Social Engineering & Co
Vertrauen und Offenheit contra Geheimnisverrat
Der Begriff Social Engineering stammt aus der Computersprache. Dabei geht es um ein sehr altes Phänomen: um die Kunst, Menschen mittels sozialer Kontakte zu Äußerungen bzw. Handlungen zu verleiten, die zum Nachteil dieser oder anderer Menschen führen. Das Wissen um Social Engineering und ähnliche Bereiche ist auch für den Soldaten ein wichtiger Teil des Informations- und des Eigenschutzes.
"Ortsverbund Wien. Guten Morgen!" "Guten Tag! Ich heiße Müller und bin von der Firma IBM. Ich hätte gerne den Administrator oder den Netzwerkbetreuer der XXX-Kaserne gesprochen." "Einen Moment, ich verbinde" … "Guten Morgen, Hauptmann Meier, S6." "Guten Morgen Herr Hauptmann! Magister Müller, Microsoft-Österreich. Ich bin der neue Kundenbetreuer für das Bundesheer. Bei Ihnen sind Serverprobleme beim neuen Windows Vista aufgetreten, hat man mir gesagt. Deshalb sollte ich Sie anrufen und über den letzten Sicherheits-Patch informieren." "Windows Vista? Dieses Produkt verwenden wir noch gar nicht, wir haben Windows NT auf den Rechnern, und am Server läuft Linux." "Wirklich? Und in welcher Version?" "Linux 9.1." "Sagen Sie, ist das am Ende in ganz Wien noch so?" "Ja, weil unsere Server werden immer fast gleichzeitig umgestellt!" "Oh, Entschuldigung, da ist bei Ihnen ohnedies alles in Ordnung, und Sie brauchen gar keinen Support. Anscheinend ist meine Liste falsch. Danke vielmals! Und auf Wiederhören!" Ein harmloses Telefongespräch aufgrund einer Verwechslung? Oder doch nicht? Was hätte Herr "Müller" innerhalb einer Minute durch Social Engineering erfahren? Zum Beispiel, dass der zuständige S6 Meier heißt und Hauptmann ist, welches Produkt eingesetzt wird, welches Betriebssystem wo verwendet wird und einiges mehr … Ein anderes - reales - Beispiel: Die rasante Verbreitung des Internetwurms Sober.O, der im Frühjahr 2006 gefälschte E-Mails mit einer Bestätigung für Eintrittskarten zur Fußballweltmeisterschaft 2006 verschickt hat, war großteils auf Social Engineering bzw. die Nutzung psychologischer Mechanismen zurückzuführen. Als Köder dienten die nur beschränkt zur Verfügung stehenden Tickets für die Fußballweltmeisterschaft. Das Bestreben, Tickets zu erhalten, sollte fußballbegeisterte Benutzer zum Entpacken und Ausführen des schädlichen E-Mail-Anhangs verleiten.
Ein interessanter, ebenfalls in den Bereich Social Engineering fallender Serienbetrug wurde 2004 bekannt. Unter den 750 Geschädigten waren zahlreiche Heeresangehörige, aber auch Angehörige anderer Behörden und Dienststellen sowie Soldaten aus dem Ausland. Ein ehemaliger Gastwirt und Unteroffizier der Reserve hatte - nachdem er in Geldschwierigkeiten geraten war - den Milizstammtisch "In Treue fest" gegründet. Bei diesem Stammtisch bot er - als angeblicher nebenberuflicher Reiseveranstalter - einen Aufenthalt auf dem amerikanischen Flugzeugträger "USS Kitty Hawk" an. Bald gab es eine Unzahl von Interessenten bis in die höchsten Führungsebenen aus dem zivilen und militärischen Bereich. Der Flug nach Italien, der Hubschraubertransfer zur und der Aufenthalt auf der "USS Kitty Hawk" wurden um sagenhafte 330 Euro angeboten. Die meisten Interessenten zahlten den Betrag ein, sodass es letztlich zu einer Schadenssumme von 230 000 Euro kam. Eine tatsächliche Reise seiner Kunden hatte der "Reiseveranstalter" aber gar nicht im Sinn. Geschickt nutzte er den Irak-Krieg und andere Krisen, um den Kunden glaubhaft zu machen, dass der Besuch "aufgrund der aktuellen Sicherheitslage" ständig verschoben werden musste. Wollte jemand aussteigen, wurde anfangs das Geld anstandslos zurückerstattet. So bekamen etwa 280 Geschädigte ihr Geld wieder zurück. Einige andere wurden aber misstrauisch und schalteten letztlich die Behörden ein - doch bis dahin dauerte es mehr als zwei Jahre.
Durch geschickte Nutzung einiger psychologischer Mechanismen konnte der "Reiseveranstalter" seine Mitmenschen manipulieren. Auch diese Mechanismen fallen unter Social Engineering.
Im Spätsommer 2006 stürmten Menschenmassen das Wiener Verkehrsamt. Auslöser dafür waren E-Mails mit falschen Informationen über den neuen EU-Führerschein im Scheckkartenformat. Die Empfänger wurden - scheinbar amtlich - aufgefordert, den bisherigen Führerschein bis Jahresende auf die neue EU-Variante umzutauschen. Bei Fristversäumnis würde der bisherige Führerschein zukünftig nur noch auf jeweils drei oder fünf Jahre verlängert werden. Bei jeder Verlängerung müsse darüber hinaus ein Test in der Fahrschule absolviert und der Amtsarzt besucht werden. (Ähnliche E-Mails mit deutlich geringerer "Breitenwirkung" waren auch schon Ende 2005 im Umlauf.) Auch hier wurden psychologische Grundregeln genutzt, um Menschen zu manipulieren.
Warum Social Engineering funktioniert
Die angeführten Beispiele haben gezeigt, wie Social Engineering "im täglichen Leben" funktioniert oder funktionieren kann, nicht aber warum. Im Grunde verbirgt sich hinter Social Engineering keine neue Erfindung oder Errungenschaft. Es ist gleichsam alter Wein in neuen Schläuchen, denn (theoretisch) sind bereits die Verführung von Adam durch Eva bzw. die Verführung von Eva durch die Schlange auf dieselben Prinzipien und Regeln zurückzuführen, ebenso die klassische nachrichtendienstliche Gesprächsabschöpfung. Neu ist aber, dass die Möglichkeiten und die möglichen Auswirkungen durch die Vernetzung unserer modernen Gesellschaft um ein Vielfaches gestiegen sind.
Social Engineering hat primär aber nichts mit Computerkriminalität - im Sinne von "Hacken" oder der Erstellung von Schadprogrammen - zu tun, es macht diese nur "schmackhaft". Ein Social Engineering-Angreifer zeichnet sich durch hohe Kommunikationsfähigkeit aus. Er nutzt dieselben psychologischen Mechanismen wie z. B. die Werbung, die zum Kauf von Produkten animiert.
Die Art und das Tempo des heutigen Lebens verhindern oft ein längeres Überlegen vor wichtigen Entscheidungen. Die Menschen werden von Reizen und Eindrücken geradezu überflutet. Daher führt das menschliche Gehirn laufend eine Selektion und Filterung durch, um alle Anforderungen bewältigen zu können. Die Bandbreite dieses Filters hängt wesentlich von der jeweiligen Sensibilisierung durch die Erziehung, Ausbildung und Erfahrung ab. Die nachfolgenden psychologischen Mechanismen bzw. Regeln sind Teil des Alltages und wichtiger Bestandteil des gesellschaftlichen Zusammenlebens. Es geht um Vertrauensbildung bzw. darum, natürliche Hemmschwellen abzubauen. Dies sind normale, menschliche Vorgänge. (Vgl. hierzu auch Cialdini, Robert B., Die Psychologie des Überzeugens. Ein Lehrbuch für alle, die ihren Mitmenschen und sich selbst auf die Schliche kommen wollen. Verlag Hans Huber, Bern 2004, und Kirschner, Josef, Manipulieren, aber richtig! Droemer Knaur Verlag, München-Zürich 1999.) Regel der Gegenseitigkeit
Wird uns etwas geschenkt oder erhalten wir Hilfe, entsteht in uns das Verlangen, dies zu erwidern. Dieser bei den meisten Menschen vorhandene Mechanismus hat entscheidend zu den sozialen Fortschritten beigetragen. Er kann aber auch zu unserem Nachteil ausgenutzt werden.
Die klassische nachrichtendienstliche Anbahnung beginnt z. B. mit kleinen Geschenken und führt dann zur Einforderung einer Gegenleistung. Derselbe Mechanismus veranlasst Kunden - nach Gratisproben oder Werbegeschenken - zum Kauf eines Produktes.
Regel der sozialen Bewährtheit
Wir betrachten unser Verhalten als richtig, wenn wir dasselbe oder ein ähnliches Verhalten auch bei anderen Personen beobachten können.
Auch diese Regel wird gezielt in der Werbung eingesetzt. Menschen sind leichter zu überzeugen, wenn sie sehen oder glauben, dass andere ebenso denken oder sich gleich verhalten. Dieses Verhaltensmuster wurde auch bei einem oben geschilderten Beispiel genutzt.
Regel der Sympathie
Wirkt eine Person sympathisch, kommt man ihren Bitten viel lieber nach. Menschen mögen Leute, die ihnen ähnlich sind oder ihren Wunschvorstellungen entsprechen. Dies gilt unabhängig davon, ob die Ähnlichkeit im Bereich von Meinungen, Charaktereigenschaften, Herkunft oder Lebensstil besteht.
Regel der Autorität
Obwohl sich die Rolle von Autoritäten in unserer Gesellschaft verändert hat, funktioniert auch dieser Mechanismus weiterhin. Die Autoritätsgläubigkeit wird zwar oft in Abrede gestellt, bei genauerer Analyse ist sie aber auch heute noch eindeutig vorhanden. Titel, Kleidung und Luxus wirken hier besonders unterstützend.
Erschreckend ist, dass dieser Mechanismus selbst dann funktioniert, wenn Menschen überzeugt sind, dass die von einer Autorität getroffene Entscheidung oder ihr Handeln falsch ist.
Im militärischen Bereich kann die missbräuchliche Ausnützung der Autorität besonders gut bei Wachen beobachtet werden. Immer wieder werden Wachen beanstandet, wenn sie ordnungsgemäß kontrollieren und nicht umgekehrt. Die Wachen lassen sich dabei durch autoritäres Auftreten von ihrem Wachauftrag abbringen und begehen so eine Wachverfehlung.
Regel der Einstellung und Konsequenz
Dieser Mechanismus veranlasst Menschen zu der Reaktion, frühere Entscheidungen zu rechtfertigen und den Bruch mit früheren Handlungen und Entscheidungen zu vermeiden. Je höher der Aufwand für die Entscheidung war, desto mehr wird versucht, den eingeschlagenen Weg zu rechtfertigen. Besonders gut funktioniert dieser Mechanismus, wenn der Eindruck besteht, dass die Entscheidung ohne besonderen äußeren Druck vorgenommen wurde.
Diese Regel spielt im militärischen Bereich eine besondere Rolle. Militärische Führungskräfte werden dazu ausgebildet, besser eine schlechte (im Sinne von nicht optimale; Anm.) als gar keine Entscheidung zu treffen. Diese Vorgangsweise ist durchaus richtig, wenn es um die Bewältigung von Krisensituationen unter Zeitdruck geht. Dennoch sollten sich alle Führungskräfte dieses Mechanismusses bewusst sein und ihn in der Folgebeurteilung berücksichtigen. Die Fähigkeit zur Selbstreflexion und zum Lernen aus Fehlern spielt dabei eine entscheidende Rolle. Leider wird dies in unserer Gesellschaft noch allzu oft als Schwäche und nicht als Stärke gesehen. Eine Weiterentwicklung ist aber nur über diesen Prozess möglich. Wo Menschen handeln, passieren Fehler. Schlimm ist nur, wenn dieselben Fehler immer wieder passieren!
Regel der Unerreichbarkeit
Dinge erscheinen uns umso wertvoller, je weniger erreichbar oder verfügbar sie sind. (Man nennt das auch Knappheitsprinzip.) Meist wird dieser Mechanismus aber nicht bewusst wahrgenommen. Um das gesteigerte Verlangen nach einer Sache verstandesmäßig zu erklären, werden ihr daher oft positive Eigenschaften zugeschrieben, denn es lohnt sich, um wertvolle Sachen zu kämpfen (sowohl um materielle, als auch um immaterielle, wie zum Beispiel um Hochachtung, Ehre, guten Ruf oder Ruhm). Wenn bei Menschen der Eindruck entsteht, dass diese Aspekte des Lebens bedroht sind, werden sie anfällig für Manipulationen. Ausgelöst wird dieser Mechanismus durch verschiedene Einflüsse, z. B. über die Taktik der kleinen Menge - etwa bei einer limitierten Sonderserie eines Fahrzeuges - oder über eine beschränkte zeitliche Verfügbarkeit z. B. "Schlussverkauf - nur noch drei Tage!". Unzählige Beispiele aus dem Werbealltag zeugen davon.
Im militärischen Bereich kann die Wirkung dieser Mechanismen auch im Zusammenhang mit klassifizierten Informationen beobachtet werden. Fast immer führt die Vorenthaltung von Informationen zu einem stärkeren Interesse an der zurückgehaltenen oder klassifizierten Information. In der Regel werden diese Informationen auch als höherwertig und glaubwürdiger eingeschätzt.
Ablauf eines Social Engineering-Angriffes
Nach all diesen Regeln handeln sowohl Politiker, Medien, Werbung, Verkäufer usw. als auch Menschen im alltäglichen, zwischenmenschlichen Bereich (z. B. in der Partnerschaft) bewusst oder unbewusst. Ein Social Engineering-Angreifer nutzt diese psychologischen Mechanismen, z. B. um gezielt (vertrauliche) Informationen zu beschaffen. Nicht die Regeln sind schlecht, sondern das vom Angreifer verfolgte Ziel! Wer die Mechanismen kennt, kann mit der Manipulation bewusst(er) umgehen. Berücksichtigt man dies, dann erscheint so manche Schlagzeile in einem anderen Licht. Auch in zahlreichen Berichten zu Betrugs- oder Spionagefällen sind Social Engineering-Angriffe erkennbar.
Jeder Angreifer trachtet danach, die Entdeckungswahrscheinlichkeit zu minimieren. Hiefür sind umfangreiche Vorbereitungsmaßnahmen und Recherchen erforderlich. Als erstes erfolgt eine Zielaufklärung: Gepflogenheiten, Umgangsformen, die Fachsprache bzw. interne Ausdrücke, aber auch Gliederungen und Geschäftsordnung sowie Namen von Mitarbeitern sind wichtige Hintergrundinformationen für den Angreifer. Hiezu können bereits erste persönliche Kontakte zu scheinbar "unwichtigen" Personen hergestellt werden. Im Glauben, nichts zu wissen und daher auch nichts ausplaudern zu können, erhält der Angreifer von diesen Personen oft sehr wichtige Detailerkenntnisse für sein weiteres Vorgehen (Puzzle- oder Kreuzworträtsel-Phänomen). Die Opfer werden dabei durch Täuschung oder durch Druck zur Weitergabe (vertraulicher) Informationen bewegt. Bei kritischen Rückfragen ist der neugierige Frager plötzlich "nur eine Aushilfe" oder eine "wichtige Person" und versucht, durch Vorspielen von Hilflosigkeit oder durch Autorität das Vertrauen wieder zu gewinnen.
Die Grenzen zwischen den Vorbereitungsmaßnahmen zu einem Social Engineering-Angriff und dem tatsächlichen Angriff sind oft fließend. So beschaffte sich ein Amerikaner, der niemals Soldat war, jahrelang u. a. durch Gespräche mit ehemaligen Kriegsteilnehmern (offenes) Wissen über militärische Einsätze, Uniformen, Ausrüstung und Personen eines militärischen Verbandes einschließlich der gängigen Spitznamen bzw. der soldatenüblichen Benennungen. Danach besuchte er ein Veteranentreffen dieses Verbandes und wurde dort aufgrund seines Insiderwissens und seines Auftretens für einen ehemaligen Verbandsangehörigen gehalten. Beim Treffen gab er vor, in eine finanzielle Notlage geraten zu sein. Wohlhabende ehemalige "Kriegskameraden" stellten ihm daraufhin relativ hohe Geldsummen zur Verfügung. Die Gespräche bei diesem Treffen brachten ihm neue Erkenntnisse, die ihn beim nächsten Treffen noch glaubwürdiger erscheinen ließen und ihm noch mehr Geld einbrachten … Die Zielaufklärung stützt sich auf verschiedene Methoden, welche davon abhängig sind, ob ein Zugang zum Zielobjekt besteht oder nicht. Der Angriff kann sowohl mit technischer Unterstützung erfolgen als auch ohne. Das Telefon ist dabei - nach wie vor - das beste Hilfsmittel, um mit geringem Aufwand zum Ziel zu gelangen. Mit dem Opfer kann direkt gesprochen werden, und das aus einer sicheren Entfernung. Technische Hilfsmittel, vor allem das Internet (E-Mails, Homepages usw.) gewinnen aber immer mehr an Bedeutung, um die Naivität, Hilfsbereitschaft und Eitelkeit von Menschen auszunutzen und Schäden zu verursachen. All das funktioniert aber auch im persönlichen Gespräch, z. B. im Zuge einer Großveranstaltung.
Durch die Verwendung des Aufklärungsergebnisses werden beim eigentlichen Informationsträger Vertrauen aufgebaut bzw. natürliche Hemmschwellen gegenüber sonst unbekannten Personen abgebaut. Durch geschickte Kommunikationsmanipulation wird der Angreifer versuchen, die benötigten Informationen zu erhalten. Diese können auch wieder Puzzleteile sein, welche z. B. für einen späteren Angriff auf Kommunikationsnetzwerke (durch Hacking, Sabotage usw.) benötigt werden.
Informationsschutz
Im militärischen Bereich hat der Informationsschutz seit jeher einen hohen Stellenwert. Er ist ein wichtiger Bestandteil des Eigenschutzes. Darüber hinaus ist ein funktionierender Informationsschutz für die multinationale Zusammenarbeit unverzichtbar.
Fremde Kräfte interessieren sich für Streitkräfte primär dann, wenn sie mit diesen in Konflikt geraten könnten. Im heutigen Umfeld sind das nicht nur fremde Streitkräfte und deren Nachrichtendienste, sondern auch andere vielschichtige, schwer einschätzbare Gegner. Diese sind bei Auslandseinsätzen permanent aktiv. Selbst durch die Anwesenheit einer Friedenstruppe im Einsatzland wird immer jemand in seiner Handlungsfreiheit eingeschränkt und zu Gegenmaßnahmen veranlasst. Dies können Konfliktparteien, lokale Machtgruppierungen (z. B. "Warlords"), die Organisierte Kriminalität oder andere "Mitspieler" sein. Einige Soldaten bzw. deren Angehörige mussten bereits feststellen, dass der lange Arm dieser Gruppierungen manchmal bis nach Österreich reicht. Bisher blieb es zum Glück bei Drohanrufen. Ein leichtsinniger Umgang mit persönlichen Daten im Internet oder im Einsatzraum begünstigt derartige Vorfälle!
Informationsschutz ist daher für das Österreichische Bundesheer ein wesentlicher Teil des Eigenschutzes. Die Vernachlässigung führt zwangsläufig zur Gefährdung von Gesundheit und Leben von Menschen!
Ein besonders sensibler Bereich sind internationale Ausbildungsgänge und Veranstaltungen. Hier wird in jedem Fall der schmale Grat zwischen vertrauensbildenden Maßnahmen und Geheimnisverrat betreten. Bei der Durchsicht des durch die Teilnehmer bereitgestellten Informationsmaterials zeigt sich der Unterschied sehr deutlich. Das Material reicht, je nach Nation, von belanglosem Werbematerial über das Heimatland bis hin zu klassifizierten Unterlagen. Daher muss jeder österreichische Soldat genau prüfen, welche Informationen über eigene Systeme und Verfahren er weitergibt - und in welcher Qualität. Insbesondere sind dabei einschlägige Vorschriften und Regeln zu beachten, vor allem die "Regel der Gegenseitigkeit", welche nicht zum eigenen Nachteil führen darf.
Aber auch in der Heimat gibt es unzählige Beispiele, wo durch Unwissenheit oder Leichtsinn fahrlässig mit Informationen umgegangen wird. Allzu oft werden z. B. sensible Informationen am Telefon weitergegeben, ohne die wirkliche Identität des Gesprächspartners zu kennen. Selbst Verschlusssachen wurden schon ohne Überprüfung der Identität des Empfängers ausgehändigt!
Schutz ist möglich
Wem kann man heute noch vertrauen? Eine schwierig zu beantwortende Frage. Wir beziehen unsere Informationen heute aus den unterschiedlichsten Quellen. Dabei ist der Ursprung bzw. deren Vertrauenswürdigkeit und Verlässlichkeit oft nicht feststellbar. Noch nie war es so einfach, Informationen zu fälschen und an die breite Masse zu bringen. Auf der anderen Seite stehen uns aber auch unzählige Möglichkeiten zur Verfügung, Informationen zu verifizieren. Das ist oft nur eine Frage des Aufwandes.
Daher bleiben als Schutzmaßnahmen vor Social Engineering & Co. nur grob gehaltene Empfehlungen und der Hausverstand jedes Einzelnen, denn: - Es kann jeden treffen! Jeder ist manipulierbar!
- Jeder weiß etwas! Jeder kann einen Puzzlestein zu einem "Gesamtbild" liefern!
- Paranoia ist immer kontraproduktiv! Lassen Sie sich daher nicht in Angst und Schrecken versetzten!
- Das wichtigste Glied in der (IKT-)Sicherheitskette ist der Mensch!
Mögliche Kennzeichen eines Social Engineering-Angriffes:
Jeder von uns sollte misstrauisch werden, wenn von unbekannter Seite - darauf gedrängt wird, z. B. einen E-Mail-Anhang zu öffnen oder Daten weiterzugeben, - es jemand besonders eilig hat oder die gestellte Forderung "bitte so schnell wie möglich" erfüllt werden muss, - unter Hinweis auf Autorität Druck gemacht wird, - Rückfragen abgetan oder nicht beantwortet werden, - die Bekanntgabe einer Rückrufnummer verweigert wird oder nur eine Handynummer angegeben wird, die in keinem Telefonbuch steht, - Konsequenzen wie z. B. "Beschwerde", "Sperrung des Kontos", "Geldverlust", "verpasste Chance" usw. angedroht werden, - Versprechungen z. B. eines Geld- oder Sachgewinnes gemacht werden, - ungewöhnliche Anliegen herangetragen werden, - besonders geschmeichelt wird und Komplimente gemacht werden.
Diese Auflistung ist nicht vollzählig, denn Betrüger und Agenten finden immer neue Methoden, um das Vertrauen von Mitmenschen zu gewinnen und auszunützen!
Für jeden mögliche Gegenmaßnahmen
Generell gilt: - Halten Sie sich bei Unsicherheiten zurück und versuchen Sie die Information oder die Identität Ihres Gesprächspartners zu verifizieren. Lassen Sie sich einen Ausweis zeigen, oder verlangen Sie eine (hinsichtlich Namen und Funktion überprüfbare) Rückrufnummer!
- Sollte einmal ein Fehler passieren, dann vertuschen Sie ihn nicht! Informieren Sie Ihre Sicherheitsfachkräfte und Ihre Umgebung, damit der Fehler nicht wiederholt wird!
- Beachten Sie die einschlägigen Sicherheitsrichtlinien und Vorschriften!
- Überlegen Sie, wo, wem gegenüber und was Sie über sich und über dienstliche Belange preisgeben!
- Beachten Sie die oben angeführten psychologischen Mechanismen, welche zur Manipulation ausgenützt werden!
- Informieren Sie sich über aktuelle Sicherheitsbedrohungen!
Weitere, wesentlich umfangreichere Informationen über dieses Thema (siehe Foto und Kasten links) finden Sie auch im weit umfangreicheren Informationsblatt des Abwehramtes "Schutz vor Social Engineering". Im Bedarfsfall können Sie sich auch an das Abwehramt wenden!
Elektronische Abwehr
"Die Elektronische Abwehr/IKT-Sicherheit bezweckt den Schutz von Einrichtungen des Bundesheeres und der Heeresverwaltung, insbesondere von Fernmelde- und Datenverarbeitungseinrichtungen, Räumlichkeiten sowie Gefechtsständen vor elektronischen Spionage- und Sabotagebestrebungen gegnerischer Dienste und ist vor allem eine begleitende Maßnahme des militärischen Sicherheitsdienstes im technischen Bereich." (aus einer grundsätzlichen Weisung zur Elektronischen Abwehr).
Trotz aller Absicherungsmaßnahmen müssen gefährdete Objekte von Zeit zu Zeit mit technischen Mitteln durch die Elektronische Abwehr überprüft werden. Dabei werden die betroffenen IKT-Anlagen einem Sicherheitsaudit unterzogen. Beim Audit werden personelle, technische (Hardware, Software u. a.), infrastrukturelle, organisatorische und administrative Absicherungsmaßnahmen nach einem umfangreichen Katalog einer gründlichen Revision unterzogen. Im Ergebnisbericht erhalten die überprüften Dienststellen einen umfassenden Lagebericht mit einer Beschreibung der eventuell vorgefundenen Schwachstellen sowie der sich daraus ergebenden Risiken und Gefahren. Detaillierte Vorschläge zur Verbesserung der Absicherungsmaßnahmen werden zur Verfügung gestellt.
Dabei sollte den betroffenen Kommandanten und Leitern bewusst sein, dass das Ergebnis eines Sicherheitsaudits nur eine "Momentaufnahme" darstellt. Sichere IKT-Anlagen können am nächsten Tag schon wieder unsicher sein, wenn nicht gleichzeitig vorbeugende Absicherungsmaßnahmen getroffen werden.
Informationsschutz
Wissen schützt!
Informieren Sie sich über Gefahren und Absicherungsmöglichkeiten! Beachten Sie die Informationsblätter des Abwehramtes!
Sensibilisiere auch andere!
Informieren Sie Ihre persönliche und berufliche Umgebung über die Gefahren im Umgang mit Informations- und Kommunikationstechnik!
Reden ist Silber, Schweigen ist Gold!
Überlegen Sie gut, wo, wem gegenüber und was Sie über sich und Ihre Tätigkeit erzählen! Plaudern Sie in der Öffentlichkeit nicht über sensible Informationen (Passwörter, Gerätedetails usw.) Es könnte zu Ihrem Nachteil sein!
Verwende sichere Passwörter!
Verwenden Sie Passwörter besonders sorgfältig! Beachten Sie das Informationsblatt Passwortgestaltung im Bundesministerium für Landesverteidigung.
Clean Desk!
Verlassen Sie Ihren Arbeitsplatz im aufgeräumten Zustand! Verschlusssachen und Benutzerchipkarten sind gem. Verschlusssachenvorschrift zu versperren! Bewahren Sie die Übersicht!
Zugriffsschutz!
Schützen Sie den Zugang zu Ihrem PC bzw. zu sensiblen Daten durch physische und elektronische Schutzmaßnahmen (Versperren, Bildschirmschoner mit Passwortabfrage, Verschlusssachenbehältnis usw.)!
Informationsschutz!
Überprüfen Sie, was Sie in den Müll werfen! Sensible Daten (auf Papier, Datenträgern usw.) sind immer zu vernichten (schreddern, verbrennen usw.)!
Dienstaufsicht!
Überprüfen Sie bei der Dienstaufsicht auch die Einhaltung des Informationsschutzes und die diensthabenden Soldaten!
Sei nicht das schwächste Glied in der Kette!
Bilden Sie nicht durch Ihre Unachtsamkeit das schwächste Glied in der Sicherheitskette! Es kann zu Ihrem Nachteil sein!
___________________________________ ___________________________________ Autor: Hauptmann Herbert Saurugg, Jahrgang 1974. Absolvent des Militärrealgymnasiums und der Theresianischen Militärakademie, Ausmusterung zum Heeresfernmelderegiment. Einsatz bei ATHUM/ALBA und AUCON/KFOR. Seit 2001 Referent im Bereich der IKT-Sicherheit.