Der folgende Text entstammt dem Security Awareness Newsletter der LANline, den der Experte Dr. Johannes Wiele regelmäßig für die LANline verfasst. Er richtet sich an Security-Fachleute und Nutzer und enthält in jeder Ausgabe einen praktischen Tipp. Wenn Sie den Newsletter regelmäßig und frühzeitig per E-Mail lesen möchten, sollten Sie sich kostenlos bei uns registrieren: www.lanline.de/newsletter/.

Unser Experte schreibt diesmal:

„Security by Obscurity“ – Sicherheit durch Geheimniskrämerei – hat bei IT-Sicherheitsfachleuten keinen guten Ruf. Hatte ich das in diesem Newsletter nicht schon einmal aufgegriffen? Wie auch immer, ein paar Kernthemen der damit verbundenen Diskussion sind schnell aufgezählt.

Einen selbstgebauten Verschlüsselungsalgorithmus verwenden, den keiner kennt? Keine gute Idee, Standards wie AES werden im Gegensatz zu den Basteleien eines Mini-Teams weltweit immer wieder öffentlich mit Argusaugen überprüft. Schwachstellen im Eigenbauprodukt dagegen finden die Bösen vielleicht viel schneller als die Guten. „Closed Source“ statt „Open Source“ für Sicherheitsprodukte? Nicht einmal das mögen viele Security-Profis gern, und zwar aus dem oben genannten Grund – und weil die misstrauische Security-Weltgemeinde immer auch akribisch nach Hintertürchen für NSA & Co. sucht. WLAN-SSIDs verstecken? Nützt nichts, gewiefte Angreifer finden auch versteckte WLANs ohne große Mühe.

Vieles davon ist richtig.

Aber machmal ist Obscurity doch ganz nützlich.

Nämlich dann, wenn sie dazu dient, dass ein Dieb oder Betrüger gar nicht erst wahrnimmt, dass es etwas zu stehlen gibt oder dass es sich lohnt, eine bestimmte Person aufs Korn zu nehmen.

Dazu eine kleine Geschichte. Vor einigen Jahren kamen die Marketing-Strategen einer britischen Bank auf die Idee, die Deckel der Notebooks der Londoner Mitarbeiter mit großen Firmenlogos auszustatten. Man wusste, dass die Banker gern auch auf dem Weg von und zur Arbeit in der U-Bahn arbeiteten und erhoffte sich von der Aktion einen preiswerten Werbeeffekt.

Die Sicherheitsabteilung des Unernehmens aber stoppte das Projekt. Ihr Argument: Da könnte man ja auch gleich „klau mich, es lohnt sich“ draufschreiben.

Entsprechende Vorsicht können auch Ihre Mitarbeiter selbst walten lassen. Dazu der heutige Tipp.

 

— Cut&Paste-Tipp —

Seien Sie geheimnisvoll

Kriminelle, die die Firmengeheimnisse von Unternehmen ausforchen wollen, gehen heute höchst professionell vor. Zu ihrem Repertoire gehört es auch, bespielsweise überall dort, wo sich mit hoher Wahrscheinlichkeit wichtige Mitarbeiter aufhalten, diese ausfindig zu machen und sie entweder direkt auszuforschen oder zu versuchen, Geräte wie Notebooks oder Mobiltelefone zu an sich zu bringen. Passende „Hot Spots“ sind unter anderem die der Firmenzetrale nächstgelegenen Hotels und Restaurants oder öffentliche Verkehrsmittel mit Haltestelle an der Arbeitsstätte.

Sie machen es den Dieben und Betrügern erheblich schwerer, wenn Sie in der Öffentlichkeit nicht allzuschnell zu erkennen geben, was Sie tun. Kleben Sie keine Firmenaufkleber auf Ihr Auto oder Ihr Notebook. Melden Sie sich am Telefon mitten in Menschenmengen nicht lauthals mit dem Firmennamen. Unterhalten Sie sich nur leise über Jobthemen. Achten Sie beim Arbeiten mit Notebook und Tablet darauf, wer eventuell den Bildschirm sehen kann.

— Tipp Ende —

Dr. Johannes Wiele

Dr. Jörg Schröper ist Chefredakteur der LANline.