Sicherheitslücke Mitarbeiter

Rüdiger Trost, F-Secure, interne Bedrohungen

Ist der Mitarbeiter wirklich das größte Sicherheitsrisiko? Und neben kriminell motivierten Attacken tun sich immer weitere Bedrohungen auf, wie das in den vergangenen Wochen vielzitierte Beispiel des Überwachungsprogramms PRISM zeigt. Darüber haben wir mit einem Security-Scout gesprochen: Rüdiger Trost von F-Secure erläutert aus seiner Sicht, wo für Unternehmen die größten Risiken lauern.

silicon.de: Ein Marktbegleiter von F-Secure hat vor einigen Wochen eine Studie veröffentlicht, aus der hervorgeht, dass für Daten das höchste Sicherheitsrisiko innerhalb von Unternehmen besteht und nicht außerhalb, können Sie das unterschreiben?

Trost:  Datendiebstahl durch Mitarbeiter ist ohne Zweifel eine reale Gefahr. Denn diese haben die ersten Hürden schon überwunden: Sie befinden sich bereits auf dem Gelände der Firma und haben via PC häufig uneingeschränkten Zugriff auf Server oder Intranet und damit auf die Informationen des Unternehmens. Doch meiner Meinung nach, stellen die Millionen von infizierten Websites und externe Angreifer ein viel größeres Risiko dar, da sie weniger überschaubar und kontrollierbar als die eigenen Mitarbeiter sind.

 

 

silicon.de: Welches sind aus Ihrer Sicht die häufigsten Ursachen für interne Daten- oder Sicherheitspannen?

Trost: Für mich liegt der Grund vor allem im Vergessen. Unternehmen entgeht immer wieder, dass das Thema Sicherheit ein Prozess ist. Verantwortliche implementieren Lösungen und sehen sie dann zu lange als ‘sicher’ an. Eine regelmäßige Überprüfung der Maßnahmen sowie kontinuierliche Updates der eingesetzten Sicherheitssoftware gehören aber zu den wichtigsten Aufgaben eines IT-Sicherheitsbeauftragten. Zudem vergisst die Unternehmens-IT häufig, eine eigene Security Policy zu verfassen, die definiert, wie im Notfall zu handeln ist.

silicon.de: Sind es schlicht Fehler, die passieren, oder steckt da auch schon mal kriminelle Absicht dahinter? Man liest ja immer wieder von Spearheaded Attacken oder Mitarbeitern, die für den Informationsabfluss bezahlt oder unter Druck gesetzt werden.

Trost: Das ist schwer zu sagen, denn in vielen Fällen kann das Unternehmen bei Angriffen keine geeigneten Gegenmaßnahmen ergreifen oder nach den Ursachen forschen. Der Grund dafür ist simpel: Attacken werden oft gar nicht bemerkt. Hacker mit ausreichend krimineller Energie können aber wohl jeden Mitarbeiter dazu bringen, interne Informationen preiszugeben – für 100.000 Euro, 1.000.000 Euro oder für das Leben der Kinder? Solchen Angeboten und Drohungen kann man kaum mit wirksamen IT-Maßnahmen entgegensteuern.

Rüdiger Trost, Security Scout bei F-Secure. Quelle: F-Secure
Rüdiger Trost, Security Scout bei F-Secure. Quelle: F-Secure

silicon.de: Wie kann man sich als Unternehmen aus Ihrer Sicht am besten schützen?

Trost: Neben den bekannten technischen Sicherheitsmaßnahmen wie Anti-Virus, Firewall und IDS Systemen, sind vor allem drei Aspekte wichtig. Erstens, Mitarbeiter müssen für interne wie externe Angriffe sensibilisiert werden. Jeder sollte wissen, was zu tun ist, wenn ein Angriff – beispielsweise über manipulierte Mails – stattfindet. Ein zweiter Punkt ist das Priorisieren von Daten. Unternehmen müssen wissen, welche Informationen besonderen Schutz benötigen – etwa das Rezept von Coca Cola. Eben diese sensiblen und höchstvertraulichen Daten brauchen dann eine höhere Absicherung, damit nur ausgewählte Mitarbeiter Zugriff darauf haben. Eine weitere, dritte Maßnahme betrifft die Software, die stets auf Aktualität zu prüfen ist. Darunter fallen nicht nur Betriebssysteme, sondern alle Tools, Plug-Ins und sonstigen Programme. Jedem Unternehmen, ob Mittelständler oder Großkonzern, sollte das immense Sicherheitsrisiko von veralteter Software bewusst sein. Denn insgesamt könnten circa 83 Prozent aller Angriffe von den am häufigsten entdeckten Malware-Typen durch aktualisierte Software von vornherein verhindert werden. Das ergab eine aktuelle Studie von F-Secure.

silicon.de: Wagen wir den Sprung über die Firewall, natürlich gibt es gerade hier Bedrohungen. Gibt es denn dafür Zahlen, wie hoch der wirtschaftliche Schaden durch Cyber-Attacken oder Wirtschaftsspionage ist?

Trost:  Solche Zahlen sind leider schwer zu ermitteln, da die gemeldeten und aufgedeckten Angriffe nur einen Bruchteil aller Attacken und verursachten Schäden ausmachen. Laut aktueller Kriminalstatistik von Bund und Ländern steigen Straftaten mit Computerbezug aber stetig an. Vor allem das Ausspähen und Abfangen von Daten, Verändern von Informationen oder Beschädigen von Systemen mittels Schadsoftware ist offensichtlich ein lukrativer Zukunftsmarkt für Online-Kriminelle. In diesem Bereich erhöhte sich die Anzahl an registrierten Fällen um 7,5 Prozent im letzten Jahr. Die europäische Polizeibehörde Europol ermittelte allein für den Diebstahl von Kreditkarteninformationen einen jährlich entstehenden Schaden von 1,5 Milliarden Dollar. Die wirtschaftlichen Einbußen aller Cyber-Angriffe dürfte demnach ein Vielfaches dessen betragen.

silicon.de: Aktuell geistert der Begriff PRISM durch die Gazetten. Die USA sollen flächendeckend Kommunikationen abgreifen. Was können Sie deutschen Unternehmen raten?

Trost: Wir von F-Secure raten unseren Kunden immer, genau darauf zu achten, wo ihre Daten liegen und über welche Länder sie verteilt werden. Es ist nicht überraschend, dass Geheimdienste einen Zugriff auf sämtliche, in den USA gehosteten, Cloud-Dienste haben. Wer seine Daten hier unterbringt, ist wahrscheinlich nicht der einzige, der Zugriff darauf hat. Einzig die ‘private Cloud’ bleibt dann Unternehmen noch als sichere Lösung. Aber auch hier ist wieder die Schulung der Mitarbeiter der Schlüssel zum Erfolg. Denn es bringt den Unternehmen nichts, wenn zwar die Daten sicher in der eigenen Cloud liegen, die Mitarbeiter aber über Facebook Internes ausplaudern.

silicon.de: Wie kann die deutsche oder europäische Regierung hier gegensteuern? Wird hier aus Ihrer Sicht bereits genug getan?

Trost: Cyber-Attacken sind für ein Industrieland wie Deutschland wirtschaftlich sehr gefährlich. Deshalb sollte sich der Staat auch nicht darauf verlassen, dass Firmen auf freiwilliger Basis diese Angriffe melden. Die Lösung der USA, eine vollständige Überwachung, ist allerdings aus meiner Sicht keine Alternative, da sie den Datenschutz des Einzelnen verletzt. Um dennoch die Internet-Überwachung im geregelten Maße voranzutreiben, sind Investitionen in die technische Infrastruktur des Bundesnachrichtendienstes sicherlich ein erster Schritt in die richtige Richtung. Denn damit wäre die deutsche Wirtschaft auch über behördliche Institutionen besser geschützt.

silicon.de: Wir danken für das Gespräch.

 

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de