zurück zur Übersicht

Schwächstes Glied ist oft der Mensch

5. Juni 2015

Schwächstes Glied ist oft der Mensch

Bild: Alexey Boldin – Shutterstock

Das IKT-Nutzerverhalten hat grundlegenden Einfluss auf Datensicherheit.

Von Carsten J. Pinnow

Unsere Gesellschaft befindet sich derzeit in einer folgenreichen Umbruchphase – nahezu kein Lebensbereich wird sich der Digitalisierung und Vernetzung entziehen können. Das Internet ist zur Lebensader moderner Gesellschaften geworden, denn beinahe alle Bereiche hängen von dessen einwandfreier Funktion ab.

Hier sind insbesondere die kritischen Infrastrukturen zu nennen, also solche Organisationen und Einrichtungen mit besonderer Bedeutung für das staatliche Gemeinwesen. Ihr Ausfall oder auch nur ihre Beeinträchtigung würden existenzgefährdende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder sonstige negative Auswirkungen größeren Ausmaßes hervorrufen.

Neun Sektoren

Die zunehmende Vernetzung und gegenseitige Abhängigkeit dieser kritischen Infrastrukturen birgt zusätzliche Gefahren und lässt Kaskadeneffekte befürchten. Das Bundesministerium des Innern (BMI) gliedert diese kritischen Infrastrukturen in neun Sektoren (Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung, Medien und Kultur).

Aber auch für private Nutzer, für Unternehmen oder andere Institutionen können Ausfall oder Störung des Internets ebenfalls erhebliche schädliche Auswirkungen haben.

Für Verbraucher ergeben sich aus der Nutzung von Internet-Angeboten eine Reihe von Annehmlichkeiten im Alltag: schnelle Informationsrecherche, Pflege sozialer Kontakte über soziale Netzwerke, Beteiligung an Diskussionen, Online-Banking oder Einkaufen auch außerhalb von Ladenöffnungszeiten.

Die steigende Vernetzung birgt indes Chancen und Risiken gleichermaßen. Dies gilt gerade auch für das sogenannte „Internet der Dinge“, also die zunehmende Vernetzung von Geräten, die nicht im klassischen Sinne Personal Computers sind. Dazu gehören solche eingebetteten Geräte, die Menschen unmerklich im Alltag unterstützen („Wearables“ etc.).

Zunehmend sind Informations- und Kommunikationssysteme wie Computer und mobile Geräte (Smartphones, Tablets) einer Vielzahl von Gefahren ausgesetzt. Dazu zählen Sicherheitslücken in Betriebssystemen und Anwendungen oder Schadprogramme wie Viren, Würmer und Trojaner. Allerdings darf auch und gerade das Fehlverhalten der Nutzer nicht vergessen werden. Die Gesamtsicherheit eines IKT-Systems ist immer nur so stark wie das schwächste Glied der Sicherheitskette – in den meisten Fällen ist der Mensch dieses schwächste Glied!

Restrisiko

Mit den Regeln für Datensicherheit verhält es sich wie mit den Regeln im Straßenverkehr. Sie sind nur dann nützlich, wenn sie auch konsequent beachtet werden. Das Wissen und die Einhaltung sind der eigenen Sicherheit, aber auch der Sicherheit anderer dienlich. In beiden Fällen bleibt aber wie so oft im Leben ein Restrisiko. Während für den Straßenverkehr grundlegende Kenntnisse in Kindergärten, Schulen und Fahrschulen vermittelt werden, ist beim Wissen um die Datensicherheit meist Eigeninitiative gefragt.

Längst sind Auswirkungen der eigenen Versäumnisse nicht mehr nur auf einen selbst beschränkt. Digitale Sorglosigkeit bedroht mitunter auch andere, z.B. durch Bot-Netze und Schäden durch den Diebstahl digitaler Identitäten.

Diskrepanz

Spätestens seit der sogenannten „Snowden-Affäre“ ist das Themenfeld Datensicherheit/Datenschutz für alle Internet-Nutzer in den Fokus gerückt. Umfragen in der Folge dieser Affäre zeigen die Diskrepanz zwischen subjektiver Wahrnehmung von Sicherheit und den eigenen Kenntnissen sowie dem objektiven Risiko, z.B. Opfer einer „digitalen Straftat“ zu werden, bzw. den Fähigkeiten, diese zu verhindern.

Einer gemeinsamen Studie der Messe „INTERNET WORLD“ und Fittkau & Maaß Consulting zufolge bezeichnet sich gut jeder zweite Internet-Nutzer als sicherheitsbewusst. Fast ein Drittel bewertet den eigenen Kenntnisstand als gut oder sehr gut, nur 3% stufen ihren Kenntnisstand als gering ein.

Sicherheit ist Bürgern wichtig, jedoch ist kaum jemand bereit, dafür zu zahlen. Hier ist also ein Kulturwandel dringend notwendig! BSI-Präsident Michael Hange betonte im Rahmen der „it-sa 2014“, dass 80 bis 90% der Angriffe auf IT-Syteme mit den vorhandenen Abwehrmaßnahmen abzuwehren seien – diese müssten jedoch auch konsequent zum Einsatz kommen.

Vom BSI wird für Bürger ein Basisschutz empfohlen. Dazu gehören regelmäßige Updates, der Einsatz von Antiviren-/Antischadsoftware, die Nutzung einer Personal Firewall, regelmäßige Back-ups der eigenen Daten, die Abschaltung unnötiger Dienste, möglichst die Verwendung verschlüsselter Internet-Verbindungen (https://), die Nutzung nicht privilegierter Nutzerkonten, die Deinstallation nicht genutzter Programme sowie auch sichere Passwörter.

Browser-Plugin

Ferner sollten Standardkonfigurationen von Betriebssystem und Geräten unbedingt einem Sicherheitscheck unterzogen werden. Viel zu häufig sind Standardkonten mit Standardpasswörtern vorhanden. Häufig ist sogar ein Zugang ohne Passwort möglich. Für die tägliche Arbeit sollten dem Nutzer grundsätzlich so wenig Rechte wie möglich und so viel wie nötig eingeräumt werden!

So nicht: "123456" war 2013 das beliebteste Passwort

So nicht: „123456“ war 2013 das beliebteste Passwort. (Bild: LiquidLayout – Shutterstock)

Browser-Plugins (Erweiterungen) für Multimedia-Inhalte (Adobe Flash etc.) sollten aus Sicherheitsgründen nicht automatisch aktiviert werden. Moderne Internet-Browser gestatten es, diese von Fall zu Fall einzuschalten. In letzter Zeit sind immer wieder Sicherheitslücken in diesen Erweiterungen aufgetaucht, die zum Schaden des Anwenders genutzt wurden, bevor vom Hersteller ein Patch (Zero-Day-Exploit) zur Schließung der Lücke zur Verfügung gestellt wurde.

Riesenschaden

Entscheidend ist es, zu verhindern, dass Geräte (PCs, Router, mobile Geräte) zu fremdgesteuerten Bestandteilen eines sogenannten Bot-Netzes werden, das z.B. zu DDoS-Angriffen (Lahmlegen von IKT-Systemen) missbraucht werden kann. Gerade in diesem Bereich hat sich bereits seit Längerem eine regelrechte Schattenwirtschaft etabliert, in der Bot-Netze gekauft, aber auch verkauft werden können.

Solche Attacken sollen Experten zufolge für unter 50 US-Dollar pro Tag zu kaufen sein. Betroffenen, z.B. Online-Händlern, die auf diesen Vertriebsweg angewiesen sind, entstehen nach einer Schätzung der Kaspersky Labs Schäden von 50.000 US-Dollar je Stunde. Haupteinfallswege für Schadsoftware, die den eigenen Rechner zum Teil eines Bot-Netzes werden lassen, sind verseuchte E-Mails und USB-Sticks. Ein gesundes Misstrauen ist ein guter Wegbegleiter für die eigene Sicherheit und damit auch für die Sicherheit anderer!

Schlüsselfaktor

Der Befall durch Malware geschieht bei E-Mails hauptsächlich durch das Klicken auf eingebettete Links oder das Öffnen von Dateianhängen und bei USB-Sticks dadurch, dass Programme automatisch nach Einstecken des Speichersticks zur Ausführung gebracht werden.

E-Mails, die eine Kontenüberprüfung verlangen, große Erbschaften versprechen oder angeblich noch nie gesehene Bilder von Stars zeigen, sollten gelöscht und keinesfalls geöffnet werden. Bei USB-Sticks aus unbekannter Quelle ist ohnehin Vorsicht geboten!

Das Nutzerverhalten ist ein Schlüsselfaktor für ein akzeptables Datensicherheitsniveau insgesamt; daher ist eine ausreichende Sensibilisierung der Anwender dringend notwendig. Sicherheitsfunktionalitäten von IKT-Systemen müssen so bereitgestellt werden, dass Nutzer sie anwenden können und wollen.

Verantwortung in der Digitalen Welt ist von Nutzern, Unternehmen und dem Staat gleichermaßen zu übernehmen!

vorheriger Beitrag nächster Beitrag

Der Autor

Carsten J. Pinnow

Carsten J. Pinnow

Foto: privat

studierte Elektrotechnik. Er leitet eine Firma für Technologieberatung und ist stellv. Leiter des Arbeitskreises Sicherheit im VDI Bezirksverein Berlin-Brandenburg.

nach Oben