1.7. Sicherheit darf nicht vernachlässigt werden
Egal was Sie über die Umgebung denken, in der Ihre Systeme laufen, Sie können Sicherheit nicht als Selbstverständlichkeit betrachten. Auch Standalone-Systeme, die nicht mit dem Internet verbunden sind, können einem Risiko unterliegen (wenn sich dieses auch wesentlich von dem Risiko eines Systems, das mit der Außenwelt verbunden ist, unterscheidet).
Es ist sehr wichtig, dass Sie die Sicherheit von allem, was Sie tun, in Betracht ziehen. Die folgende Liste zeigt die verschiedenen Dinge, die Sie berücksichtigen sollten:
Die Art der möglichen Bedrohungen für jedes System
Der Ort, die Art und der Wert der Daten auf diesen Systemen
Die Methode und Häufigkeit des berechtigten Zugriffs auf diese Systeme
Wenn Sie sich mit der Sicherheit beschäftigen, sollten Sie nicht den Fehler machen und denken, dass Eindringlinge nur von außerhalb Ihres Unternehmens einzudringen versuchen. Häufig sind Eindringlinge auch innerhalb des Unternehmens zu finden. Wenn Sie das nächste Mal durch das Büro laufen, sehen Sie sich Ihre Kollegen an und fragen Sie sich:
Was passiert, wenn diese Person versucht, unser Sicherheitssystem zu umgehen?
 | Anmerkung |
|---|---|
Dies bedeutet nicht, dass Sie Ihre Kollegen als potentiell kriminell behandeln sollen. Es bedeutet nur, dass Sie sich ansehen sollten, welche Art Arbeit jeder vollbringt und inwieweit Sicherheitsverletzungen durch eine Person in dieser Position begangen werden könnten, sollte die Position ausgenutzt werden. |
1.7.1. Das Risiko des Social Engineering
Während die erste Reaktion der meisten Systemadministratoren in Hinblick auf Sicherheit sich eher auf die technischen Aspekte beschränkt, sollte der gesamte Durchblick behalten werden. Häufig liegt der Ursprung von Sicherheitsverletzungen nicht in der Technik, sondern im menschlichen Wesen.
Jemand, der sich für Sicherheitsverletzungen interessiert, nutzt meistens das menschliche Wesen aus, um technische Zugangskontrollen zu umgehen. Dies wird als Social Engineering bezeichnet. Hier ein Beispiel:
Ein Bediener der zweiten Schicht erhält einen Telefonanruf von außerhalb der Firma. Der Anrufer gibt sich als Leiter der Finanzabteilung aus (Name und Hintergrund des Leiters wurden über die Firmenwebseite unter "Unser Team" herausgefunden).
Der Anrufer gibt vor, von einem Ort am anderen Ende der Welt anzurufen (dies kann entweder eine erfundene Geschichte sein oder vielleicht durch eine Pressemitteilung, in der das Auftreten des Finanzleiters auf einer Messe beschrieben wird, sogar Wahrheitsgehalt haben).
Der Anrufer erzählt dann eine herzzereißende Geschichte, wie sein Laptop am Flughafen gestohlen wurde und er gerade bei einem wichtigen Kunden ist und ganz dringend Zugang zum Firmenintranet benötigt, um den Kontenstand des Kunden zu prüfen. Ob der Bediener so nett wäre, die nötigen Informationen weiterzugeben?
Wissen Sie, was der Bediener in so einer Situation machten würde? Hat der Bediener keine Richtlinien (in der Form von schriftlichen Regeln und Vorgängen) denen er folgen kann, werden Sie es nicht hundertprozentig wissen.
Wie bei einer Ampel ist es das Ziel von Richtlinien, eindeutige Anleitungen für angemessenes Verhalten zu geben. Wie bei Verkehrszeichen funktionieren diese jedoch nur, wenn alle sich daran halten. Und hier liegt genau das Problem — es ist unwahrscheinlich, dass sich jeder an Ihre Richtlinien und Regeln hält. Abhängig von der Art Ihres Unternehmens ist es sogar möglich, dass Sie nicht einmal genügend Befugnis haben, Richtlinien zu definieren, geschweige denn die Einhaltung dieser zu erzwingen. Was dann?
Es gibt hierfür leider keine einfache Antwort. Benutzer-Aufklärung kann sicherlich dabei behilflich sein; Sie sollten alles tun, um der Benutzergemeinde Sicherheit und Social Engineering bewusst zu machen. Halten Sie Präsentationen über Sicherheit in der Mittagspause. Verweisen Sie auf Links zu Artikeln über Sicherheit auf Mailinglisten im Unternehmen. Stellen Sie sich als Ansprechpartner für alle Mitarbeiter zur Verfügung, sollte diesen etwas eigenartig erscheinen.
Kurz gesagt, verbreiten Sie die Nachricht an Ihre Benutzer.