Dokument den Vereinten Nationen zum Verhängnis. Ein Ermittlungsbericht zum Mordfall des libanesischen Ex-Präsidenten Rafik al-Hariri machte damals die Runde. Namen darin waren gelöscht worden, so dass nur noch von „hochrangigen syrischen und libanesischen Funktionären“ die Rede war. Die Verantwortlichen sollten eigentlich nicht genannt werden. Doch das Dokument wurde als Doc-Datei weitergeleitet. Darin lassen sich ganz einfach ältere Versionen des Textes über die Überarbeitungshistorie wiederherstellen. Zwar lassen sich diese Versionen löschen, doch das war in diesem Fall versäumt worden. Seitdem geht die UN davon aus, dass dem Attentat eine breite Verschwörung syrischer und pro-syrisch eingestellter libanesischer Kräfte zugrunde liegt. Die Ermittlungen dauern aber noch an. In diesem Fall könnte der Fehler anderer dabei helfen, ein Verbrechen aufzudecken, das man eigentlich verschleiern wollte.

In einem Unternehmen hätte so ein Fauxpas Konsequenzen. Abrechnungen könnten offengelegt werden, oder vielleicht unflätige Kommentare zu einer früheren Version des Textes oder Unternehmensdetails, die nie an den Kunden hätten gelangen sollen.

Aufpoppende Fehlermeldungen, die nur halbherzig weggeklickt werden, können Hackern den Zugriff auf den eigenen Rechner erlauben. Oder ein komplettes Militärschiff lahmlegen. Am 21. September 1997 fuhr der  amerikanische Navy-Schlachtkreuzers USS Yorktown ein Probemanöver am Kap Charles vor Norfolk an der Ostküste der USA. Bei dem Einsatz zeigte das Kontrollprogramm ein Treibstoffventil als geöffnet an, obwohl dieses eindeutig geschlossen war. Voreilig gab daraufhin ein Offizier einen Nullwert in die Datenbank ein. Doch statt das Problem damit, wie gewohnt, zu umgehen, kam es zum Systemausfall.

Auch wenn diese Beispiele schon etwas älter sind: Auch im Jahr 2013 kennt noch längst nicht jeder die Tücken der Programme, mit denen er täglich arbeitet – egal ob Excel, Word, Powerpoint oder ganz andere Programme. Hinterfragen Sie sich selbst: Wissen Sie welche Daten alle in einer Fotodatei hinterlegt sind? Oder wie sich die "Zurückfunktion" in einem Worddokument ausschalten lässt? Oder wie sie komplexe Berechnungen in Excel durchführen? Wir wissen genau so viel, wie wir können müssen. Mehr nicht. „Hacker und Kriminelle machen sich gerade die Unwissenheit von Mitarbeitern zunutze, um an Unternehmensdaten heranzukommen“, sagt auch Marc Fliehe, Sicherheits-Experte beim IT-Verband Bitkom.  Doch eben auch diese blöden Fehler, Unachtsamkeiten - der so genannte „Human Factor“ – so nennt die Wissenschaft diese Form von Tollpatschigkeit, Unwissenheit und menschliches Versagen – sind nicht zu unterschätzen.

Unternehmen gehen fahrlässig mit Sicherheitsfragen um

High-Tech-Gadgets für den Datenschutz
Auto-Transporter Quelle: Presse
DataLocker-Festplatte Quelle: Presse
MyIDkey Quelle: Presse
Blackberry Quelle: Presse
Sprachverschlüsselungssystem Topsec Mobile
Laptop Quelle: Presse
E-Mails Screenshot Quelle: Screenshot

Obwohl diese Risiken kalkulierbar sind, gehen Unternehmen sehr naiv mit dem Thema Sicherheit um. Das zeigt eine aktuelle Studie der Prüfungs- und Beratungsgesellschaft Ernst & Young (EY): Demnach halten es 86 Prozent der Manager von 400 befragten deutschen Unternehmen für unwahrscheinlich, dass ihr Unternehmen ausspioniert werden könnte. Acht von zehn Unternehmen gehen davon aus, dass die eigenen Sicherheitsvorkehrungen ausreichen, um unerwünschten Informationsabfluss zu verhindern. Tatsächlich handelt es sich bei diesen Sicherheitsmaßnahmen aber meist um Standardmaßnahmen wie Firewalls (85 Prozent) oder bestimmte Komplexitätsanforderungen für Passwörter (84 Prozent) – für geübte Hacker kein ernsthaftes Hindernis.

Zudem wandeln sich Technik und Infrastruktur derzeit mit einer unglaublichen Geschwindigkeit, die auch an die Sicherheit neue Anforderungen setzen. „Man denke zum Beispiel an die ganze Industrie 4.0“, sagt Marc Fliehe vom Bitkom. Das so genannte Internet der Dinge, bei dem zum Beispiel ganze Roboter-Produktionsstätten nur noch von einer Tastatur bedient werden, stellt neue Herausforderungen an die IT. „Für ein Unternehmen ist es fatal, wenn durch einen Anwenderfehler ganze Produktionsabläufe in Verzug geraten“, sagt Fliehe. Je dichter die digitale Vernetzung ist, desto leichter wird sie künftig auch angreifbar sein. Durch menschliches Versagen und Lücken in der IT-Sicherheit – oder durch beides.

Gefahren birgt auch der Trend, private USB-Sticks, Computer, Tablets, Smartphones und Kameras zu Unternehmenszwecken einzusetzen. 71 Prozent der Erwerbstätigen nutzen privat angeschaffte Handys und Computer auch beruflich, fand der Bitkom-Verband heraus. Richtlinien zum Datenschutz in diesem Kontext haben gerade einmal 41 Prozent der deutschen Unternehmen entwickelt. Vor allem das unbedachte Herunterladen von Apps, wird für Unternehmen immer riskanter. Der Grund: Oft werden bei der Nutzung dieser Applikationen Zugriffe freigegeben, die im Unternehmensnetzwerk per Firewall ausgesperrt blieben.

Der unachtsame Umgang mit privaten Geräten im beruflichen Kontext ist das eine. Ein Anderes ist die Schulung der Mitarbeiter auf die Programme, die im beruflichen Alltag essentiell sind. Beispiel: Ein Mitarbeiter eines Onlinemagazins war für die Publikationen von Artikeln auf mehreren Webseiten verantwortlich. Plötzlich waren zwei Seiten nicht mehr zu erreichen und konnten auch erst nach mehr als einer Stunde wieder ans Netz gehen. Tausende Klicks gingen dem Unternehmen in dieser Zeit verloren, vom Imageschaden ganz zu schweigen.

Mitarbeiter fühlen sich im Stich gelassen


Die unsichersten Android-Apps im Überblick
Die "sehr kritischen" Apps - Kontaktdaten, Kalendereinträge, E-Mail, Browserdaten oder Konten werden gelesen und unter Umständen übermittelt, ohne dass die App vorher um Erlaubnis fragt.WhatsAppAls besonders kritisch wurde in der Studie "WhatsApp" eingestuft. Der Messenger, der seit Monaten immer wieder in der Kritik steht, weist erhebliche Mängel auf: Die App verschafft sich die Berechtigung, Kontodaten zu verändern - damit ist das Lesen und Löschen von Passwörtern möglich. Außerdem ist es möglich, die Synchronisierungs- und Systemeinstellungen anzupassen. Die App zeigt den exakten Standort des Handys (und damit auch in den meisten Fällen den des Users) und den Netzwerkstatus an. Quelle: Presse, Montage WirtschaftsWoche Online
FacebookEbenfalls als besonders kritisch für Sicherheitsrichtlinien in Unternehmen wurde die Facebook-App eingestuft. Audio-, Bilder- und Videoaufnahmen sowie Kontaktdaten können verändert und gelesen werden. Dateientransfer über Facebook via Internet ist ein Kinderspiel. Auch hier ist es möglich den Telefonstatus und den Netzwerkstatus zu erkennen. Der Standort des Smartphones wird je nach Situation genau und ungefähr ermittelt. Quelle: Presse, Montage WirtschaftsWoche Online
SkypeDie App des Chat- und Telefon-Programms "Skype" verlangt bei der Installation insgesamt 28 Berechtigungen. Unter diesen sind einige, die für ein Unternehmen besonders kritisch sein können. So bekommt die Berechtigung, Kontaktdaten auf dem Smartphone zu verändern und zu lesen. Auch die Synchronisierungseinstellungen (wie Einschalten von Bluetooth) lassen sich verändern und der Netzwerkstatus wird angezeigt. Darüber hinaus verbraucht diese App sehr viel Netzwerkspeicher und Akkuressourcen. Die App wird bezüglich Firmendaten laut Studie als besonders kritisch eingestuft. Quelle: Presse, Montage WirtschaftsWoche Online
NavigonEbenfalls "sehr kritisch" für Unternehmen wird die App "Navigon" eingestuft. Diese App verschafft sich die Berechtigung, Audios und Videos aufnehmen, Systemeinstellungen und den WLAN-Status zu ändern. Auch alle Anwendungen, die aktuell auf dem Telefon laufen, können abgerufen und sogar beendet werden. Ohne Begründung für die Hauptfunktionalität können Kontaktdaten und vertrauliche Systemprotokolle gelesen und unter Umständen ins Internet übertragen werden. Zudem ist es möglich, Broadcast zu senden, was zu einem immensen Speicherverbrauch führt. Beim Broadcasting werden Datenpakete von einem Punkt aus an alle Teilnehmer eines Netzes übertragen und aufrecht zu erhalten. Quelle: Presse, Montage WirtschaftsWoche Online
ViberViber verschafft sich auch Zugriff auf etliche Funktionen des Smartphones. So lassen sich unter anderem Audios, Bilder und Video aufnehmen, Kontaktdaten schreiben und lesen und in das Internet übertragen, vertrauliche Protokolle lesen und Konten identifizieren. Es können alle Telefonnummern aus dem Adressbuch angerufen werden. Damit gilt die App für freie Internet-Telefonie als hervorragendes Tool ist aber für den Schutz von Firmendaten "sehr kritisch". Quelle: Presse, Montage WirtschaftsWoche Online
ÖffiAuch die App des öffentlichen Nahverkehrs "Öffi" wird als besonders kritisch eingeordnet. Die App kann Kalendereinträge auf dem Smartphone und Kontaktdaten lesen und diese unter Umständen ins Internet übermitteln. Diese Aktionen sind für Funktionalitäten der App nicht nötig. Außerdem wird der genaue Standort des Handys einsehbar. Quelle: Presse, Montage WirtschaftsWoche Online
SPB-TVDie TV-App SPB-TV gilt ebenfalls als besonders unsicher. Die App verschafft sich uneingeschränkten Zugang zum Internet mit dem Smartphone und kann sowohl den Telefon- als auch den Netzwerkstatus einsehen. Quelle: Presse, Montage WirtschaftsWoche Online

Der Mitarbeiter war neu im Job und hatte versucht, sich das komplexe System zur Steuerung der Homepage eigenständig zu erklären. Leider führte sein Vorgehen durch das einfache Setzen eines Hakens zum Totalausfall. Konsequenzen hatte dies für ihn keine. Die Systemadministration musste einsehen, dass dem Mitarbeiter Rechte eingeräumt wurden, die er so nicht hätte haben dürfen. 

Ohne das System wirklich zu beherrschen, wurde in diesem Fall Verantwortung übertragen. Alltag in deutschen Unternehmen: Laut einer repräsentativen Bitkom-Umfrage fühlen sich Mitarbeiter insbesondere in Fragen der IT-Sicherheit vom Arbeitgeber alleine gelassen. Danach sind etwa 19 Prozent der Mitarbeiter in deutschen Unternehmen nicht über entsprechende Regeln informiert, die Cyberkriminalität verhindern könnten. „Vier von zehn Beschäftigten bekommen in Sachen IT-Sicherheit nicht die notwendige Unterstützung von ihren Arbeitgebern, sagt Bitkom-Präsident Dieter Kempf. „Vor allem viele kleine und mittelständische Unternehmen unterschätzen die Risiken durch Computer- und Internet-Kriminalität. Noch weiter geht Bodo Meseke von Ernst and Young. „Die Unternehmen meinen, mit einer Firewall und Passwortschutz auf den Rechner seien sie ausreichend geschützt“, sagt er. „Dabei haben die jüngsten Enthüllungen gezeigt, dass Spionage und Abhörmethoden deutlich weiter fortgeschritten sind.“

 „Die Mitarbeiter müssen für das Thema sensibilisiert werden“, sagt auch IT-Experte Marc Fliehe. Die Unternehmen können noch so viel Sicherheitssoftware einrichten, wenn in der Hektik Fehlermeldungen vorschnell weggeklickt und Spam-Mails unbedacht geöffnet werden. Solche vermeintlich harmlosen Aktionen können Tür und Tor für Kriminelle öffnen – oder ein Navy-Schiff unmanövrierbar machen. „Einsicht bei den Mitarbeitern und die Identifikation mit dem Arbeitgeber sind ein gutes Fundament für die Datensicherheit“, sagt auch Bodo Meseke. Eine Methode könnte eine sogenannte Whistle-Blowing-Hotline sein. Man könnte diese Hotline auch "Anlaufstelle für Petzen" nennen. Gemeint ist damit eine anonyme Anlaufstation für Mitarbeiter, die illegale Vorgänge am Arbeitsplatz beobachten. Zum Beispiel wenn jemand verbotenerweise private E-Mails am Rechner öffnet, das Anti-Viren-Update wegklickt oder sein Daten-Backup nicht regelmäßig durchführt. Eine Whistle-Blowing-Hotline gibt es laut Ernst&Young erst in sechs Prozent der befragten Unternehmen. Seiner Meinung nach ein sinnvolles Instrument, um die IT-Sicherheit in Unternehmen zu erhöhen.

Technik schützt vor Torheit nicht

So schreddere ich Daten richtig
Warum muss ich meine Daten überhaupt löschen?Wer sein altes Handy oder Notebook nicht länger braucht, kann beides bequem über verschiedene Internetplattformen wie der Tauschbörse Ebay oder dem Rückkaufportal Momox verkaufen. Doch wer seine technischen Geräte an Dritte weiterreicht, sollte sichergehen, dass alle Daten überschrieben sind. Sonst lassen sich auch vermeintlich gelöschte Daten von geübten Nutzern leicht wiederherstellen. Quelle: rtr
Wieso muss ich beim Löschen selbst aktiv werden?Festplatten funktionieren nach einem simplen Prinzip: Wird eine Datei gespeichert, weist der Computer der Datei einen bestimmten Speicherplatz zu und merkt sich, dass er dort nichts anderes speichern darf. Wenn der Nutzer bestimmte Dateien löscht, gibt der Computer den vorher blockierten Speicherplatz wieder frei. Entfernt sind die Dateien damit aber noch nicht, sondern erst dann, wenn sie durch neue Informationen überschrieben werden. Quelle: dpa
dem werden Dateien beim Speichern in vielen Fragmenten auf der Festplatte verteilt. Oft reichen nur wenige dieser noch nicht überschriebenen Fragmente, um Dateien mit einer Wiederherstellung-Software zu rekonstruieren. Quelle: dpa
Wie säubere ich Computer und Notebooks?Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, spezielle Software zu nutzen, die kostenlos heruntergeladen werden kann. Gemeinsam ist diesen Programmen, dass sie die Festplatte mehrfach mit sinnlosen Informationen überschreiben. So bleiben die Geräte weiter nutzbar, doch keine der früheren Dateien lässt sich rekonstruieren. Zu den vom BSI empfohlenen Gratisprogrammen gehört "Eraser", das beim Onlineportal "Chip.de" heruntergeladen werden kann. Damit lassen sich auch Speichermedien wie externe Speicher und SD-Karten vollständig überschreiben. Quelle: Blumenbüro Holland/dpa/gms
Wie säubere ich meinen Smartphone-Speicher?Smartphones bieten eine Funktion, die sich sinngemäß "Daten löschen und Werkseinstellungen wiederherstellen" nennt. Allerdings ist auch hier nicht sichergestellt, dass der Speicher überschrieben wird. Wer seine persönlichen Daten vom Surfen im Netz oder aus dem Zwischenspeicher (Cache) einer Anwendung löschen will, kann auf das Programm "Quick App Manager" zurückgreifen. Quelle: dpa
Für das Löschen des kompletten iPhone-Speichers empfehlen Fachmagazine die App iErase. Für das meistgenutzte Smartphone-Betriebssystem Android hat sich noch keine vergleichbare App durchgesetzt. In Internetforen wird oft die Anwendung "Shredroid" empfohlen, doch viele Android-Nutzer klagen in Googles PlayStore über diverse Probleme. Wichtig ist auf jeden Fall, externe Speicherkarten aus dem Handy zu entfernen oder die Daten genauso wie bei einer PC-Festplatte zu löschen. Quelle: AP/dpa
Was mache ich mit kaputten Endgeräten?Auch wenn das Gerät auf den Elektroschrott soll, gibt es Mittel und Wege, alle Daten zu zerstören: Der IT-Verband Bitkom rät, den Datenträger zu schreddern. Möglich ist genauso, die PC-Festplatte oder das Smartphone in eine Plastiktüte zu stecken und dann mit einem Hammer draufzuhauen. Quelle: dpa

Auch das E-Mail-Programm Outlook hat seine Tücken. Eine PR-Assistentin, die anonym bleiben möchte, bekam eines Tages eine E-Mail von einem möglichen Kunden, der sich nach einer Zusammenarbeit erkundigte. Die Frau leitete die Anfrage formell an ihren Chef weiter und setzte den potentiellen neuen Geldgeber in Kopie, um den Kontakt herzustellen. Der Chef klickte unbedacht auf „Allen Antworten“ und schrieb zurück: „Was sind denn das für Leute? Haben die Geld?“ Erst beim Senden fiel ihm sein Fauxpas auf. Die Antwort des nunmehr nicht mehr interessierten Kunden kam schnell und heftig: „Ja, haben wir, aber nicht mehr für ihr Unternehmen.“

Ob Stress, Unwissenheit oder schlichtweg Tollpatschigkeit - helfen sollen dann IT-Mitarbeiter, die mit wachsender Technologie auch immer mehr gefordert werden. Heute sind die Techniker in einem Unternehmen oft nicht mehr nur noch für das Einrichten von Druckern und PCs zuständig. Sie sollen das Backup im Auge behalten, Datenanalysen durchführen, schulen  – und eben für die IT-Sicherheit sorgen. 72 Prozent der befragten Unternehmen gaben gegenüber Ernst and Young an, dass sich die IT-Abteilung auch um die Datensicherheit kümmert. Eine eigene Sicherheitsabteilung gibt es nur in 14 Prozent der Fälle. Und ein Präventionssystem, das Hinweise auf die Aktivitäten von Eindringlingen geben könnte, leisten sich nur etwa zwölf Prozent der befragten Unternehmen.

 

Digitale Welt



„Aktuell erleben wir, dass das Thema IT-Sicherheit viel zu sehr mit der heißen Nadel gestrickt ist“, sagt Marc Fliehe. Doch langsam erkennen die deutschen Unternehmen die Gefahren und schauen mit der wachsenden Digitalisierung durchaus besorgt in die Zukunft. Drei Viertel der befragten Manager der Ernst&Young-Studie sind überzeugt, dass die Gefahr von Cyberangriffen für ihr Unternehmen steigen wird. Und sogar 90 Prozent der Befragten glauben, dass Industriespionage die gesamte deutsche Wirtschaft künftig bedrohen wird. Neun von zehn Managern erwarten gar, dass das Risiko für Unternehmen, Opfer von Cyber-Attacken zu werden, in Deutschland zunehmen wird.

Die Frage ist, wie schnell Unternehmen auf die Cybergefahren reagieren können. Sofort müsste verstärkt in die IT-Sicherheit investieren werden. Und in Schulungen der Mitarbeiter. Denn nur so lässt sich auch der so genannte „Human Factor“ einschränken.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%