Menschliches Versagen: „Wir müssen die IT vor den Nutzern schützen!“
Dunja Koelwel
von Florian Hansemann, CEO HanseSecure
ber die Jahre sind mir zahlreiche sicherheitsrelevante Fehlentscheidungen von Mitarbeitenden begegnet – manche erschütternd naiv, andere fahrlässig oder gar kriminell.Die krassesten Verfehlungen – ein Blick hinter die Kulissen des menschlichen Versagens
- Ein Mitarbeiter einer Großbank leitete täglich Reports mit sensiblen Kundendaten an seine private Gmail-Adresse weiter, um „zu Hause effizienter arbeiten zu können“. Die IT bemerkte dies erst nach Monaten. Die Daten lagen frei zugänglich auf US-Servern.
- In einem Asset-Management-Unternehmen speicherte ein Fondsmanager seine Zugangsdaten zu unterschiedlichen Diensten wie E-Banking oder Kundenportalen in einer Excel-Tabelle mit dem Namen „Passwörter_neu.xlsx“ – ohne Passwortschutz. Diese lag auf einem Netzlaufwerk, auf das alle Mitarbeiter (inkl. Praktikanten) Zugriff hatten.
- Nach einem intensiven Penetrationstest mit diversen schwerwiegenden Schwachstellen bei einer Online-Bank wurde die Wirksamkeit der Web Application Firewall hinterfragt. Es stellte sich heraus, dass die Appliance mit einem Wert im 6-stelligen Bereich installiert aber nicht aktiviert worden ist.
- Für die Schul-Ferienplanung hat ein Bankmitarbeiter die Anwendung Ferienkalender.exe von einer Website mit der Toplevel-Domain .xyz auf sein Firmengerät heruntergeladen und ausgeführt. Hierdurch wurden diverse Spyware Tools auf dem Firmengerät installiert.
- Das IT-Personal wurde von einem Vorstandmitglied angewiesen, seiner persönlichen Assistentin die maximalen Rechte im Netzwerk zu geben, damit sie bei Bedarf sein Passwort zurücksetzen kann. Wobei der Bedarf lediglich eingetreten ist, wenn er mehr als 6x sein Passwort falsch eingegeben hat.
- In einem Penetrationstest konnte ein Finanzinstitut erfolgreich durch einen Phishing-Angriff mit Hilfe von Office-Makros kompromittiert werden. Darüber hinaus sind Office-Markos ein häufig von Angreifern missbrauchtes Mittel für einen initialen Angriff. Daher wurde dies im Bericht als kritische Schwachstelle moniert und entsprechend dargelegt, wie dies behoben werden kann. Das Management entschied sich grundsätzlich gegen die Deaktivierung oder Einschränkung von Makros, aufgrund eines Buttons in einer internen Word-Vorlage, welche das Öffnen von Outlook ermöglicht.
Dauerbrenner: Altbekannte Fehler mit neuen Konsequenzen
Manche Verhaltensweisen (aka menschliches Versagen) tauchen in nahezu jedem Unternehmen auf:
- Passwörter auf Haftnotizen am Bildschirm oder im Rollcontainer.
- USB-Sticks aus Konferenzen oder Werbegeschenke, die ungeprüft in Firmengeräte gesteckt werden.
- Mitnahme von betrieblichen Dokumenten auf USB-Sticks zur Bearbeitung auf dem privaten System – oft wegen Frustration über restriktive Policies.
- Download von zusätzlichen Tools, welche nicht freigegeben sind und Ad- oder Malware enthalten.
- Fehleinschätzung der Geheimhaltungsstufe von Dokumenten
- Das Tragische: Die Technologie ist oft vorhanden, aber die Umsetzung scheitert an Awareness, Usability oder internen Prioritäten.
Fazit
Florian Hansemann ist CEO von HanseSecure (Website) und einer der Top-21 Security-Experten weltweit. Bei der Bundeswehr studierte er Raumfahrttechnik und wechselte 2013 auf eine Security-Stelle.Bei den oben aufgeführten Schwachstellen sind nicht die Mitarbeiter die Ursache, sondern unzureichende oder fehlende Prozesse. Deswegen sollten Unternehmen daran denken:
Wir müssen die IT vor den Nutzern schützen!“
Dies bedeutet, dass ein Nutzer, selbst wenn er wollte, das Unternehmensnetzwerk nicht gefährden könnte. Ein weiterer wesentlicher Faktor liegt darin, Technologie, Prozesse und Kultur so auszurichten, dass die Balance zwischen Produktivität, Usability und Security gemessen am Risikoprofil des Unternehmens jederzeit gewahrt wird. Also wird im Idealfall die IT vor dem Nutzer geschützt, ohne dass dies vom Nutzer bemerkt wird.Florian Hansemann/dk
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/228404
Schreiben Sie einen Kommentar