Einfallstor Großhirnrinde: Der Faktor Mensch in der IT-Sicherheit

Technik ist prinzipiell beherrschbar, der Faktor Mensch eher nicht. Jedenfalls dann nicht, wenn sich niemand Gedanken darum gemacht hat.

Und deshalb sind die Probleme der IT-Sicherheit in der Theorie oft im Wesentlichen gelöst – und in der Praxis ein großes Desaster.

So könnte man einen Vortrag auf den Punkt bringen, den Linus Neumann, einer der Sprecher des Chaos Computer Clubs, auf dem CCC-Kongress Ende Dezember in Leipzig gehalten hat.

Die Präsentation gibt es auf Youtube. Das Anschauen kostet fast eine Dreiviertelstunde Lebenszeit. Aber es lohnt sich. Weil einige Aspekte des täglichen IT-Risikos mal aus ganz ungewohnter Perspektive geschildert werden. Außerdem ist es erstaunlich unterhaltsam und man versteht alles Wesentliche auch ohne IT-Fachwissen.

„Hirne Hacken“: Linus Neumann vom CCC zum Mensch als (Unsicherheits-)Faktor in der IT-Sicherheit

Einige der Erkenntnisse aus dem Vortrag

  • Die IT-Sicherheit liefert seit Jahren keinen wirklichen Fortschritt bei den immer gleichen Angriffsrisiken, z. B. Betrügereien oder Schad-Makros in Office-Dateien.
  • Selbst Experten werden immer wieder Opfer. (Faktor Mensch halt.)
  • Das Problem untauglicher Passwörter ist nicht dadurch auszurotten, dass man den Leuten die Verwendung möglichst langer, schwer zu erratender unterschiedlicher Passwörter predigt. Das tun die meisten trotzdem nicht.
  • Die Art und Weise, wie Microsoft Word auf die Gefahr durch bösartige Makros in zugeschickten oder heruntergeladenen Dateien hinweist, ist völlig untauglich. Gleichzeitig sind die Hinweise so gestaltet, dass sie eine unvorsichtige Reaktion leicht machen: ein großer Button, der die Makro-Ausführung ermöglicht.
  • Russischer Staatsbürger? Dann gibt es den rettenden Code nach Attacke eines Verschlüsselungstrojaners von den Cyber-Kriminellen für umsonst.
  • Kein Backup, kein Mitleid.
  • Wer Passwörter oder Zugangsdaten abfischen oder die Leute zum Installieren von Schadsoftware bringen will, muss Angst auslösen – oder eine Routine-Handlung.
  • Beim Risikomanagement auf Ebene der Unternehmensorganisation erhält das Social Engineering (gegen Menschen gerichtete Tricks) bei IT-Angriffen meistens selten genug Aufmerksamkeit.
  • Dabei gibt es Maßnahmen, um die Nutzer als IT-Sicherheitsschwachstelle weniger angreifbar zu machen. Eine solche Maßnahme sind Phishing-Scheinangriffe im Auftrag der eigenen Geschäftsführung mit anschließender Aufklärung. Hintergrund: Mitarbeiter entwickeln meist erst dann ein Bewusstsein für Phishing-Risiken, wenn sie selbst zum Opfer geworden sind.

Die Punkte sind unsere Wiedergabe, keine Zitate. Wir haben einige davon nach Hinweisen von Linus Neumann korrigiert oder zumindest präzisiert – danke für das Feedback. Und vielleicht sollte man noch hinzufügen, dass er in der Präsentation nicht nur Probleme anspricht, sondern auch Lösungen vorschlägt.

Apropos Mensch – es wird noch dieser Tweet zitiert …

Eine Cyberversicherung setzt genau beim Risiko Mensch an

Bleibt aus unserer Sicht noch der Hinweis: Genau deshalb ist eine Cyber-Versicherung gegen Schäden durch IT-Risiken ein wirklich sinnvoller Baustein für das Risikomanagement.

Der Cyber-Versicherungsschutz hängt nicht davon ab, dass Technik im Ernstfall auch funktioniert. Und er schützt selbst dann, wenn Menschen dumme Fehler machen.

Wie immer: Bei Fragen oder Anmerkungen kann man mit uns von acant einfach reden. Rufen Sie uns an: 0176 10318791.

Schreibe einen Kommentar