E-Book, Deutsch, 204 Seiten
Weber Mensch und Informationssicherheit
1. Auflage 2024
ISBN: 978-3-446-48040-7
Verlag: Carl Hanser Verlag GmbH & Co. KG
Format: PDF
Kopierschutz: 1 - PDF Watermark
Verhalten verstehen, Awareness fördern, Human Hacking erkennen
E-Book, Deutsch, 204 Seiten
ISBN: 978-3-446-48040-7
Verlag: Carl Hanser Verlag GmbH & Co. KG
Format: PDF
Kopierschutz: 1 - PDF Watermark
Prof. Dr. Kristin Weber ist Vizepräsidentin an der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt (THWS) und Professorin an der dortigen Fakultät Informatik und Wirtschaftsinformatik. Sie forscht und lehrt u. a. über den Faktor Mensch in der Informationssicherheit. Seit 2017 ist sie Informationssicherheitsbeauftragte der THWS. Zudem ist Kristin Weber als Autorin, Referentin und Beraterin für die Themenstellungen Information Security Awareness, ISMS, Data Governance, Datenqualität und Stammdatenmanagement tätig.
Autoren/Hrsg.
Weitere Infos & Material
| 2 | Der Mensch als Bedrohung |
Anwendende treffen tagtäglich Entscheidungen, welche einen Einfluss auf die Informationssicherheit haben. Sie entscheiden sich, sensible Informationen auf Social Media zu posten, ihr Smartphone oder Notebook unbeaufsichtigt zu lassen, sie nutzen unsichere Passwörter oder vergessen, den Bildschirm bei Abwesenheit zu sperren.
Dieses Kapitel beleuchtet die Rolle der Menschen als „Bedrohung“ näher. Zunächst werden Szenarien vorgestellt, in welchen Menschen bewusst oder unbewusst mit ihren Entscheidungen die Informationssicherheit gefährden können. Die Gründe, Ursachen und Motive für dieses „falsche“ Verhalten sind vielfältig. Deren Verständnis ist wichtig, um Menschen dabei zu unterstützen, zu Sicherheitsfaktoren zu werden. Der zweite Teil des Kapitels beschäftigt sich mit dem Phänomen der Malicious Insider und betrachtet speziell die Bedrohung, die von den eigenen Mitarbeitenden oder anderen Insidern für die Informationssicherheit ausgehen kann, wenn diese in böswilliger Absicht handeln.
| 2.1 | It’s me, hi, I’m the problem, it’s me1 |
Menschen verhalten sich nicht immer „informationssicherheitskonform“ (information security compliant). Anwendende, die unbewusst oder bewusst Richtlinien ignorieren, sich am Arbeitsplatz und außerhalb der Organisation unbedacht oder fahrlässig verhalten, können die Informationssicherheit der eigenen Organisation gefährden. Die Gründe für ein abweichendes (non-compliant) Verhalten sind sehr vielfältig, und in vielen Fällen kann den Anwendenden nicht einmal ein Vorwurf gemacht werden. Mitarbeitende konzentrieren sich auf die Erledigung ihrer primären Aufgaben, und das für die Einhaltung von Sicherheitsmaßnahmen erforderliche Verhalten stellt oft ein Hindernis auf diesem Weg dar. Dieser Konflikt zwischen Sicherheit und Produktivität ist ein häufiger Grund für Non-Compliance (Beautement et al., 2008).
Bild 2.1 zeigt aus einem anderen Kontext, wie leicht eine Sicherheitsmaßnahme als Hindernis gesehen werden kann. Sie versperrt wortwörtlich den Weg und hindert das Erreichen des eigentlichen Ziels. So wird sie einfach umgangen bzw. umfahren.
Dieser Abschnitt zeigt zunächst typische Beispiele und Szenarien aus dem Unternehmensalltag, in welchen Mitarbeitende mit ihrem Verhalten die Sicherheit von Unternehmensinformationen beeinflussen können. Im Anschluss werden mögliche Gründe oder Ursachen für unsicheres Verhalten aufgezeigt. Es ist wichtig, diese Gründe zu kennen und zu verstehen, um Menschen aus der Rolle „Bedrohung“ in die Rolle „Sicherheitsfaktor“ zu verwandeln.
Bild 2.1 Sicherheitsmaßnahme als Hindernis (Fotos: Kristin Weber)
| 2.1.1 | Typische Szenarien – (un)sicheres Verhalten |
Dieses Beispiel und auch die folgenden Szenarien zeigen, dass Anwendende eine große Verantwortung haben. Die Sicherheit der Informationen und Informationssysteme des Unternehmens hängt auch davon ab, dass sie sich richtig, also informationssicherheitskonform verhalten. Verhalten sich Mitarbeitende in diesen Szenarien falsch (unsicher), stellen sie eine Gefährdung oder Bedrohung für die Informationssicherheit dar. Halten sie Vorschriften nicht ein oder versuchen diese zu umgehen, schaffen sie neue Schwachstellen oder Sicherheitslücken (Beris et al., 2015).
Die dargestellten Verhaltensweisen (z. T. in Anlehnung an Weber et al., 2019) werden in den folgenden Kapiteln des Buches immer wieder als Beispiele herangezogen.
Passwort
Der Zugriff auf Informationssysteme wird immer noch am häufigsten über die richtige Kombination aus Benutzungsname und Passwort gewährt. Jede/r, der diese Kombination kennt, kann Zugriff auf das Informationssystem erhalten. Während der Benutzungsname häufig von den IT-Admins vorgegeben wird, ist das Passwort von den Anwendenden selbst wählbar. Es liegt in ihrer Verantwortung, ein Passwort zu wählen, welches niemandem bekannt ist und auch nicht leicht erraten werden kann. Meist gibt es technische Vorgaben oder Richtlinien, die ein gewisses Mindestmaß an Sicherheit erzwingen bzw. vorgeben.
Ist ein vermeintlich „sicheres“ Passwort gefunden (also eines, das nicht leicht von anderen herausgefunden werden kann), müssen die Anwendenden es sich gut merken können oder zumindest sicher aufbewahren. Das Passwort darf auch nicht weitergegeben werden, weder wissentlich noch unwissentlich; also weder den Kolleg:innen, die vertretungsweise Zugriff auf das E-Mail-Postfach benötigen, noch der vermeintlichen IT-Administratorin, die am Telefon danach fragt, und auch nicht, indem es versehentlich in eine Phishing-Webseite eingegeben wird.
Besteht der Verdacht, dass das Passwort dennoch bekannt geworden ist, müssen die Anwendenden schnellstmöglich ihren Verdacht dem Helpdesk melden und das Passwort schnell ändern. Und sie sollten das gleiche Passwort auch nur in einem System verwenden und nicht für verschiedene Anwendungen.
Bildschirmsperre
Um den unberechtigten Zugriff auf den eigenen Rechner und damit auf die dort abgelegten Dokumente oder die verbundenen Netzlaufwerke und Informationssysteme zu verhindern, sollten die Anwendenden beim Verlassen des Arbeitsplatzes den Bildschirm ihres Rechners sperren. Auch Smartphones oder andere mobile Endgeräte, welche am Arbeitsplatz zurückgelassen werden, sollten gesperrt werden. Das Entsperren sollte natürlich nur durch die Anwendenden selbst möglich sein, z.B. mittels Passwort, PIN, Fingerprint oder Gesichtserkennung.
Die Anwendenden müssen also bei jedem Verlassen des Arbeitsplatzes zunächst daran denken, die Bildschirmsperre zu aktivieren – auch dann, wenn ihre Abwesenheit vermutlich nur sehr kurz sein wird. Dazu müssen sie wissen, wie sie die Sperre aktivieren können. Bei ihrer Rückkehr sollten sie sich an das Passwort oder die PIN zum Entsperren des Geräts erinnern.
Umgang mit sensiblen Informationen
Anwendende müssen sich bewusst sein, wie sensitiv und schützenswert die Informationen sind, mit denen sie arbeiten. Meist gibt es im Unternehmen verschiedene Schutzstufen von über und bis hin zu . Je nach Einstufung gelten andere Schutzmaßnahmen. Beispielsweise sollten vertrauliche Informationen nur verschlüsselt per E-Mail versendet werden. Geheime Informationen dürfen nur nach ausdrücklicher Genehmigung an andere Personen über klar definierte Kanäle weitergegeben werden. Geschäftliche E-Mails dürfen generell nicht an private E-Mail-Accounts weitergeleitet werden.
Sensible Dokumente sollten am Arbeitsplatz nicht offen herumliegen. Sie müssen am Abend oder auch bei (längerer) Abwesenheit vom Arbeitsplatz weggeräumt und weggeschlossen werden. Zumindest sollten aber Fenster und Türen geschlossen werden, sodass keine unbefugten Personen Zutritt erhalten können. Durch offenstehende Fenster können auch Dokumente oder Geräte beschädigt werden, falls dort Regenwasser eindringt. Bei der Entsorgung von Datenträgern und Papierdokumenten ist ebenfalls einiges zu beachten. Je nach Schutzstufe gibt es unterschiedlich sichere Verfahren für die Vernichtung. Einfach wegwerfen ist meist nicht die...
