Leider zum Teil nur ausbremsen, denn IT-Security war nie sexy genug oder von Anfang ein Thema.

Krankenhäuser, Gerichte, Stadtverwaltungen, Unternehmen. In den letzten Jahren gab es zahlreiche Meldungen und Berichte darüber, wie unbekannte Hoodie-tragende Hacker Netzwerke lahmgelegt, Daten verschlüsselt und Erlöse erpresst haben. Viele werden entsprechende Angriffe mit der Schadsoftware Emotet in Verbindung bringen und nun, da die Infrastruktur wohl zerstört sei, werden auch viele aufatmen.

Doch parallel zur aktuellen Pandemiesituation ist die Hoffnung, erneut vollkommen unbeschwert und ohne nachzudenken im Internet unterwegs zu sein, ein Trugschluss. Wird es eine zweite Emotet-Welle geben? Wer weiß. Vielleicht heißt es dann anders, vielleicht verfährt es anders und greift Systeme anders an. Fakt ist: Trojaner und Nutzer*innen mit bösen Absichten schwirren im  WWW genauso rum wie Bakterien und Viren im öffentlichen Personen- und Nahverkehr: unsichtbar, aufmerksam und schnell.

Das Gute ist jedoch: sie lassen sich mit ein paar grundsätzlichen Tricks ausbremsen. Leider zum Teil nur ausbremsen, denn IT-Security war nie sexy genug oder von Anfang ein Thema. Außerdem wurden Entwicklungsschleifen immer kürzer, Programmcodes immer fehlerhafter und technische Infrastrukturen somit immer lückenhafter, zumindest in Bezug auf  IT-Security. 

Was man also tun kann? Die Lösung lautet: Berechtigungskonzepte, Phishing-awareness-trainings, Passwortmanager und zwei-Faktor-Authentifizierung.

Berechtigungskonzepte

Nein, Berechtigungskonzepte sind nicht dafür da, um Prozesse zu verlangsamen, Mitarbeitende und deren Kreativität zu fördern anderweitig an Daten heranzukommen oder den IT-Support mit Zugriffsanfragen zu schikanieren. Die Idee dahinter ist, dass wenn ein Account gehackt werden sollte (was dabei unter Hacking gemeint ist, dazu später), die Diebe nicht auf alles Zugriff haben. Entsprechend bedeutet es übrigens auch, dass Personen mit erweiterten Zugriffsrechten oder Zugriffsrechten auf sensiblen Daten (Personalakten, Buchhaltung, Geschäftsgeheimnisse) besonders vorsichtig sein sollten. Vor dem Hintergrund sollte man also selbst gewillt sein möglichst auf wenige Daten zugreifen zu können.

Das Prinzip lautet: auf so viel wie nötig und gleichzeitig so wenig wie möglich. Und wenn man für ein Projekt kurzfristig Zugriff erhalten hat, sollte es auch jemanden geben, der diese Zugriffe wieder entzieht. (An der Stelle würde ich mir als Führungsperson gut überlegen, ob ich wirklich auf alles zugreifen möchte bzw. den Zugriff wirklich brauche?)

Off topic: Datensicherheit und Datenschutz sind nicht dasselbe, auch wenn sie sich oft überschneiden. An der Stelle nur ein Gedanke aber: je weniger Daten man erfasst, umso weniger Daten können gesperrt oder geleakt werden; Stichwort Datensparsamkeit. Außerdem: Datengräber haben noch niemals geholfen. Also entweder sammelt man Daten vernünftig, maschinenlesbar und ordentlich oder am besten gar nicht. Das Prinzip “Daten auf Vorrat” funktioniert ohnehin nicht.

Phishing-Awareness-Trainings

Das beste Berechtigungskonzept bringt aber einem nichts, wenn man Fremde in sein Netzwerk reinlässt. Was das bedeutet?

Die wenigsten Hacker setzen sich in schwarzen Hoodies mit verdunkelten Fenster und Sonnenbrille vor ihren PCs und versuchen irgendwelche Sicherheitslücken auszunutzen. Das brauchen Sie meistens nicht, da unser Verhalten oft quasi einer offenen Tür ähnelt, durch die man diese hineinbittet.
Wir sind uns sicher, dass wir nicht auf den Enkeltrick reinfallen würden. Aber wie oft wird man von irgendwelchen Nummer angerufen, die dann plötzlich sehr komische Informationen von einen haben wollen?

Und wie würden wir reagieren, wenn wir auf unseren Diensthandys angerufen werden würden zwecks Kundenakquise und die Person auf der anderen Seite plötzlich wissen möchte, welche Software man verwendet oder wie der IT-Bereich organisiert ist? Das Stichwort lautet Social Engineering:

Unter diese Kategorie fallen auch die sog. Phishing Mails, bei denen ein fremder Absender sich als Absender einer zum Beispiel benutzte Softwarelösung ausgibt, indem er eine gefälschte Email an die Zielperson sendet in der Hoffnung dabei die Zugangsdaten zu erbeuten. Diese Mails weisen oft darauf hin, dass etwas neues auf einer Trello Karte, im Dropbox-Ordner etc passiert ist, ermöglichen den sofortigen Zugriff auf die Änderungen über die Mailadresse und fragen dann die Zugangsdaten ab, anstatt zu der genutzten Software weiterzuleiten.

Wenn ich also eins gelernt habe: niemals über Mails sich anmelden! Eine gute Checkliste der entsprechenden Merkmale findet sich ansonsten hier.

Das Problem ist jedoch, dass man im Trubel des Alltags solche Sachen gerne vergisst. Vorfälle sind wie eine Wunde, die mit der Zeit verheilen, so dass man an sie denkt solange sie schmerzen, sobald sie aber verheilen vermutlich nie wieder. Deswegen empfehlen sich solche Phishing-Awareness-Trainings entweder regelmäßig oder eine Struktur, bei der man solche Mails (selbst kontrolliert!) empfängt und darüber entsprechend das Bewusstsein aufrecht erhält. Natürlich denken sich viele jetzt: super, mal wieder die 142012. Schulung, für die ich keine Zeit habe, zu der ich gezwungen werde und während der ich ohnehin was anderes machen werde. Und die Datenschutzkeule  überzeugt auf viele nicht mehr. Ich sehe hier tatsächlich auch die Unternehmen und die Arbeitgeber in der Pflicht für das Thema entsprechend zu sensibilisieren und dafür zu sorgen, dass es die entsprechende Wichtigkeit erhält.

Denn das beste Berechtigungskonzept und die besten Passwortmanager bringen nichts, wenn man die Tür aufmacht und jeden frei, ohne jegliche Überprüfung hineinbittet.

Apropos Passwortmanager

Wir kennen alle alte Filmszenen, bei denen man das Passwort für einen wichtigen Zugang irgendwo in der Schublade oder auf der Unterseite eines Rechners fand, um an irgendwelche Daten ranzukommen. Diese Zettelwirtschaft ist jedoch leider keine Hollywood-Erfindung, sondern bittere Realität. Dazu der nachfolgende, wie ich finde super dargestellte, Kurzfilm. (unbezahlte und umbeauftragte Werbung)

Es heißt ja aber immer (zurecht), dass man sichere Passwörter verwenden sollte.

Start123 <- das ist kein sicheres Passwort

MeinGeburtstag <- das ist auch kein sicheres Passwort

NamederKinder oder eigener Name <- auch kein sicheres Passwort.

Sichere Passwörter bestehen mindestens aus 10 Zeichen und enthalten kleine und große Buchstaben, Zahlen und Sonderzeichen. Und im Gegensatz zur lange  geltenden Theorie müssen oder sollten Passwörter auch nicht oft geändert werden . Viel wichtiger ist es, dass sie sicher verwahrt werden. Denn: ein Passwort mit den oben genannten Merkmalen ist idealerweise so kompliziert, dass man diese sich nicht merken kann. Insbesondere bei der Arbeit heißt es ja, dass ein Urlaub dann richtig gut war, wenn man sich danach an die Passwörter nicht mehr erinnern kann. Mit einem entsprechenden Passwortmanager muss man das zum Glück auch nicht. Die besten open Source Passwortmanager finden sich hier.

Und warum open source-Lösungen oft besser sind als kommerzielle Lösungen kann man hier nachlesen.

Zwei-Faktor-Authentifizierung

Menschen machen Fehler (Maschinen übrigens auch). Dafür gibt es im unternehmerischen Kontext Verträge und Versicherungen, im privaten Umfeld der Satz: Es tut mir wirklich sehr leid. Doch einen Rettungsanker gibt es noch, wenn es um das Thema IT-Security im Bereich der Nutzer*innen geht: zwei-Faktor-Authentifizierung.

Der Name sagt es bereits, man verwendet bei der Authentifizierung, also beim Nachweisen der eigenen Identität z.B. durch die Eingabe einer Benutzername- Passwort-Kombination gegenüber einer Webseite, einen zweiten Faktor. Ob dies die Handynummer ist, auf die dann eine entsprechende Nachricht zur Authentifizierung gesendet wird oder die Mailadresse, an die ein Code geschickt wird, ist erstmal egal. Denn im schlimmsten Fall, sollte man eine Phishing-Mail übersehen haben, bringen Hacker die Zugangsdaten nicht, wenn sie keinen Zugriff auf den zweiten Faktor haben. (An der Stelle nochmal ein Hinweis, dass es wichtig ist nicht überall dasselbe Passwort zu verwenden, denn dann nutzt einem der zweite Faktor über die Mailadresse nichts, wenn man diese auch mitlesen kann.)

Ausblick

Diese vier Lösungen sind aktuell in der Lage die meisten und gängigsten Angriffe abzuwehren, da oftmals (trauriger Weise) nicht mal diese angewendet werden. Somit lohnt es sich für die meisten Böswilligen auf diese Lücken zu setzen und zum Beispiel über Phishing-Mails zum Ziel zu kommen. Doch wir werden (hoffentlich) aufmerksamer, vorsichtiger und umsichtiger. Was allerdings auch dazu führen wird, dass Angriffe komplizierter werden. Somit lohnt es sich den Faktor-IT-Security bei jedem Design von Anfang an mitzudenken und Projekte entsprechend zu gestalten.

Ja, die Nutzung von Passwortmanager oder eine aktive 2-Faktor Authentifizierung bremst einen aus und erfordert einen weiteren Mausklick. Zukünftig werden wir deswegen stets abwägen müssen: zwischen Usability, Security und Gewinn. Die zwei oder drei weiteren Klicks werden aber hoffentlich stets als kleiner Preis auf dem Usability-Konto sein für die Sicherheit. Und dass Security kostet ist vermutlich klar (wer beruflich die Mitarbeitende ihre eigene Geräte zur Arbeit mitbringen und nutzen lässt (bring your own device), der/die sollte sich eventuell ein paar Gedanken machen), denn sichere Systeme sind aufwändiger, komplizierter und nach meiner Erfahrung auch durchdachter. Das dauert aber auch entsprechend länger.

 

Quellen und weitere Hinweise

OpenHPI-Kurs (vom 10.02.21- 24.02.21) – Cyberthreats by Malware

Daten-Leak Check des Hasso-Plattner-Instituts

Haufe.de – Corona Phishing Mails

Tagesschau- Emotet

Gdata.de – Wie eine Emotet-Infektion im Unternehmen abläuft

Handelsblatt- Emotet war nur der Anfang 

Guide to private Browsing

It-Zoom.de – das Internet der sicheren Dinge 

Verbraucherzentrale – sichere Passwörter so Gehts 

Der Beitrag Warum IT-Security immer relevanter wird und werden muss erschien zuerst auf All about Legal (&) Technology.