:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kauderwelsch der IT-Systeme Kommunikationsprobleme in und mit der IT!
Die Fähigkeit zur umfassenden Kommunikation ist zweifelsohne eine der wesentlichen, den Menschen auszeichnenden, Fähigkeiten. Anders als bei Tieren ist die menschliche Kommunikation in der Lage, auch komplexe Informationen zu vermitteln und abstrakte Konzepte wiederzugeben. Speziell in der IT scheint den Menschen aber die Fähigkeit zur verständlichen Kommunikation abhanden gekommen sein.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Manchmal scheint es, als würde die Menschliche Fähigkeit zur umfassenden Kommunikation komplexer Inhalte innerhalb der IT deutlich an Qualität verlieren. Denn die Kommunikation zwischen Anwender und IT verliert an Wirksamkeit. Was verwundert, denn die IT ist eigentlich nichts anders, als der verlängerte Arm eines Programmierteams, welches sich um Kommunikation, Design und Abläufe kümmert – und aus Menschen besteht, wie der IT-Nutzer auch.
Mit einem Augenzwinkern wird immer behauptet: „Der Fehler sitzt vor der Tastatur“. Was im Wesentlichen aussagt, dass der IT-Nutzer die IT nicht richtig bedienen bzw. anwenden kann. Wobei man dabei aber vergisst, dass auch Programmierteams „vor der Tastatur“ sitzen und ebenso für diese Kommunikationsprobleme verantwortlich sind!
:quality(80)/images.vogel.de/vogelonline/bdb/1576600/1576667/original.jpg "Eine E-Mail an „Paul Maier2“ die nicht zugestellt werden konnte. Ausgeben wird nur der generische SMTP-Fehlercode 550.")
:quality(80)/images.vogel.de/vogelonline/bdb/1576600/1576668/original.jpg "Blick auf die Windes-Ereignisanzeige mit protokollierten Fehler-Meldungen und den für den Laien unverständlichen Detailinformationen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1576600/1576669/original.jpg "Offerierte Log-Bereiche im Windows-Event-Viewer.")
:quality(80)/images.vogel.de/vogelonline/bdb/1576600/1576670/original.jpg "Fehlermeldung beim Windows-Update.")
Lösungsansatz
Daher ist es durchaus üblich, Programmierteams in Kommunikations-Disziplinen zu schulen und auch den Anwender im Rahmen eines Trainings mit einer Anwendung vertraut zu machen. Wobei der erzielte Wirkungsgrad von verschiedenen Faktoren (Themendarstellung, Lernwille, Komplexität, Wissen, Präsentationsart …) beeinflusst wird.
Man hat aber früh erkannt, dass ein wesentlicher Blocking-Point für die breite Masse bei der PC-Nutzung, in der Art der Interaktion liegt. Denn die Anzahl der IT-Nutzer, die bereit sind mit einem User-Interface zu arbeiten, welches mit Kommandos wie DIR, BACKUP oder PWD, WC und AWK gesteuert wird, ist einfach zu gering. Also stülpt man eine leicht zu verstehende, grafische Benutzerschnittstelle über den Computer und preist dies als ultimative Lösung an. Die Praxis bestätigte auch diese Annahme und der Siegeszug der grafischen Oberflächen setzt sich bis heute fort.
Also alles in Ordnung – oder? Nun ja, fast, denn durch die Komplexität der heutigen IT und die Vergabe von Entwicklungsaufträgen an den preiswertesten Anbieter scheint es, als würden die Kommunikationsprobleme in der IT verstärkt auftreten – trotz Anwender-Training.
:quality(80)/images.vogel.de/vogelonline/bdb/1377400/1377429/original.jpg "Mit dem richtigen Köder beißt jeder Fisch an, heißt es unter Anglern. Dasselbe gilt auch für die Opfer von Phishing-Kampagnen. (Dudarev Mikhail - stock.adobe.com)")
Security-Startups im Blickpunkt: Lucy Security
Phishing im eigenen Teich
Mission impossible?
Der Lösungsansatz, den Anwender im korrekten Umgang mit neuen Medien, aktualisierten Programmversionen und maschinengestützten Workflows per Training zu unterstützen ist sinnvoll! Mitunter gleicht diese Aufgabe aber einer der zwölf Aufgaben des Herkules, die nur ein Halbgott erfolgreich lösen kann. Bestes Beispiel dafür sind Phishing-E-Mails die den Anwender tagtäglich belästigen. Denn eine GUI und andere Schutzsysteme haben auch Ihre Grenzen und so muss öfter, als dies den Verantwortlichen lieb ist, der (geschulte) Endanwender eine Entscheidung zur Kategorisierung treffen.
Für bekannte Angriffsarten wie beispielsweise der erforderliche Passwortwechsel bei einer Cloud-Anwendung oder die Verifikation von Bankdaten für eine Überweisung ist der IT-Nutzer meistens in der Lage, den Angriff zu erkennen. Aber wenn neue Themen und Ideen in Phishing-E-Mails umgesetzt werden, wird die Identifikation deutlich schwieriger. Und die Angreifer sind kreativ, wie eine Übersicht der genutzten Themen im Phishing-Umfeld zeigt. Das Unternehmen KnowBe4, Anbieter von Security Awareness-Schulungen, stellt in seinem Report für das Q4/2018 die Top 10 der Betreff-Zeilen bei Phishing E-Mails vor.
Der IT-Nutzer kann hier oft nicht unterscheiden, was real und was Fake ist – denn die Fachbegriffe klingen plausibel, die Sprache ist flüssig und weitestgehend frei von grammatikalischen Fehlern und u.U. ergibt sich auch noch ein Bezug zur Arbeit oder vertrauen Handlungsabläufen (Passwortverifikation).
Ein Phishing-Angriff ist kein Fehler, den ein Programmierteam begeht oder ein IT-Nutzer, aber es ist die tägliche Praxis dessen, was möglich ist, wenn es an einer verständlichen Kommunikation fehlt. Verständliche Kommunikation, die sich beispielsweise in Anwendung oder einer Webpage mit einem plakativen Hinweis darstellt wie: „Wir fordern Sie nie auf, Zugangsdaten online zu ändern – rufen Sie uns an, wenn Sie eine derartige Aufforderung erhalten!“ fehlen häufig.
Wenn derartige Hinweise vorhanden sind entdeckt man sie oft nur nach einer intensiven Suche in Untermenüs oder tief vergraben in Informationsschriften. Weshalb? Nun, weil Entwickler einen anderen Focus haben und man nicht unbedingt jedem IT-Nutzer derart auffällig mitteilen muss, dass die genutzte Applikation durch Cyberkriminelle per Phishing-E-Mail attackiert wird.
:quality(80)/images.vogel.de/vogelonline/bdb/1503800/1503826/original.jpg "Das Startup Perseus sensibilisiert Anwender durch Online-Trainings für die Tricks der Cyberkriminellen und stellt Tools zur Verfügung, mit denen der Mitarbeiter einfache Sicherheitsprobleme selbst lösen kann. (Thomas-Jansa - stock.adobe.com)")
Security-Startups im Blickpunkt: Perseus
IT-Sicherheit für die Basis
Wörterbuch benötigt?
Eine weitere Herausforderung für IT-Nutzer sind sehr häufig unverständliche Meldungen, die durch eine Applikation an den Anwender ausgegeben werden. Unverständlich deshalb, da der Benutzer das verwendete Fachvokabular einfach nicht kennt und versteht. Erhält man beispielsweise nach dem Versand einer E-Mail an „PaulMaier2@xyzfirma.de“ den SMTP-Fehler 550 gemeldet so ist diesem in der Regel auch eine Information zur Ursache beigefügt.
Lautet diese „Mailbox unavailable“ beginnt normalerweise das Rätselraten, was passiert ist. Warum ist die Mailbox nicht erreichbar? Ist der Mail-Server gestört, wurden Rechnung für den Service nicht bezahlt, ist die E-Mail-Adresse unvollständig oder falsch? Dass die E-Mail-Box nicht verfügbar ist, liegt aber ggf. einfach daran, dass es keine gibt, die auf den Namen „PaulMaier2“ lautet. Entweder liegt ein Tippfehler vor, oder Hr. Maier schreibt sich anders oder er hat kein Postfach mehr bei dem E-Mail-Hoster bzw. arbeitet nicht mehr bei dem betreffenden Unternehmen.
Das Rätselraten könnte man sich sparen, wenn man mehr Informationen an den Nachrichten-Empfänger liefern würde, beispielsweise nach dem folgenden Muster, indem ein erklärender Text hinzugefügt wird.
Aktion nicht ausgeführt:“mailbox unavailable“ –> Mögliche Ursachen
- Fehler 550 Empfänger unbekannt
- Fehler 550 Ungültige Adresse
- Fehler 550 Postfach nicht gefunden
- Fehler 550 Empfängeradresse abgelehnt: Empfänger nicht bekannt
- Fehler 550 Abgelehnt, da ein Verstoß gegen Richtlinien
- Fehler 550 Empfänger hat zu viele E-Mails auf dem Server (Kein freier Speicherplatz mehr verfügbar)
- Fehler 550 Dauerhafter Fehler bei einem oder mehreren Empfängern
Problematisch ist, dass es sich bei dem SMTP-Fehlercode 550 um einen generischen Wert handelt, der bei vielen Fehlern ausgegeben wird.
- 550 5.7.1: Message rejected as spam by Content Filtering (Exchange Server)
- 550 5.2.1: Mail from refused spam site
Die Zusatzinformationen, die eine bessere Analyse erlauben, werden aber oft unterdrückt oder nur in Datenbereichen sichtbar, die dem normalen E-Mail-Anwender unzugänglich sind.
Auch die Bereitstellung von Informationen bzw. Fehlermeldungen in der Landessprache des Absenders (via Domain-Extension ermittelbar), sind heute leider noch nicht üblich, obwohl dies nützlich wäre und zum Verständnis beiträgt. Man kommuniziert also, aber unterschlägt die wesentlichen Informationen. Fast so, als würde man sich zu einem Geschäftsessen verabreden, ohne Ort und Zeit zu nennen.
Übersetzter benötigt?
Viele Anwender sind ja willig, sich um die Sicherheit Ihres Systems zu kümmern. Aber diese Bereitschaft erlahmt oft, wenn man sich mit unverständlichen Meldungen konfrontiert sieht. Ein gutes Beispiel ist hier die Windows-Ereignisanzeige, die eine Vielzahl von Informationen, Warnungen, Fehlermeldungen und auch kritischen Hinweisen liefert. Doch wenn man es realistisch betrachtet, helfen diese keinem Endanwender groß weiter. Das Eventlog liefert zwar viele Daten, doch diese sagen Otto Normaluser nichts. Selbst wenn er, nun beispielsweise nach dem Error Code 10016 auf die Suche geht, wird er ggf. fündig. Microsoft gibt hier Entwarnung, da dies ein erwarteter Fehler ist (Diese 10016-Ereignisse werden aufgezeichnet, wenn Microsoft-Komponenten versuchen, auf DCOM-Komponenten ohne die erforderlichen Berechtigungen zuzugreifen. In diesem Fall wird dies erwartet und ist beabsichtigt.) Weshalb aber dieser Code dann als Fehler gemeldet wird und nicht eher als Information bleibt offen.
Analysiert man im Event-Viewer weitere Windows-Protokolle, beispielsweise aus den Bereichen Anwendung, Sicherheit oder System, wird man eine Vielzahl von Meldungen finden, die einen unguten Eindruck hinterlassen. Aber die Analyse der Inhalte und vor allem die konkrete Ableitung von Maßnahmen überfordern einen Endanwender massiv – nicht nur vom zeitlichen Aufwand her.
Selbst „einfache“ Windows-Fehlermeldungen, wie sie nach, oder bei einem Update auftreten (Windows Update Fehlercode 0x80245006), sind für den Anwender unverständlich und nicht nachvollziehbar.
Ein Update von Programmen oder Komponenten des Betriebssystems ist heutzutage eine komplexe Angelegenheit. Während man vor 10 Jahren einfach eine Datei kopierte und das Update war erledigt, gestaltet sich dieser Vorgang heute wesentlich aufwendiger.
- Dateien kopieren ggf. in Abhängigkeit von Hardware- und Software-Komponenten
- Registrieren und verknüpfen in andere Anwendungen
- Aktualisieren der Windows-Registrierungsdatenbank
- Update von Zertifikats- und Lizenzinformationen
- Löschen von alten Daten, Schlüsseln und Informationen
- Konvertieren von gespeicherten Daten in ein neues Format
- etc.
Warum nun ein Update scheitert, das ggf. eine neu entdeckte Schwachstelle behebt, wird in der Analyse üblicherweise den Software-Experten vorbehalten bleiben, denn dem Anwender fehlen konkrete Hantierungsanweisungen (für 0x80245006 genügt es oft, den Softwaredistributions-Ordner umzubenennen) und meistens auch das entsprechende Rüstzeug zur Analyse. Als Folge davon ist das Eventlog und andere Informationsquellen für die Mehrzahl der Anwender ein „Sperrgebiet“, dessen Besuch nicht lohnt.
Wären die Meldungen sprechender, könnten ggf. auch die Anwender ihr Verhalten der Situation anpassen und somit Ausfallzeiten reduzieren, was mittelfristig wieder die Effektivität steigert. Doch dies ist ein Thema, welches auf Seiten der Produkt-Entwicklung vorangetrieben werden muss. Denn Fehlermeldungen sollen nicht nur Selbstzweck sein, sondern eine Kommunikation forcieren, die einen Mehrwert generiert.
:quality(80)/images.vogel.de/vogelonline/bdb/1555900/1555976/original.jpg "Whitelisting-Lösungen können in einigen Fällen effizienteren Schutz für Endgeräte bieten, als klassische Virenscanner. (peterschreiber.media - stock.adobe.com)")
Whitelisting-Lösung von Seculution
Whitelisting statt Virenscanner
Entscheider benötigt?
Selbst vergleichsweise einfache Security-Meldungen lassen viel Raum für Entscheidungen zu. Virustotal, anerkanntes Tool zur Analyse von verdächtigen Programmen meldet, nach der Überprüfung einer Datei durch 69 Tools, bei 12 Tools eine positive Identifikation. Gefunden wird ein Trojaner.
Bei dieser Ausgangslage muss man sich fragen, weshalb andere, gute Anti-Malware-Tools, wie z.B. von Avira, F-Prot, Kaspersky, Microsoft oder Symantec nichts melden? Daran, dass die Programmdatei brandneu ist, kann es nicht liegen, denn die erste „Submission“ erfolgte vor über einem Jahr und der aktuellen Überprüfungen gingen auch andere voraus.
Also ist es nun ein echter Alarm oder ein False-Positive? Auch ein Thema, das der Endanwender nicht entscheiden kann. Aber ggf. entscheiden muss, um ein Tool einzusetzen (im Business besteht i.d.R. für den Endanwender keine Möglichkeit, als virulent gekennzeichnete Programme und Tools zu nutzen). Aber Otto Normaluser, als Privatmensch ist sein eigener Security-Administrator, der keinen fachlich ausgebildeten Entscheider fragen kann.
Obwohl die Kommunikation klar ist, enthält sie keinen Hinweis wie man nun auf das Problem reagieren soll. Eine Information im Unternehmen, die besagt „Bei positiver Malware-Identifikation ist der Einsatz des Tools verboten“ wäre hier hilfreich. Möglicherweise würde auch der Anwender diese Handlungsanweisung in sein privates Umfeld übernehmen und so Schaden vermeiden. Auch Virustotal liefert hier keine Hilfestellung – aber der Dienst ist auch in erster Linie ein Tool für die Security-Experten und liefert nur Fakten, ohne diese zu bewerten.
Mehr Service benötigt?
Es ist nicht verwunderlich, dass Anwender, die sich durch IT Sicherheit überfordert fühlen oder auch im Stich gelassen sehen, nach Auswegen suchen. Hilfe versprechen Tools (Optimierungsprogramme), die nicht nur Malware beseitigen, alte Dateien löschen, Systemfehler beseitigt, unnütz belegten Speicherplatz freigeben, sondern auch aus langsamen PCs wahre Renn-Boliden zaubern. Die ideale Lösung also, denn man muss sich nicht im Detail auskennen und das Tool beseitigt sämtliche Fehler im System. Da ist man doch gerne bereit, 50 Euro zu investieren, wenn der PC dadurch wieder fit wird. Doch leider verbirgt sich hinter dem idealen Security-Tool oft nur Schadsoftware vom Type PUP (Potentially Unwanted Program), welches dem Anwender untergeschoben wird und mit dem die ECHTEN Probleme erst beginnen. Auch wenn dies ein Security-Problem ist, welches überwiegend auf privater Ebene auftritt, die Gründe sind die gleichen, wie im Business-Umfeld. Ein überforderter Endanwender!
Anwender verstehen nicht, was ihnen die IT-Tools oder auch Security-Programme mitteilen wollen, da dies hinter Fachbegriffe versteckt ist oder erst nach intensiver Recherche verständlich wird!
:quality(80)/images.vogel.de/vogelonline/bdb/1563800/1563806/original.jpg "Der Varonis-Sicherheitsreport deckt erschreckende Wahrheiten über den Sicherheits-Status von Unternehmensdaten auf. (© esthermm - stock.adobe.com)")
DSGVO und kein Umdenken in puncto Sicherheit
Der Report des Grauens
Umdenken nötig?
Technik ist kompliziert – einerlei, ob es sich um die Steuerung eines PKW-Motors handelt, die Kontrolle eines AKW, die intelligente Steuerung von Ampelanlagen oder etwas anderes. Auch IT-Sicherheit ist kompliziert! Auch wenn man keine Handbücher aus Papier mehr verteilt, weil die Anwendungen ja „selbsterklärend“ ist, bedeutet dies nicht, dass die Anwendung für den Benutzer nicht doch zu kompliziert ist. Dies tritt meist erst dann zu Tage, wenn es zu Problemen und Fehlern kommt, denn dann werden oft nichtssagende Fehlerinformationen ausgegeben, die dem Anwender nicht helfen.
Letztendlich ist die Ursache dafür eine schlechte Kommunikation, die oft auf Seiten der Programmentwicklung nicht ausreichend auf die Bedürfnisse der Zielgruppe eingeht. Denn ein Buchhalter soll seine Buchhaltung machen, ein Einkäufer günstige Preise aushandeln und ein Verkäufer den Markt kennen. Dass hier jeder Security-Experte sein muss, nur weil er ein Smartphone oder einen Laptop nutzt ist ein Trugschluss. Auch hellseherischer Fähigkeiten, die genau identifizieren, was hinter dem Hex-Fehlercode „45 4e 44 45“ steht sind fast nicht vorhanden.
Ein Trugschluss, der vor allem den Tool-Herstellern angelastet werden muss, die sich zu wenig um diese Problematik kümmern. Dies obliegt dann den Security-Abteilungen, die ohnehin schon überlastet sind. Spötter empfehlen: „Setze keine Produkte ein, die eine „Servicehotline“ haben!“, denn diese Produkte sind oft nicht fehlerfrei und reifen quasi erst beim Anwender – sogenannte Bananensoftware.
Will man die IT-Sicherheit voranbringen, muss man sicherlich den Anwender schulen, aber auch beim Einkauf von Tools und Produkten nicht nur auf den Preis achten, sondern auch auf Qualität – auch bei den Fehlermeldungen, dem Umgang mit Problemen und der verfügbaren „Paperware“ (Alternativ elektronisches Lesematerial wie ein PDF, zur Nutzung des Tools und Interpretation von Problemsituationen).
(ID:45975679)
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/74/d7745ba308e953baccbea82d1c42ddb1/0113548985.jpeg "Im digitalen Zeitalter ist die Bedrohung durch Cyberangriffe nicht nur eine düstere Realität, sondern eine stetig wachsende Herausforderung. (Bild: beebright - stock.adobe.com)")