IT-Sicherheitslücken live erleben – Workshops mit Mitarbeitern

Alle Tipps und Hinweise für mehr IT-Sicherheit stoßen oft auf wenig Konsequenz oder Motivation bei Nutzern und Mitarbeitern, denn die Risiken bleiben abstrakt, das Ausmaß wird oft erst klar, wenn etwas passiert. Auch im Training IT-Sicherheit des Kompetenzzentrums zeigte eine kleine Umfrage, dass die Mehrzahl selbst noch keine IT-Bedrohung erlebt. Hier konnten die Teilnehmer nun direkt erleben, wie schnell ein Hacker ein PC-Passwort entschlüsseln kann, welchen Attacken IT-Systeme minütlich ausgesetzt sind und welche IT-Sicherheitslücken bei der Produktentwicklung auftreten können. Das Fazit: Besonders durch das gemeinsame Erleben der Auswirkungen von Sicherheitslücken können Geschäftsführer und Mitarbeiter wirklich sensibilisiert werden. Informationssicherheit beginnt beim Bewusstsein der Mitarbeiter. Und: Updates und regelmäßige Passwortwechsel lohnen sich.

screen

Welche Risiken gibt es?

“Amateure hacken Systeme, Profis hacken Menschen.“, sagt Bruce Schneier, US-amerikanischer Experte für Kryptographie und Computersicherheit. Und in der Tat sind die Versuche mittels pishing an die Identitätsdaten von Menschen zu gelangen im Internet endlos: über gefälschte Login-Webseiten von Banken oder perfekt kopierten E-Mails von Dienstleistern mit angehangenen Rechnungen oder Verlinkungen versuchen Menschen an Schlüsseldaten anderer Personen oder direkt an deren Geld zu kommen. Glücklicherweise ist die Mehrzahl der Versuche noch leicht zu identifizieren, aber es gibt immer mehr gut gemachte Ausnahmen.

Auch fehlt es vielen Nutzern an Zeit und Geduld, sich mit wichtigen Updates des Betriebssystems auseinanderzusetzen, die auf neue Sicherheitsrisiken reagieren. Und wer hat auch Zeit, darauf zu warten bis die restlichen 199 von 208 Updates installiert sind? Auch die Sorglosigkeit beim Download von Programmen und der Vergabe von Passwörtern spielen eine Rolle. Dabei waren es zwischen 1986 und 2006 noch 1 Mio. Schadprogramme, die insgesamt auf Computern entdeckt wurden, während es heute 300.000 täglich sind.

Aber es sind nicht nur viele Nutzer sorglos oder unwissend. Immer wieder gibt es Fälle großer Anbieter und Marken, die Ihre vernetzten Produkte nicht ausreichend schützen und somit Hacker-Angriffen, z.B. mittels Botnetzen aussetzten, seien es Kühlschränke, Babyfone, Domains oder Spielekonsolen.

Gehackte Emails, Passwörter, Produkte und Unternehmensgeheimnisse

Alle sind also in der Verantwortung: Dienstleister und Hardware-Anbieter müssen stetig und umfassend nachrüsten, aber der Endkunde darf sich nicht allein auf den Anbieter verlassen, sondern sollte selbst soweit möglich Vorkehrungen treffen und sich über die eigene Datensicherheit informieren. Der Chef eines Unternehmens muss ebenso Grundlagen für IT-Sicherheit schaffen, wie die Mitarbeiter ein Bewusstsein für ihr Handeln und die Konsequenzen in Bezug auf die IT-Sicherheit haben sollten.

Den Aufwand für Angreifer erhöhen – Passwort „123456“ ändern

Auch im Training des Kompetenzzentrums zur IT-Sicherheit machen die Experten Nils Deventer und Pierre Pronchery von Defora Networks schnell klar: „Es gibt keine 100%ige Sicherheit, aber Sie können  den Aufwand erhöhen, den es für einen Angreifer braucht, um in Ihr Netzwerk zu gelangen.“ So sind die beliebtesten Passwörter in Deutschland hoffentlich nicht auch Ihres: „123456“ oder „hallo“ oder „passwort“? Ein kompletter Datensatz, der 2016 vom Social Network Anbieter LinkedIn auftauchte – 164,6 Mio Accounts und davon mit 117 Mio „gehashten“ Passwörtern – ist heute im Darknet, dem Schwarzmarkt für Daten 2.200 $ wert. „Gehasht“ bedeutet hier, dass die Passwörter mit der Hashfunktion verschlüsselt wurden, eine verbreitete Anwendung für Signaturen, Zertifikate, Datenbanken, etc.. Doch 90% der Verschlüsselungen wurden innerhalb von 72 Stunden gecrackt, indem mit vorgefertigten Wörterlisten üblicher Passwörter gearbeitet wurde. Je mehr Passwörter also im Netzt öffentlich werden, desto besser werden die Wörterlisten und demnach das Entschlüsseln der Verschlüsselung.

Nutzen Sie Passphrasen oder einen Passwortmanager

Ohne zu viele geheime Methoden zu verraten, aber viele Sonderzeichen und Groß- und Kleinschreibungen sind gut. Denken Sie sich Eselsbrücken durch verkürzte Phrasen, Sätze und Sprichwörter aus. Auch kostenlose Passwortmanager wie KeePassX, KeePass 2 oder LastPass sind praktische Lösungen, damit sie nicht wie der durchschnittliche Nutzer für 26 Accounts nur fünf unterschiedliche Passwörter besitzen.

Marie Landsberg

Prüfen Sie mit dem HPI-Leak Checker, ob Ihre Identitätsdaten ausspioniert wurden. Einfach Mail-Adresse eingeben.

Auch interessant:

13. März 2017
Berlin-Mitte

13.

Privat: Geschäftsmodellinnovation (1/6) Der Quick-Check

Dieses Training ist der erste Teil der sechsteiligen Trainingsreihe "Geschäftsmodellinnovation" und begleitet Ihre Geschäftsidee oder Innovation von der Idee bis hin zur Finanzierung und Umsetzung. Im Quick-Check wird die Idee zunächst auf ihren Nutzen und grundsätzliche Sinnhaftigkeit geprüft.

Blog

Internetrecht und Datenschutz

Wo liegen die Fallstricke des Internetrechts? Welche Rechte Dritter sind zu beachten? Welche Rechte hat Ihr Unternehmen und was ist im Streitfall zu tun? Erkenntnisse aus dem Training zum Thema.