Einfluss auf das Anwenderverhalten
Awareness-Maßnahmen steigern die Sicherheit
Will ein Gericht feststellen, ob ein Unternehmen angemessene Maßnahmen zur Verbesserung der Sicherheit getroffen hat, bewertet es Vereinbarungen und Awareness-Maßnahmen eventuell höher als Technik. Dabei einen Anfang zu finden, kostet allerdings viel Mühe.
Kommt es in einem Unternehmen zu einer Verletzung der Informationssicherheit, müssen Management
und Systemverantwortliche möglicherweise nachweisen, angemessene Maßnahmen zur Verhinderung solcher
Ereignisse getroffen zu haben. Wie im Editorial dieser Ausgabe schon kurz erwähnt, findet
Sicherheitstechnik allein in einem solchen Fall möglicherweise nicht so viel Beachtung, wie es sich
die Betroffenen wünschen. Auf einem LANline-Kongress machte Professor Dr. Nikolaus Forgó von der
Universität Hannover darauf aufmerksam, dass "weiche" Maßnahmen wie Vereinbarungen mit der
Belegschaft und professionelle Awareness-Maßnahmen vor Gericht mitunter genau so viel oder mehr
zählen als Firewalls, Filter und Überwachungs-Tools gemeinsam.
Gegen multidimensionale Angriffe
Es ist aber nicht allein die Vorliebe der Gerichte für zwischenmenschliche Verträge jeder Art,
aus der sich der Rat ableiten lässt, etwas für das Sicherheitsbewusstsein der eigenen Belegschaft
zu tun und Regeln für einen allseits akzeptablen Umgang mit den IT-Ressourcen im Unternehmen zu
vereinbaren. Dafür spricht auch, dass professionelle Angreifer wie Industriespione oder bezahlte
Saboteure in Gegensatz zu klassischen Hackern nur wenig Zeit in die Überwindung von Firewalls oder
Intrusion-Prevention-Systemen investieren. Sie nutzen über die Hacker-Techniken hinaus
Social-Engineering-Tricks, um Mitarbeitern Informationen zu entlocken. Außerdem brechen sie auch
gern klassisch ein oder lassen sich temporär einstellen, um digitale Identitäten zu ergattern oder
Zugriffsschranken aus der Insiderposition zu überwinden. Derartig mehrdimensionale Attacken vermag
kein Filter abzuwehren, sondern nur eine aufmerksame Belegschaft.
Techniker wird es zumindest freuen, dass ohne ihre Vorarbeiten alle Psychologie oft ins Leere
läuft. Warum dies so ist? Nehmen wir an, aus der Chefetage kommt die Order, darauf zu drängen, dass
in Zukunft keine vertraulichen Dokumente mehr aus dem Unternehmen heraus verschickt werden. Sie
können dies per Rund-Mail anordnen – aber haben Sie überhaupt eine durchgängige Klassifizierung,
anhand derer ein Mitarbeiter erkennen könnte, welche Dateien und Datensätze im LAN und den
Datenbanken vertraulich sind und welche nicht? Wenn dies nicht der Fall ist, sind Sie vielleicht
einfach der Ansicht, dass jeder Sachbearbeiter über die Klassifizierung in seinem Bereich
eigentlich am besten selbst Bescheid wissen müsste. Eigentlich ist dies kein schlechter Ansatz –
aber ist Ihr Netz so gut segmentiert, sortiert und mit Zugriffskontrollen versehen, dass jeder
Fachmann nur auf das zugreifen kann, was ihn angeht, während er zugleich aber garantierten Zugang
zu allen Informationen hat, die er für seine Arbeit braucht? Und gilt dieser erfreuliche Zustand
für jeden neuen Mitarbeiter von Anfang an?
Wenn nein, gibt es bei Ihnen nicht nur Sicherheitslücken, sondern auch einiges an technischen
Aufgaben, die vor den ersten Awareness-Kampagnen oder Betriebsvereinbarungen erledigt werden
sollten. Sicherheitsbewusstsein allein hilft nämlich niemandem – Mitarbeiter müssen auch
hinreichend informiert, motiviert und vor allem in der Lage sein, sich gemäß den
sicherheitstechnisch wünschenswerten Regeln zu verhalten. Sonst geht es Ihren Angestellten so wie
ein paar Kindern, von denen Sie verlangen, niemanden zur Tür hereinzulassen, ohne dass dort
überhaupt ein Schloss eingebaut wäre.
Die Tricks der Social Engineers
Es ist selbstverständlich, dass ein Mitarbeiter keine Pornografieseiten oder Angebote für
unrechtmäßig vertriebene kommerzielle Software aufsuchen sollte. Er muss wissen, dass automatisch
und unverlangt ablaufende Installationen verdächtig und deshalb abzulehnen sind und dass man
unbekannte Mail-Anhänge mit Vorsicht zu behandeln hat. So einfach diese Regeln sind – sie sollten
trotzdem per Vereinbarung festgelegt werden (siehe "Rechtssicherheit bei erlaubter Privatnutzung",
Seite 54).
Das richtige Verhalten gegenüber Social-Engineering-Angriffen fällt schwerer. Professionelle
Betrüger nutzen menschliche Verhaltensweisen, die sich im täglichen Leben normalerweise positiv
bewähren. Ein paar grundlegende menschliche Angriffsflächen dieser Art hat Robert B. Cialdini in
seinem Buch "Die Psychologie des Überzeugens" beschrieben:
Reziprozität: Tut man einem Menschen – auch unverlangt – einen Gefallen oder
gibt man ihm ein Geschenk, fühlt sich der Beschenkte normalerweise zu einer Gegenleistung
verpflichtet. Dieser Regel stellen sich auch starke Persönlichkeiten nur selten entgegen, weil der
Trick nur die dunkle Seite eines seit Jahrhunderten sozial bewährten Schemas des freundlichen
Gebens und Nehmens ist. Ein gewiefter Social Engineer im IT-Bereich kann beispielsweise versuchen,
als vorgeblicher Helpdesk-Mann bei einem Mitarbeiter ein echtes, ein extra erzeugtes oder auch nur
ein angebliches Computerproblem zu lösen – und dann später als kleine Wiedergutmachung darum zu
bitten, das Passwort für eine bestimmte Datenbank herauszurücken, weil er nun einem anderen
Mitarbeiter unbürokratisch helfen wolle oder mit einer eigenen Arbeit unter Druck geraten sei.
Commitment und Konsistenz: Normalerweise fühlen sich Personen dazu
verpflichtet, Versprechen einzuhalten oder einmal begonnene, bewährte Praktiken bis zu einem
gewissen Grade beizubehalten. Findet sich in einem Firmenleitbild beispielsweise der Grundsatz
gegenseitiger Hilfsbereitschaft, wird ein Social Engineer einer Bitte tunlichst mit einer
Erinnerung an die Leitsätze Nachdruck verleihen. Eine andere Variante: "Herrn X haben Sie doch auch
immer unbürokratisch geholfen, wollen wir das nicht beibehalten?"
Soziale Bewährtheit: Menschen neigen dazu, das nachzumachen, was viele andere
Personen ebenfalls tun. Man kann dies leicht überprüfen, wenn man – möglichst zu mehreren und
seriös mit Anzug und Krawatte bekleidet – bei Rot eine Kreuzung überquert: Es wird an Nachahmern
nicht fehlen. Social Engineers versuchen deshalb gern, eine fragwürdige Handlung dadurch zu
bemänteln, dass sie angeblich für viele andere gar kein Problem dargestellt habe. Können sie reale
Vorbilder nennen, wirkt das Verfahren noch besser.
Sympathie und Autorität: Einer scheinbar ähnlichen oder äußerlich
sympathischen Person geben Menschen eher nach, und die Drohung mit Autorität – "der Chef schickt
mich" – wirkt fast immer. Letzteres gilt zumindest in hierarchisch organisierten Firmen.
Unternehmen mit flacher Hierarchie und vielen Querköpfen als Angestellten erweisen sich als
resistenter gegen entsprechende Attacken.
Knappheit: Beim Social Engineering spielt hier vor allem angeblicher
Zeitmangel eine Rolle: "Wenn Sie mir das Kennwort nicht sofort geben, kann der Chef morgen seine
Präsentation in China nicht halten, und dann verlieren wir den Auftrag!"
Lösungen und Konflikte
Würde man es schaffen, die gesamte Belegschaft eines Unternehmens erfolgreich gegen die oben
genannten Tricks zu immunisieren, wäre das betroffene Unternehmen binnen kurzer Zeit bankrott: Die
resultierende Schwerfälligkeit, Bürokratie, Ängstlichkeit und misstrauensgeleitete Atmosphäre würde
jedes effektive Handeln ersticken. Eine gute Awareness-Kampagne muss deshalb zur Vorsicht anleiten,
ohne Vertrauen zu zerstören. Eine erste Hilfe für jeden Akteur könnte im Unternehmen könnte es
sein, die bereits aufgezählten Mechanismen der Beeinflussung von Menschen kennen zu lernen. Ein
möglicher zweiter Schritt wäre, sich im Fall einer verdächtigen Bitte – etwa nach einem Passwort –
eine Frage zu stellen, die eigentlich aus dem Arsenal des investigativen Journalismus stammt: "Wer
sagt hier was zu wem zu welchem Zweck?".
"Wer" bedeutet in diesem Fall beispielsweise: "Kenne ich die Person? Hat sie nachweislich den
Status, den sie für sich reklamiert? Ist sie wirklich ein guter Freund von X? Liegt ihre Bitte im
Rahmen Ihrer Kompetenzen?"
"Was", vielleicht ergänzt mit "wie", lässt sich so auflösen: "Was genau ist die Konsequenz, wenn
ich der Bitte Folge leiste? Wendet die Person Tricks an, um mich zu beeinflussen?"
"Zu wem" bedeutet: "Warum werde gerade ich gefragt? Weil ich zuständig bin, oder weil ich ein
leichtes Opfer sein könnte?"
"Zu welchem Zweck": "Was könnte mein Gegenüber mit der Information anfangen, die ich ihr gebe?"
Unmittelbar ersichtlich wird hier zweierlei: Eine große Hilfe in solchen Zweifelsfällen sind
Kommunikationswege, über die sich jeder Mitarbeiter in entsprechenden Zweifelsfällen rückversichern
kann – eine organisatorische Vorbedingung.
Kommunikationswege zur Absicherung
Darüber hinaus kann kein Mensch bei jeder Bitte um unkonventionelle Hilfe eine entsprechende
Fragenliste abarbeiten, er sollte dies nur in einem echten Verdachtsfall tun. Genau dazu aber muss
er wissen, welche Daten oder Zugangsdaten im Unternehmen welchen Wert haben und in welchem Fall
wirklich Gefahr droht. "Information" der Mitarbeiter über Zusammenhänge und den Wert von Ressourcen
ist also auch hier der Schlüssel zum Erfolg, eigentlich eine Binsenweisheit.
Für echte Profis und alle, die es werden wollen, startet LANline im Winter eine neue Veranstaltungsreihe: die LANline Intensiv-Trainings. IT-Spezialisten wie das Team von ERNW, die Sie als Autoren außergewöhnlicher Beiträge in der LANline und als freie Referenten auf den Kongressen der LANline und COMPUTER ZEITUNG bereits kennen, machen Sie in der ersten Seminarreihe mit Kerngebieten der modernen IT-Sicherheit vertraut. Eine Besonderheit ist das Training zum Thema Social Engineering und Awareness-Maßnahmen von Dr. Werner Degenhardt am Ende der Reihe: Hier fließen Erkenntnisse aus einem Seminar ein, das der Kursleiter zusammen mit LANline-Redakteur Dr. Johannes Wiele im Sommersemester 2006 an der Uni München gehalten hat. Das Training ist auch auf die Bedürfnisse von Sicherheitsverantwortlichen zugeschnitten, die als Techniker keine psychologische Zusatzausbildung machen konnten.
Folgende Themen stehen bereits fest:
VoIP-Security (eintägig),
Advanced WLAN-Security (zweitägig),
Layer-2-Security (eintägig),
Mobile Security (zweitägig) und
Social Engineering und Awareness-Maßnahmen.
LANline plant, die Intensiv-Trainings über den Bereich Sicherheit hinaus auf weitere Themengebiete der Zeitschrift auszudehnen. Nähere Informationen erhalten Sie unter www.events.konradin.de oder Tel.: 089/45616-112.
Lesen Sie mehr zum Thema
