Der Mensch ist der entscheidende Faktor
... von Heiko Wruck
RATGEBER
Lassahn/gc. Die moderne Welt steht vor einer gemeinsamen zentralen Herausforderung. Es ist die Datensicherheit. Sie steht zu jede Sekunde weltweit auf dem Prüfstand. Eine Unterscheidung zwischen Privat und Geschäftlich ist längst nicht mehr sinnvoll. Digitale und analoge Kommunikationsmittel werden häufig parallel benutzt. Mit dem Firmenhandy werden private Gespräche geführt.
Unsichere WLAN-Verbindungen werden für Dienstgespräche genutzt. Manches Privat-Smartphone ist gleichzeitig die Schnittstelle für die Firmenkommunikation. Dies gilt auch für Computer, Laptops und Tablets. Trotzdem und gerade deswegen müssen alle Daten sensibel geschützt werden. Aber hier passieren viele Fehler. Zwei der häufigsten Fehler sind die Auffassungen: Mich betrifft das nicht, weil ich zu klein und unwichtig bin. Und, was ich nicht sehe, das gibt es auch nicht. Doch es gibt noch mehr Fehlerquellen.
● Schwache Passwörter
Je einfacher ein Passwort, umso leichter ist es zu knacken.
Besser ist es, eine Kombination aus Groß- und Kleinschreibweise,
Zahlen und Sonderzeichen zu benutzen. Noch besser ist es, sich
eine einfache Frage auszudenken, bei der sich die Antwort ohne
Probleme findet. Dann wählt man nur noch zum Beispiel die An-
fangsbuchstaben der Wörter in der Frage und die Endbuchstaben
der Wörter in der Antwort. Begonnen wird der Frageblock z. B. mit
Sonderzeichen. Die Trennung erfolgt über einen Zahlenblock. Und
der Antwortteil kann mit Sonderzeichen beendet werden. Zum Beispiel:
Wo wohnst Du? In der Stadt München!
Daraus würde ...
##WwD?2468IdSM!##
Je einprägsamer Frage und Antwort sind, umso handhabbarer wird der Code. Die Codewörter sollten nicht in Nachschlagewerken (Duden, Lexika) vorkommen. Auch Rückwärtsschreibweisen helfen nicht.
● Fehlende Software-Updates
Regelmäßig werden Updates veröffentlicht, um Sicherheitslücken
in der Software und auf den Betriebssystemen zu schließen.
Werden diese Updates nicht installiert, bleiben die Systeme an-
greifbar. Zusätzlich sollten die eigenen Daten Backups auf nicht
mit dem Hauptsystem verbundenen Datenträgern erhalten. Ein
Backup, das nicht konsequent getestet wurde, ist kein Backup,
sondern ein Placebo. Das Backup betrifft schließlich nicht nur die
Daten, sondern auch die benutzte Software und das Betriebssystem.
Es ist nicht sinnvoll, ein sauberes Backup auf eine kompromittierte
Systemumgebung erneut aufzuspielen.
● Unsichere Wi-Fi-Netzwerke
Öffentliche Wi-Fi-Netzwerke können leicht von Hackern angegriffen
werden. Das gilt auch für das heimische Netzwerk. Es sollte verschlüs-
selt und durch ein möglichst starkes Passwort abgesichert sein.
● Phishing-E-Mails
Phishing-E-Mails geben vor, aus vertrauenswürdigen Quellen zu
stammen. Ihr Ziel ist es, den Empfänger zu veranlassen, sensible
Informationen preiszugeben. Zum Beispiel wird häufig verlangt auf einen
Link zu klicken, der zu einer Website führt. Dort soll dann eine Umfrage
bedient oder Kontodaten eingegeben werden. Aus Angst oder Unsicherheit
fallen viele Menschen auf solche Betrugsversuche herein.
● Fehlende Verschlüsselung
Werden Daten nicht verschlüsselt, sind sie leicht von Unbefugten einsehbar
und können gestohlen der missbraucht werden. Es macht keinen Unterschied,
ob die Daten fest oder mobil gespeichert sind oder ob sie über das Internet
übertragen werden. In jedem Fall sollten die Daten, die Datenträger und die
Übertragungswege verschlüsselt sein.
● Mangelnde Schulung der Mitarbeiter
Menschliches Fehlverhalten gehört zu den häufigsten Ursachen von Daten-
sicherheitsverletzungen. Sind Mitarbeiter nicht für die Risiken und die richtigen
Umgang mit Daten sensibilisiert und geschult, kann das zu gravierenden Sicher-
heitsproblemen führen.
● Verwendung von nicht autorisierter Software
Vom Arbeitgeber nicht autorisierte Software kann zu Sicherheitsproblemen führen.
Sicherheitslücken oder Malware können so nicht definitiv ausgeschlossen werden.
● Unzureichende Zugriffskontrolle
Der Zugriff auf Daten muss immer streng kontrolliert und klar reguliert werden. Be-
sonders wenn Auszubildende, Trainees oder Praktikanten das Unternehmen wieder
verlassen (oder auch bei Renteneintritt), sollten deren Datenzugriffe konsequent
unterbunden werden. Wer draußen ist, muss auch virtuell draußen bleiben. Rollen-
und Berechtigungskonzepte sind geeignete Zugriffskontrollmechanismen, um solche
Fremdzugriffe definitiv auszuschließen.
● Mangelnde Datensicherung
Ohne regelmäßige Datensicherungen keine Wiederherstellung bei einem Systemausfall.
Das gilt auch für die Folgen von Sicherheitsverletzungen oder Datendiebstählen.
● Social Engineering
Diese Manipulationstechnik zielt darauf ab, Menschen zu veranlassen, Informationen
preisgeben (wie beim Pishing). Oft sind sich Mitarbeiter dieser Gefahr nicht bewusst.
Sie halten sich für zu klein, zu unwichtig, zu unbedeutend, um für Angreifer ein lohnendes
Ziel sein zu können. Ein gefährlicher Irrtum. Denn ein kriminell gesperrter Computer
kann ein ganzes Unternehmen lahmlegen und erpressbar machen. Und ein paar Tausend
Euro gehen doch immer. Oder?
Kontakt:
Heiko.Wruck@t-online.de
______________________________________