Der Faktor Mensch in der IKT- und Informationssicherheit
Durch die Verbesserung der technischen Schutzmöglichkeiten im IKT-Bereich gerät der Mensch wieder stärker ins Visier von Angreifern. Daher ist die Sensibilisierung der Mitarbeiter ein wichtiger Beitrag zum Eigenschutz.
Lange Zeit wurden mit der Informations- und Kommunikationstechnik Sicherheit (IKT-Sicherheit) technische Absicherungsmaßnahmen assoziiert.
Moderne Informations- und Kommunikationstechnik (IKT) ist ein wesentlicher Bestandteil der Einsatzbereitschaft und Führungsfähigkeit des Österreichischen Bundesheeres (ÖBH). Nur durch eine funktionierende IKT kann eine, für die militärische Führung unverzichtbare, Informationsüberlegenheit sichergestellt werden. Auch im privaten Umfeld ist für viele Menschen IKT bzw. die darüber geführte Kommunikation ein wichtiger Bestandteil des täglichen Lebens. Mit der Durchdringung der Gesellschaft mit IKT steigen auch die Abhängigkeit und die damit verbundenen Risiken.
Im Österreichischen Bundesheer gibt es besondere Vorkehrungen für den Eigen- und Informationsschutz, z. B. die Verschlusssachenvorschrift, die Verlässlichkeitsprüfung gemäß Militärbefugnisgesetz oder die 3.VE Verschlüsselung und die Zugriffsbeschränkungen auf die zentralen Applikationen im Intranet des ÖBH. Zur Aufrechterhaltung der IKT-Sicherheit im ÖBH liegt der Fokus der Schutzmaßnahmen auf der Sicherstellung der sogenannten Grundwerte der IKT, nämlich Verfügbarkeit, Vertraulichkeit und Integrität.
Verfügbarkeit
Kommunikation ist nur möglich, wenn die für die Übertragung vorgesehenen Mittel (Kanäle) auch verfügbar sind. Eine hohe Verfügbarkeit wird erfahrungsgemäß als selbstverständlich angenommen. Wie schnell sich das ändern kann, zeigen z. B. Netzwerkausfälle im Bereich der Mobilfunkbetreiber.
USB-Speichermedien (vgl. TD-Heft 1/2010 Seite 17, "Sicherheitsrisiko mobile Datenspeicher") stellen derzeit in Kombination mit den Standardbetriebssystemeinstellungen auch für die Verfügbarkeit ein besonders hohes Risiko dar. Durch die unbedachte Verwendung können durch damit übertragene Schadsoftware ganze Netze lahmgelegt werden. Aber auch der Verlust oder Diebstahl des eigenen Handys oder ein Festplattenschaden kann die Verfügbarkeit der eigenen Kommunikationsfähigkeit bzw. den Zugriff auf die eigenen Daten rasch massiv einschränken. Daher ist es erforderlich, sich bereits vor einem Ausfall Gedanken zu machen, welche Folgen eine Nichtverfügbarkeit nach sich ziehen könnte. Entsprechende Vorkehrungen und Absicherungsmaßnahmen sind der zweite Schritt.
Vertraulichkeit
Die Vertraulichkeit spielt nicht nur im militärischen Bereich eine große Rolle. Wohl niemand ist daran interessiert, dass persönliche Daten und Informationen in falsche Hände geraten oder vielleicht sogar weltweit einsehbar und missbrauchbar sind. Kontoplünderungen durch z. B. Phishing-Angriffe sind erst durch den Zugriff auf die entsprechenden Zugangsdaten, welche auch vertrauliche Daten darstellen, möglich. Der Umgang mit Passwörtern spielt dabei eine zentrale Rolle. Nur wenn sichergestellt ist, dass niemand unberechtigten Zugang erlangen konnte, kann von der Vertraulichkeit und Integrität der damit verknüpften Anwendungen (z. B. "ebay" Konto) ausgegangen werden. Durch die neuen Medien und das erhöhte Kommunikationsaufkommen werden alte Bauernfängertricks in neuen Kleidern missbräuchlich eingesetzt (siehe hierzu auch das Informationsblatt "Schutz vor Social Engineering" sowie TD 2/2007 "Social Engineering & Co"). Ein sorgsamer Umgang mit persönlichen Daten erfordert die nötige Sensibilität, welche vor allem bei jungen Menschen nicht immer gegeben ist. Anders lässt sich die sich häufende Anzahl an negativen Berichten in Zusammenhang mit sozialen Netzwerken (Social Networks) nicht erklären. Aber auch im militärischen Bereich fehlt es immer wieder an der nötigen Sensibilität. Die leichtfertige Weitergabe von Passwörtern, z. B. für den Zugang zur 3.VE, das Speichern von klassifizierten Dokumenten auf ungeschützten Speichermedien oder Geräten, die leicht verloren gehen können, vertrauliche Gespräche in öffentlichen Verkehrsmitteln oder die Preisgabe von schutzwürdigen Informationen im Internet sind nur einige Beispiele dafür.
Integrität
Integrität bedeutet, dass Daten weder Übertragungsfehler aufweisen noch manipuliert wurden. Nur so kann eine Information auch vertrauensvoll und elektronische Kommunikation sinnvoll genutzt werden. Zur Sicherstellung der Integrität kommen verschiedene Verfahren zum Einsatz. Passwortschutz, digitale Signatur und die Protokollierung von Veränderungen (z. B. im ELAK - Elektronischer Akt) sind einige Beispiele dafür. Integrität wird häufig in Zusammenhang mit der Verbindlichkeit erwähnt. Eine digitale Unterschrift unter z. B. einem Beschaffungsakt muss auch verbindlich sein, da damit verschiedene (rechtswirksame) Auswirkungen verbunden sind. Passwörter schützen daher nicht nur die Vertraulichkeit, sondern auch die Integrität und Verbindlichkeit. Der sorgfältige Umgang ist daher ein sehr wichtiger Beitrag zur IKT-Sicherheit und zum Eigenschutz.
Wie die praktischen Beispiele zeigen, spielt der Mensch in der IKT-und Informationssicherheit eine wesentliche Rolle. Im Generellen ist der Anwender, unabhängig von Dienstgrad oder Funktion, durch entsprechende Sensibilität und den verantwortungsvollen Umgang mit der ihm anvertrauten Infrastruktur und den darin verarbeiteten Informationen, gefordert.
Die dynamische Entwicklung in der IKT führt dazu, dass die Vorschriftenerstellung bzw. deren Anpassung mit dem technologischen Fortschritt nicht Schritt halten können. Daher ist jeder Mitarbeiter aufgefordert, im Sinne des Auftrages zu handeln. IKT-Sicherheit funktioniert nur, wenn jeder einzelne Anwender seinen Beitrag leistet. Dies gilt sowohl im dienstlichen als auch im privaten Umfeld.
Phishing und Abofallen
Phishing ist ein aus "Password" und "Fishing" gebildetes Kunstwort, das das Ausspähen von z. B. Zugangsinformationen, Passwörtern, Adressdaten oder Kreditkarteninformationen, unter Einsatz von psychologischen Tricks (z. B. Social Engineering), bezeichnet. In sogenannten Phishing-Mails wird beispielsweise behauptet, es gebe ein Problem mit der Bank und man müsse sein Passwort überprüfen. Der im Mail genannte Link lenkt jedoch auf eine Seite um, die der vorgeblichen Bankseite ähnelt, jedoch nur dem Sammeln der Zugangsinformationen dient.
Derzeit tauchen im Internet verstärkt sogenannte Abzockseiten bzw. Abofallen auf. Die Vorgehensweise ist dem Phishing sehr ähnlich. Dabei werden auf der Webseite etwa Wissens- oder IQ-Tests, SMS-Versand, Fabrikeinkauf, Warenproben, Geburtstags-Infos, Führerscheintests, Download von kostenlosen Programmen, angebliche Gratis-Dienste oder Gesundheitstests angeboten. Im Mittelpunkt steht ein Anmeldeformular, welches auf der ersten Seite erscheint oder nachdem man z. B. den Wissenstest absolviert hat und nun das Ergebnis zugeschickt bekommen soll.
Viele Anwender überlesen das Kleingedruckte und gehen mit der Eingabe ihrer persönlichen Daten einen oft mehrjährigen Vertrag ein. Nach kurzer Zeit flattert dann eine Rechnung oder gleich die Mahnung von Inkassofirmen oder Inkasso-Rechtsanwälten oder dubiosen Abzockern, für angeblich kostenpflichtige Dienste - die niemals in Anspruch genommen werden wollten, ins Haus.
Zahlreiche Anwender werden dabei überrumpelt und bezahlen den Betrag, welcher sich in der Regel um die 100 Euro beläuft, um weiteren Konflikten aus dem Weg zu gehen. Verbraucherschutzorganisationen warnen jedoch vor der Bezahlung und fordern zur Ignorierung der Mahnschreiben auf, da diese Praktiken vor Gericht als Täuschung gesehen und somit zu ungunsten eines möglichen Klägers ausgehen würden. Die persönlichen Daten sind aber in jedem Fall weg und es ist mit verstärkten Werbezuschriften zu rechnen.
Weitere Informationen dazu finden Sie z. B. auch auf www.computerbetrug.de.
Autor: Abwehramt/IKT-Sicherheit