Daten zwingen zu Taten - Datensicherheit und der Faktor Mensch -

Durch ihren strategischen und innovativen Charakter bieten Unternehmen immer wieder wertvolles Angriffspotenzial für Dritte (z.B. Wettbewerber, staatliche Organisatoren). Rufschädigung, Produktionsstillstand, Insolvenz, Vertrauensverlust, finanzieller Schaden, dies alles können Auswirkungen sein, wenn das Thema Datensicherheit in Unternehmen nicht mit der notwendigen Sorgfalt betrachtet wird.

"Viele Unternehmensverantwortliche sind der Meinung, dass Datensicherheit ein Thema der IT ist und vertrauen auf technische Maßnahmen, um ihre wichtigen Daten zu schützen. Dabei wird der Faktor Mensch sehr oft unterschätzt.", sagt der Joachim A. Hader, Geschäftsführer der auf Unternehmenssicherheit und Datenschutz spezialisierten secudor GmbH (www.secudor.de).

Hader gibt zu bedenken, dass der Faktor "Mensch" in Sachen Daten- und Informationssicherheit oft unterschätzt wird. Beschäftigte - interne oder auch externe - werden oft - gewollt oder ungewollt - Mittäter bei einem Angriff auf wertvolle und vertrauliche Unternehmensdaten. Neben technischen Hackerangriffen nutzen Angreifer immer mehr Social Engineering, um einen Weg an Sicherheitsmaßnahmen der IT vorbei zu finden.

Social Engineering ist eine Methode, um durch meist nicht-technische Handlungen unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Diese Eigenschaften dienen einem Angreifer oft als Ablenkungsstrategie, um Beschäftigte zu einer unbedachten Handlung zu verleiten. "Eine bewährte Gegenmaßnahme hierzu ist, die Organisation in Bezug auf mögliche Social Engineering Angriffe zu sensibilisieren - Security Awareness schaffen.", rät der Sicherheitsexperte.

Mögliche Bedrohungsszenarien
1. Phishing Angriffe
Phishing Angriffe sind oftmals an große Personengruppen gerichtet, um an Zugangsdaten zu gelangen oder Schadsoftware zu verbreiten.

2. Spear-Phishing Angriffe
bei denen ein Angreifer meist eine geringe Anzahl von Personen zielgruppenorientiert angreift.

3. Überwindung physikalischer Barrieren:
Unberechtigter Zugang zu einem Gebäude kann sich der Angreifer durch sicheres und freundliches Auftreten oder durch Vorspiegelung falscher Tatsachen (z. B. als Techniker oder Berater ausgeben) verschaffen.

4. Informationsbeschaffung leicht gemacht:
Beliebt ist der Raucherbereich von Unternehmen, dieser ist meist außerhalb von Gebäuden und des Campus eines Unternehmens. Hier wird oft offen über Probleme und Neuigkeiten diskutiert. Ein unbekannter Dritter fällt meist nicht auf, wenn in Projekten und Unternehmen viele externe Dienstleister beschäftigt sind, und man daran gewöhnt ist, oft fremde Gesichter zu sehen.

Welche Vorkehrungen sollte man treffen um das Risiko von Social Engineering Angriffen zu minimieren:

1. Zielgruppenspezifisches Awareness-Maßnahmen regelmäßig durchführen (Intranet, Security-Newsletter, Trainings, Coaching, Einzelunterrichtung, Plakate, Flyer, Security-Botschafter, Roundtables, Stammtischen, usw.)

2. Organisatorische Maßnahmen: Erstellung und Durchsetzung von Sicherheitsrichtlinien im Projekt (Regelung für mobile Datenträger, wie Verschlüsselung; Nutzung von offenen WLAN; Homeoffice-Regelung; etc).

3. Etablieren von Alarmierungswegen bei Vorfällen und auch bereits bei Verdacht.

4. Nutzung von technischen Sicherheitsmechanismen zur Durchsetzung der geltenden Regelungen und zur automatischen Erkennung (z.B. Endpoint-Security, aktueller Virenschutz, "verstecken" von Systemen mit streng vertraulichen Informationen).

5. Aufbau von Frühwarnsystemen zur frühzeitigen Entdeckung von verdächtigen Datenabflüssen.

Der Sicherheitsexperte Joachim A. Hader appelliert: "Lassen Sie die implementierten Maßnahmen regelmäßig von unabhängigen Experten auf Wirksamkeit überprüfen. Nur so finden Sie Schwachstellen und Optimierungspotenziale und können die Risiken von Cyberangriffen minimieren und steuern."

• Über secudor GmbH
• Weitere Meldungen
• Diesen Pressetext kommentieren
• Pressemitteilung veraltet?