Sicherste Alternative bleibt externes Back-up

0
653
Für Linus Neumann, Specher des Chaos Computer Clubs, sind externe Backups die verlässlichste IT-Sicherheitslösung. (Foto: Oliver Moosdorf, www.pixelio.de)

Der beste IT-Schutz ist immer nur so gut wie der Nutzer, der hinter ihm steht. Unachtsamkeit, mangelnde Sachkenntnis oder auch falsche Aufklärungsansätze sind jedoch noch immer Gründe dafür, dass Cyber-Kriminelle die vermeintliche Schwachstelle Mensch als Einfallstor in IT-Netzwerke oder Datenbanken nutzen. Über die Tücken des Social Engineerings, aber auch über präventive Maßnahmen referierte Linus Neumann vom Chaos Computer Club auf dem Bonner Dialog für Cybersicherheit (BDCS).

Nach wie vor zählt der Mensch zu den einfachsten Wegen, wenn es gilt, die IT eines Firmennetzes oder einer Behörde zu hacken. “Der Mensch ist meist sehr viel einfacher auszuhebeln als die hinter ihm stehende IT. Beinahe 99 Prozent aller notierten Angriffe besitzen eine menschliche Komponente,” erklärt Linus Neumann vom Chaos Computer Club (CCC). Grund sei u.a., dass man es bisher noch immer versäumt habe, menschliche Schwachstellen systematisch zu erfassen. In den IT- oder Sicherheitsstellen konzentriere man sich meist zu sehr auf Optimierungen im Bereich der Software, ohne Faktoren wie Bedienbarkeit oder Praktikabilität in die Rechnung miteinzuschließen. “In Zukunft wird man sich daran begeben müssen, die herrschende Asymmetrie, die zwischen Sicherheit und menschlicher Handhabe besteht, abzubauen. Solange Nutzer Security-Maßnahmen nur als eine Einschränkung empfinden, die man mit einem Klick aussetzen kann, wird es Hackern relativ einfach gemacht. User müssen verstehen, weshalb das Öffnen einer Datei oder die Sperrung von Sicherheitsfunktionen gravierende Konsequenzen hat”, weitet Neumann die Problemlage aus.  

Hacking System-One

Doch dürfe daraus nicht der Fehlschluss entstehen, dass mit einem Wissen um die Gefahrenlage absoluter Schutz garantiert werde. Selbst Experten könne es geschehen, Opfer eines Angriffes zu werden. Mehr noch: Meist seien es sogar beschlagene IT-Fachmänner oder Programmierer, die auf die Finten der Cyber-Kriminellen hereinfielen. Die Ursachen hierfür lägen in der menschlichen Kondition selbst, erklärt der Sprecher des Chaos Computer Clubs: “Betroffen ist nicht die rationale, reflexive Seite des Menschen. Bei ihren Angriffen konzentrieren sich Hacker hauptsächlich auf das intuitive Verhalten, es geht darum, Routinen gezielt auszunutzen”, so Neumann. In der Fachsprache habe sich dafür der kognitionspsychologische Begriff “System eins” etabliert.    

Qualifizierende Maßnahmen

Genauso, wie Hacker es auf “System eins” abgesehen hätten, sei es zwingend notwendig, dass auch Schulungsmaßnahmen an eben dieser Stelle ansetzten. “Theoretisches Lernen ist in der Regel weit ineffektiver, als man in vielen Unternehmen denkt. Um zu wirklich nachhaltigen Lösungen zu gelangen, darf nicht unsere Ratio angesprochen werden, die bei vielen Arbeitsprozessen gar nicht involviert ist. Vielmehr muss es darum gehen, solange zu üben, bis Sicherheit Teil der alltäglichen Operationen geworden ist”, sagt Neumann. Meist sei es dabei sogar gerade förderlich, wenn Fehler begangen würden, da die effektivste Form der Immunisierung die einmal gemachte Erfahrung sei. 

Aktion – Reaktion

Erschwerend komme allerdings hinzu, dass sich mit den technischen Fortschritten im Feld des Datenschutzes auch die Methoden der Angreifer ändern würden. Neumann: “Vereinfacht gesagt, handelt es sich um eine Art Katz-und-Maus-Spiel. Vielfach sind neue Ansätze schlicht Reaktionen auf eine veränderte Sicherheitslage, man denke nur an die Malware Emotet.” Aufgrund dieser Dynamik sei es möglich, dass selbst ein kundiger und gut geschulter IT-User auf Finten des Spear-Phishings oder andere Formen von Social Engineering hereinfalle. Selbst dann sei man nicht gefeit.    

IT und IT-User müssen sich aufeinander einspielen

Vor diesem Hintergrund müsse primär daran gearbeitet werden, bestehende Hemmschwellen abzubauen, um IT und IT-Nutzer besser aufeinander abzustimmen. Das fange bei den Usern an, die meist noch zögerten, wenn es darum ginge, die IT-Beauftragten ihres Unternehmens bei Problemen zu konsultieren. Dieselbe kooperative Haltung müsse jedoch auch von der IT eingefordert werden können, zumal noch immer nicht viele Produkte existierten, deren Interface sich den intuitiven Anforderungen der Arbeits- oder Privatnutzung anpasste. Für die Gegenwart ginge es allerdings noch einfacher. In vielen Unternehmen könne schon Abhilfe geschaffen werden, wenn Passwortwechsel nicht mehr online, zum Beispiel via Email, abgefragt würden. Die mit Abstand sicherste Lösung sei aber ein externes Back-up – und zwar auf einer Festplatte, die über keinen Internetzugang verfüge. 

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here