Mitarbeiter-Sensibilisierung Grundkenntnisse der IT-, Web- und WLAN-Sicherheit sind unerlässlich

Autor / Redakteur: Alexandra Tsybulskaya, Elcomsoft / Stephan Augsten

Geöffnete Spam-Mails, Passwort-Notizen am Bildschim, veraltete Anwendungen – all das darf und muss nicht sein. Es gilt, seinen Mitarbeitern zumindest Grundkenntnisse der IT-Sicherheit zu vermitteln. Als unterstützende Maßnahme zur Anwender-Sensiblisierung gehen wir in diesem Beitrag auf gängige und versteckte Bedrohungen ein.

Firmen zum Thema

Sicherheitsbewusstsein: Jeder IT-Anwender sollte wissen, welche Gefahren innerhalb und außerhalb des Unternehmens lauern.
Sicherheitsbewusstsein: Jeder IT-Anwender sollte wissen, welche Gefahren innerhalb und außerhalb des Unternehmens lauern.
( Archiv: Vogel Business Media )

Im Zeitalter der Informationstechnik sollte jeder Mitarbeiter – und nicht nur die Mitarbeiter der IT-Abteilung – verstehen, wie man wertvolle Daten sicher hält. Um diese Aufgabe richtig zu erfüllen, sollte man sowohl versteckte als auch offensichtliche Sicherheitsbedrohungen kennen.

Nur so lassen sich ernsthafte Konsequenzen und Schäden für das gesamte Unternehmen vermeiden. Es ist die Aufgabe sowohl der IT- als auch der Personalabteilung, dafür zu sorgen, dass die Mitarbeiter über Grundkenntnisse der IT-Sicherheit verfügen. Aus diesem Grund widmen wir uns nachfolgend den am weitesten verbreiteten, aber kaum wahrgenommenen Sicherheitsbedrohungen:

Verlorene Notebooks

Die Mobilität der Mitarbeiter nimmt ständig zu. Das rasante Anstieg der Verkaufszahlen für mobile Endgeräte geht auf die riesige Nachfrage nach diesen Geräten zurück – nicht zur zum persönlichen Gebrauch, sondern auch für dienstliche Zwecke. Doch wenn das dienstlich genutzte Notebook oder Smartphone in die falschen Hände gerät, können nicht autorisierte Personen problemlos auf sensible Daten zugreifen, die darauf gespeichert sind.

Eine mögliche Lösung ist die Verschlüsselung der Daten. Um einen unbefugten Zugriff auf sensible Informationen zu unterbinden, kann man Verschlüsselungsprogramme wie das kostenlose Open-Source-Tool TrueCrypt einsetzen.

Eine weitere Möglichkeit ist ein so genannter Recovery Service. Sobald ein Gerät verloren geht oder gestohlen wird, kann man in diesem Fall zumindest die darauf gespeicherten Daten aus der Ferne löschen. Manche Hersteller, beispielsweise HP und Dell, bieten für bestimmte Notebook-Modelle entsprechende Services an.

Schwache Passwörter

Vor allem im Geschäftsumfeld, aber auch im Privatbereich, sollte man robuste Passwörter nutzen: Ein langes Kennwort ist grundsätzlich besser; denn je mehr Zeichen es enthält, desto länger dauert der Angriff.

Gleichzeitig sollte man auf einen guten Zeichenmix achten, da sich das Passwort dadurch viel schwieriger erraten oder knacken lässt. Dabei sollte man sich zumindest an die einfache und allgemein anerkannte Regel halten, dass ein Passwort aus Groß- und Kleinbuchstaben, Zahlen und am besten auch noch Sonderzeichen bestehen soll und eine Mindestlänge von 9 Zeichen haben sollte.

Seite 2: WLANs sicher einrichten und nutzen

Schwache WLAN-Sicherheit

Nach anfänglichen Anlaufschwierigkeiten sind die meisten drahtlosen Netzwerke bereits mit einem Passwort gesichert. Aber der Passwortschutz ist ohne weitere Maßnahmen unter Umständen nicht ausreichend. In jedem Fall empfiehlt es sich, eine WLAN-Verschlüsselung zu konfigurieren.

Es gibt verschiedene Arten der Verschlüsselung für drahtlose Netzwerke. Die WEP-Verschlüsselung (Wired Equivalent Privacy) ist die gängigste Art der Verschlüsselung in drahtlosen Netzwerken, aber er lässt sich leicht aushebeln. Die neueren Verschlüsselungsarten wie beispielsweise WPA (Wi-Fi Protected Access) oder ihre Nachfolgerin WPA2 beheben die Schwächen von WEP und bieten einen viel robusteren Schutz.

Manipulierte Wireless-Hotspots

Ob auf dem Flughafen, im Hotel oder im Fast-Food-Restaurant. Drahtlos-Netzwerke sind fast überall verfügbar, wo sich Mitarbeiter aufhalten – oft ist der Zugang sogar kostenlos. Leider haben sich Hacker dies schon zunutze gemacht und manipulierte, offene WLANs eingerichtet – und manch ein argloser Nutzer ist darauf schon hereingefallen.

Nachdem eine Verbindung zum manipulierten Funknetz eingerichtet wurde, kann der Angreifer den Traffic vom Rechner abgreifen und alle sensiblen Informationen sammeln, die übertragen werden. In diesem Fall kann es eine zumindest hilfreich sein, den Netzwerknamen zu verifizieren.

Seite 3: Software sicher nutzen

Web-Schnüffelei

Da so viel Entertainment, Shopping und soziales Leben nun online stattfindet, hinterlässt jeder Internet-User eine reichhaltige digitale Spur seiner Vorlieben. Man sollte sicherstellen, dass die Liste der besuchten Adressen, Formulardaten, Suchaktionen, Passwörter und weitere Sitzungsdetails nicht im Browser-Cache oder im Passwort-Manager verbleiben, nachdem der Browser beendet wurde. Die beste Lösung in diesem Fall, auf privates Browsen zu setzen.

Ungepatchte und unsichere Software

Lange Zeit waren die Produkte von Microsoft das Lieblingsziel für Schadsoftware. Doch der Hersteller hat seine Sicherheitsprozesse optimiert, so dass die Angreifer gezwungen sind, andere schwache Glieder der Sicherheitskette zu finden. Eine der einfachsten vorbeugenden Maßnahmen ist dafür zu sorgen, dass alle Security-Updates installiert und somit das Betriebssystem sowie Anwendungen auf dem neuesten Stand sind.

Fazit

Letztlich ist jeder Mitarbeiter eines Unternehmens mit für die IT-Sicherheit verantwortlich. Jedes seriöse Unternehmen sollte mit der IT-Security-Abteilung kooperieren, denn nur durch diese Zusammenarbeit können vorzeigbare Ergebnisse bei der Anwender-Sensiblisierung erreicht werden.

Infosecurity Europe 2010

Elcomsoft ist auf der Infosecurity Europe 2010 vertreten, die von Dienstag bis Donnerstag, 27. bis 29. April 2010, am neuen Standort im Londoner Earl‘s Court stattfindet. Dieses Event bietet ein kostenloses Schulungsprogramm mit Fachvorträgen zur IT-Sicherheit. Darüber hinaus präsentieren Aussteller ihre Lösungen und vermitteln praktisches sowie professionelles Wissen.

(ID:2044611)