Der folgende Text entstammt dem Security Awareness Newsletter der LANline, den der Experte Dr. Johannes Wiele regelmäßig für die LANline verfasst. Er richtet sich an Security-Fachleute und Nutzer und enthält in jeder Ausgabe einen praktischen Tipp. Wenn Sie den Newsletter regelmäßig und frühzeitig per E-Mail lesen möchten, sollten Sie sich kostenlos bei uns registrieren: www.lanline.de/newsletter/.

Unser Experte schreibt diesmal:

Es gibt ein paar falsche Annahmen über das Thema Sicherheit, die bei Profis fast genau so verbreitet sind wie unter den ganz normalen Anwendern. Eine lautet: „Ich kenne doch meine Pappenheimer!“, sprich: Ich weiß schon, was eventuelle Angreifer von meinem Unternehmen oder mir wollen.

Ist ja auch ganz einfach: Da gibt es den traditionellen Hacker von einst, eine aussterbende Gattung, deren Angehörige nur zeigen wollen, dass sie besser sind als die IT im Haus. Dann seit ein paar Jahren die organisierten Banden, die Informationen stehlen oder zu Geld machen wollen – dies sind die Schlimmsten. Manchmal sind die auch auf Erpressung aus. Und, ja, nicht zu vergessen: Die Cyber-Kriminellen, die aus weltanschaulichen Gründen vorgehen.

Aber das war es dann ja auch schon, schlimm genug, aber doch überschaubar. Na gut, die vergraulten Mitarbeiter als weitere Spezies darf man vielleicht nicht vergessen. Und die Typen von der NSA und Konsorten. Aber damit haben wir es nun wirklich.

Ach ja, stimmt, die liebe Konkurrenz, die darf man auch nicht vergessen. Oder beim Social Engineering diese Versicherungsspezialisten, die hintenrum irgendetwas über kranke Mitarbeiter ausbaldovern wollen. Polizisten, die für den korrekten Dienstweg zu faul waren, gabs auch schon, O.K. Aber das ist ja … nun gut, das ist wohl doch ein bisschen viel.

Zu viel. Zu viel, um irgendeine Abwehr ausschließlich auf Annahmen über mögliche Ziele von Angreifern zu bauen.

Darf ich noch ein paar exotische Beispiele ergänzen?

Da gab es bei einem großen Softwareunternehmen einen Arbeitslosen, der sich für Monate als Pseudo-Mitarbeiter eingeschlichen hatte. Nur, um in der Branche auf dem Laufenden zu bleiben. Da gab es die Ehefrau, die für eine Scheidung auf illegalen Wegen herausfinden wollte, was genau ihr Ehemann eigentlich zu arbeiten hatte und was er wohl exakt verdiente. Da gab es gefeuerte Ex-Mitarbeiter, die nicht dem ganzen Unternehmen, sondern nur einer oder zwei Personen darin gezielt schaden wollten. Und verängstigte Kollegen, die irgendeinen Fehler gemacht hatten und sich in Sicherheitssysteme und Produktivsysteme einhackten, um die Fehltritte entweder zu korrigieren oder zu verschleiern.

Wie den Azubi, der am Freitag einen Kratzer in den VW Polo vom Firmenpool gefahren hatte und sich am Sonntag drei Stunden an der Zugangskontrolle abmühte, um heimlich im Firmenhof mit einem eigens erworbenen Lackstift den Faux Pas zu übermalen. Darüber könnte man ja noch lachen, aber die Aktion hätte bei Erfolg eine temporär ausgeschaltete Türsicherung zur Folge gehabt.

Wenn Annahmen über Sicherheit der Priorisierung von Gegenmaßnahmen dienen sollen, ist es höchstens sinnvoll, die wichtigsten „Werte“ und die höchsten Risiken zu bestimmen und dort anzusetzen. Angriffe ausschließen lassen sich damit natürlich immer noch nicht – denn vielleicht braucht ein Gauner für seinen nächsten Schachzug ja Informationen, die Ihnen völlig unwichtig sind, ihm in einem anderen und Ihnen komplett verborgenen Kontext aber Türen zu ganz anderen „Assets“ zu öffnen helfen.

Das Spiel bleibt ungleich, die Spekulation auf Angreifermotive hat nur sehr beschränkten Nutzen. Ein gutes Maß an Sicherheit, konsequent umgesetzt, ist und bleibt die beste Grundlage.

Maßnahmen zu ignorieren, weil man sich zum Beispiel bei einer Frage nach formal vertraulichen Informationen beim Akteur keine böse Intention vorstellen kann, reißt demgegenüber ganz große Sicherheitslücken auf.

— Cut&Paste-Tipp —

Sicherheit verlangt Konsequenz

Fragt jemand einen Menschen nach vertraulichen Daten, die eigentlich nicht weitergegeben werden dürfen, läuft im Kopf unweigerlich ein Prüfungsmechanismus an: Was kann er damit wollen? Ist die Person sonst immer vertrauenswürdig? Ist eine Ausnahme vielleicht gerechtfertigt?

Im Alltagsleben – unter Freunden oder in der Familie und vor allem, wenn nicht viel auf dem Spiel steht, funktioniert dieser Mechanismus recht gut. In einem Unternehmen, in dem sich alle Beteiligten auf einen Kanon von Sicherheitsmaßnahmen geeinigt haben und in dem Sie Verantwortung für Informationen übernehmen, die Ihnen nicht gehören, hat diese „eingebaute Ausnahmeprüfung“ nichts verloren. Sie können nie alle Intentionen eines Akteurs voraussehen, und Sie wissen, selbst wenn die fragliche Person nichts Böses im Schilde führt, nichts über den Kontext, in den die Informationen später geraten.

Wenn eine Ausnahme in Sicherheitsfragen gerechtfertigt ist, wird es dafür auch eine offizielle Genehmigung geben. Ihr Kommunikationspartner wird das verstehen, wenn seine Intentionen wirklich gut sind.

— Tipp Ende —

Dr. Jörg Schröper ist Chefredakteur der LANline.