IT-Security & Management Technology Conference 2012

Mitarbeiter für die Sicherheit mit ins Boot holen

| Redakteur: Dr. Andreas Bergler

Frank Timmermann, Bereich Live-Hacking & Penetration Testing am Institut für Internet-Sicherheit if(is) der Westfälischen Hochschule Gelsenkirchen
Frank Timmermann, Bereich Live-Hacking & Penetration Testing am Institut für Internet-Sicherheit if(is) der Westfälischen Hochschule Gelsenkirchen

Zusammen mit seinem Kollegen Stefan Tomanek präsentiert Frank Timmermann vom Institut für Internet-Sicherheit if(is) auf der „IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2012“ ein Live Hacking. Im Gespräch mit IT-BUSINESS verrät er bereits jetzt einige Security-Basics.

ITB: Ein Live-Hacking bringt unter anderem Gefahren zutage, die durch die Sorglosigkeit vieler Nutzer erst entstehen. Welchen Anteil haben Anwender am gesamten Sicherheitsrisiko eines Unternehmens?

Timmermann: Durch unbedachte Handlungen von Mitarbeitern können Angreifer in ein Unternehmensnetz eindringen. Studien verweisen wiederholt auf Mitarbeiter als das schwächste Glied in der IT-Security-Kette. Es ist zu beachten, dass es reichen kann, wenn allein ein Anwender eine präparierte E-Mail öffnet.

Durch diese scheinbar harmlose Handlung können Angreifer in das Unternehmensnetzwerk eindringen und Daten entwenden. An dieser Stelle sollten Schulungen und technische Einrichtungen den Benutzer unterstützen. Die Anwender können lernen, sich richtig zu verhalten und mögliche Angriffsversuche selbst zu erkennen. Somit kann diesem Angriffsvektor entgegen gearbeitet werden.

ITB: Während die IT-Security-Branche seit Jahren Alarm schlägt, dass alles immer noch gefährlicher wird, stellt der Gesetzgeber immer höhere Strafen für kompromittierte Systeme oder entwendete Kundendaten in Aussicht. Trotzdem verschlüsseln beispielsweise die wenigsten Unternehmen ihren Mailverkehr. Warum hat die ganze Aufklärung bisher so wenig gebracht?

Timmermann: Die für die Sicherheit der Systeme zuständigen Mitarbeiter in den Unternehmen wissen in der Regel um die Situation und kennen die Mechanismen, um mehr Sicherheit in den Unternehmen zu gewährleisten. Jeder neuen Maßnahmen können die Faktoren Kosten und Benutzbarkeit entgegen stehen.

Im Rahmen einer Sicherheits-Risikobewertung müssen sowohl die Kosten der Umsetzung als auch das Risiko und die Kosten eines Schadenfalles bewertet werden. Jedoch muss jede neue technische Maßnahme zur Verbesserung der Sicherheit auch von den Benutzern angenommen werden

Ergänzendes zum Thema
 
Zur Person

Eine nahtlose Integration neuer Komponenten zur Verbesserung der Sicherheit in die bestehenden Arbeitsabläufe ist häufig nicht ohne weiteres umsetzbar und erfordert einen erhöhten Personalaufwand. Damit Änderungen tatsächlich angenommen werden, sollten sie anschaulich begründet werden, so dass der Mitarbeiter mit ins Boot geholt werden kann.

ITB: Welche grundlegenden Sicherheitsmechanismen sollten Unternehmen gegen Hacker beachten?

Timmermann: Ein erster Schritt besteht darin ein IT-Sicherheitskonzept für das Unternehmen zu erstellen. Mehrere Punkte sollten dabei beachtet werden. Die Mitarbeiter sollten im Rahmen von IT-Sicherheitsschulungen im Umgang mit den Systemen und den Sicherheits-Risiken geschult werden, so dass sich ein Bewusstsein für ihr Handeln und die Gefahren für das Unternehmen bildet.

Zudem muss auf der technischen Seite gehandelt werden. Dazu gehört die Installation entsprechender Sicherheitssoftware und ein Konzept zum Patch-Management, damit die eingesetzte Software aktuell ist. Darüber hinaus muss das eigene System immer wieder auf Schwachstellen oder einen Einbruch überprüft werden, gegebenenfalls auch durch externe Anbieter.

Das Interview führte Dr. Andreas Bergler.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 35208490 / Security-Testing)