Warum Informationssicherheit nicht (nur) das Bier der IT ist

Bei den andauernden Debatten über Informationssicherheit wird eines gerne vergessen: Das grösste Sicherheitsrisiko sitzt einem häufig direkt vor der Nase. Zum Beispiel in Form von Kolleginnen oder Mitarbeitern – oder des eigenen Spiegelbildes.

Dieser Artikel wurde am 7. Februar 2017 bei tinkla.com erstmals veröffentlicht.

Was tun wir nicht alles, um unsere IT-Umgebungen sicher zu halten: Firewalls, gesperrte Plattformen, ganze Kataloge mit Beschreibungen von Benutzerrollen und ihrer Berechtigungen und einiges mehr, von dem ich nicht mal etwas weiss. Ein Faktor bleibt aber weitgehend ausserhalb unserer Kontrolle: Das Verhalten der Userinnen und User. Es gibt verschiedene Dinge, die dich – und uns alle – in dieser Hinsicht beunruhigen sollten.

Die grundlegende Sicherung von Unternehmensanwendungen

In der Regel gibt es im Unternehmen eine Personengruppe, die ein gutes Wissen darüber hat, wie man ein sicheres Passwort setzt und es handhabt. Nahezu immer ist diese Gruppe signifikant kleiner, als du denkst. Und selbst innerhalb der so genannt affinen User gehen die Meinungen über Passwortsicherheit gerne auseinander. Obwohl inzwischen weitgehend Einigkeit darüber herrscht, dass 123456 keine sichere Identifikation ist: Ich staune immer wieder, wie wenig alles darüber Hinausgehende in den meisten Organisationen thematisiert wird.

«Kein Problem», denkst du vielleicht. «Unser System nimmt nur Passwörter an, die höchsten Anforderungen genügen und verlangt alle acht Wochen deren Änderung.» Das klingt toll, lädt aber geradezu ein zu ungünstigen Ausweichmanövern und Hilfsmitteln, wie zum Beispiel anderswo notierten Zugangsdaten. Diese müssen nicht mal als Post-it am Monitor hängen, um potentiell unsicher zu sein.

Einige grundlegende Gedanken zu sicheren Passwörtern und zur Schadensbegrenzung, falls Zugangsdaten kompromittiert worden sind, findest du in der Fortsetzung zu diesem Beitrag am kommenden Donnerstag. Lass uns hier jedoch erst noch ein zweites Thema behandeln, das kaum je besprochen wird.

Gefährlich: «Master-Zugänge», die automatische Zugriffe geben

Womit ich den Menschen in meinem Umfeld mit Abstand am meisten auf die Nerven gehe, ist der Schutz der folgenden drei Dinge:

1. Der eigene Rechner

Grundlegend, aber oft vergessen: Den eigenen Rechner – bzw. alle Geräte – für fremden Zugriff zu sperren, wenn er nicht in Benutzung ist, muss zum digitalen 1×1 gehören. Unbefugter Zugriff auf einen Firmenrechner berechtigt vielleicht noch nicht zur Ansicht weiterer passwortgeschützter Daten, aber in den meisten Fällen beispielsweise zum stets aktiven E-Mail-Client. Oder zur Textnotiz, die das hochsichere, frisch gewechselte Systempasswort enthält. Im Speziellen mobile Rechner sollten stets geschützt sein, sobald deine Augen nicht am Monitor und deine Finger nicht am Keyboard sind.

2. Das eigene E-Mail-Konto

Sollte ich unbefugt Zugriff auf dein E-Mail-Konto oder eines deiner Mitarbeitenden haben, kann ich damit nicht nur eure elektronische Post lesen oder dem CEO unflätige Animated GIFs in eurem Namen senden, sondern auch: Zugangsdaten zu anderen Systemen zurücksetzen, die in aller Regel E-Mail-Adressen zur Identifikation verwenden. E-Mail-Adressen sind wie ein Generalschlüssel zu Daten, die du eigentlich schützen willst.

3. Services, die Zugriff auf Kommunikationskanäle gewähren, namentlich Facebook

Das betrifft natürlich vor allem meine eigene Zunft: Kommunikationsfachleute, die im Namen und Auftrag ihres Unternehmens oder ihres Kunden im Social Web posten und diskutieren. Das eigene Facebook-Passwort wird da schnell einmal zur offenen Tür zu viel mehr als nur den persönlichen Daten. Jemand, der sich unerlaubt Zutritt verschafft, kann grundsätzlich ganze Konzernauftritte übernehmen, indem er ein Drittkonto zum Administratoren macht und alle anderen Rollen entfernt. Das ist nichts, was man leichtfertig herausfordern möchte.

Fazit: Es reicht nicht, wenn nur wir Nerds Bescheid wissen

Das hört sich alles nach gesundem Menschenverstand an, aber langjährige Beratungserfahrung in verschiedenen Branchen und Unternehmensgrössen zeigt: Ist es nicht. Wir schreiben das Jahr 2017; bald an jeder Ecke will einem jemand die Digitalisierung erklären. Es ist höchste Zeit, in die Kompetenz und Sensibilisierung für Informationssicherheit zu investieren – und zwar in allen Bereichen und auf allen Stufen.

 

Artikelbild: Linus Bohman bei Flickr , CC BY 4.0

Kategorien: Web

Leave a Reply

Your email address will not be published.

neun − acht =