IT-Sicherheit: Unwissenheit lässt sich nicht patchen

„80 bis 90 Prozent aller Attacken auf sensible Daten, Eindringversuche auf wichtige Server und Computer-Spionageakte werden durch so genannte „Social Engineers“ vorbereitet und durchgeführt“, erklärt Ulrich Weigel, Director of Security Management Practice, beim Softwarehersteller NetIQ. Ein Social Engineers hat das Ziel, ein Angriffsszenario aufzubauen, das die Gutgläubigkeit von Menschen ausnutzt. Dazu bereitet er seine Angriffe von Außen durch Kenntnisse vor, die er durch das Ausspionieren interner Informationen langsam erwirbt. Er sozialisiert sich mit Menschen, schließt Freundschaften und fragt Menschen aus. Der Hacker geht einfach mal in die Kantine eines Unternehmens, sperrt Augen und Ohren auf, lässt sich über die Telefonzentrale mit den Leuten für IT-Sicherheit verbinden, fragt nach E-Mail-Adressen.

Gerne gibt sich der gewiefte Computer-Kriminelle auch als Agent des Helpdesks aus, der gerade einen Patch eingespielt hat und nun testen möchte, ob es auch funktioniert. Dazu ruft er einen ahnungslosen Mitarbeiter im Unternehmen an, spricht ihn beim Namen an – den er vorher von der Telefonzentrale erfahren hat – und geht mit dem ahnungslosen User ein paar Mal die Anmeldeprozedur durch. Wenn diesem dann der Kragen platzt, weil der Systemzugang nach dem sechsten Login-Versuch immer noch nicht klappt, rückt er ganz vertrauensselig sein Passwort heraus – schließlich ist ja ein Mitarbeiter vom Helpdesk am Apparat; der wird sein Problem schon lösen.

„Der Hacker von heute kommt nicht mehr mit der großen Kanone, sondern geht sehr gezielt vor und bedient sich dabei der größten überhaupt verfügbaren Schwachstelle schlechthin: dem Menschen.“ Der Angreifer recherchiert wie ein Detektiv, setzt Stück für Stück das Puzzle zusammen und hinterlässt dabei kaum Spuren – bis er beispielsweise die Firewall knackt und auf unternehmenskritische Daten Zugriff hat. „Die Bedrohung aus eigenen Reihen ist ein Riesenproblem und rangiert neben den komplexer werdenden Sicherheitsangriffen an Platz zwei in den Köpfen von CIO’s“, gibt auch Anita Liess, Program Manager Security Solutions European Software Group von IDC EMEA, zu Protokoll. Dazu gehörten gutgläubige Mitarbeiter, die fahrlässig mit sensiblen Informationen umgehen bis hin zu Personen, die sich an ihrem Arbeitgeber rächen möchten.

Eines zeigt Social Engineering, über das mittlerweile auf unzähligen Websites berichtet wird, ganz deutlich: die besten Systeme nützen nichts, wenn das System Mensch die Schwachstelle ist. Mit rein technischen Lösungen lässt sich im logischen Umkehrschluss im Unternehmen keine Sicherheit erreichen. Und der Security-Markt ändert sich stetig und Systemangreifer bedienen sich heute einer Vielfalt unterschiedlicher Angriffstechnologien und kombinieren diese in beliebiger Form. „Diese so genannten „Blended Threats“ ändern zwangsläufig auch die Sicherheitsanforderungen“, erklärt IDC-Beraterin Liess. „Die Sicherheitslage ist sehr dynamisch, so dass kontinuierlich in Sicherheit investiertet werden muss und diese nicht als klar abgegrenztes Projekt betrachtet sondern vielmehr als Prozess verstanden werden muss.“

Dieser strategische Sicherheitsprozess umfasst ein Sicherheits-Management und eine Sicherheits-Architektur, welche die Organisation des Unternehmens, die internen Prozesse und die Technik mit einbezieht.