Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Most Popular Analysis



Spam im August 2014



Untersuchung von Einbruchsfällen in Online-Bezahlsysteme



Spam-Lieferservice: Gefahr garantiert



Das nigerianische Erbe erwartet Sie



Kaspersky Security Bulletin 2013/2014 – Statistik für das Jahr 2013
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Schwachstelle Mensch

1.04.2010   |   Ihr Kommentar

David Emm
Senior Security Researcher, Global Research and Analysis Team, Kaspersky Lab UK

Aktuelle komplexe Bedrohungen

Die aktuelle Bedrohungslandschaft ist überaus komplex. Cyberkriminelle setzen auf eine Vielzahl an Betrugsmethoden, um die Computer von Anwendern zu kapern und um illegal Geld zu verdienen. Die Rede ist unter anderem von Trojanern, Viren, Würmern und Exploits, die entwickelt werden, um Sicherheitslücken in Anwendungen und Betriebssystemen zu missbrauchen. Zudem nutzen Cyberkriminelle ausgeklügelte Techniken, um Malware-Aktivitäten zu verbergen oder den Antiviren-Experten das Auffinden, Erkennen und Analysieren von Schadcode zu erschweren.

Es liegt also nahe, das Phänomen Cyberkriminalität unter rein technischen Aspekten zu betrachten. Ich bin allerdings der Überzeugung, dass es unerlässlich ist, auch den „Faktor Mensch“ mit einzubeziehen, wenn man Cyberkriminalität und Lösungen dagegen erörtern möchte.

Der Mensch – das schwächste Glied in der IT-Sicherheitskette

Trotz der technischen Raffinesse moderner Schadprogramme versuchen Cyberkriminelle häufig, menschliche Schwächen auszunutzen, um ihre Schädlinge zu verbreiten. Dies ist keine große Überraschung, denn der Mensch ist oft das schwächste Glied in einem Sicherheitssystem. Ein gutes Beispiel hierfür ist der Einbruchsschutz eines Hauses: Die beste Alarmanlage der Welt ist vollkommen nutzlos, wenn man vergisst, sie einzuschalten. Dasselbe gilt für den Bereich IT-Sicherheit. Daher sind Social-Engineering-Tricks bei Cyberkriminellen nach wie vor sehr beliebt, um Internetanwender erfolgreich zu betrügen.

Ein Beweis dafür ist der große Erfolg von Phishing-Betrügereien, mit denen Anwender dazu gebracht werden sollen, persönliche Daten wie Benutzernamen, Passwörter oder PINs, die für Cyberkriminelle von Nutzen sein könnten, auf gefälschten Webseiten einzugeben. Der klassische Phishing-Betrug wird mittels einer nachgeahmten E-Mail initiiert, die an Millionen von E-Mail-Adressen gespammt wird, in der Hoffnung, dass genügend Leute auf den Betrug hereinfallen und auf den in der Spam-Mail enthaltenen Link klicken. Derartige Attacken sind nach wie vor sehr beliebt.

Menschenansammlungen ziehen Online-Betrüger – wie Taschendiebe auch – magisch an. Aufgrund der stetig steigenden Mitgliederzahlen bei Facebook, MySpace, Twitter und Co ist es nicht verwunderlich, dass Internetverbrecher aktuell verstärkt Mitglieder sozialer Netzwerke ins Visier nehmen. So verbreiten Cyberkriminelle zum Beispiel über gehackte Facebook-Accounts Nachrichten mit Links auf schädliche Programme. Oder sie verschicken „Tweets“ über den Micro-Blogging-Dienst Twitter, die Links enthalten, deren tatsächliches Ziel mit Hilfe von URL-Kürzungsdiensten wie bit.ly verschleiert wird. Ein weiterer Facebook-Betrugstrick: Man gibt sich als ein vermeintlicher Freund aus, der im weit entfernten Ausland festsitzt und nun dringend Geld braucht, um wieder nach Hause zu kommen. Keiner dieser Ansätze beschränkt sich auf soziale Netzwerke – die Cyberkriminellen übertragen einfach die Betrugstechniken, die sie vorher bereits erfolgreich eingesetzt haben.

Dass Social-Engineering-Tricks immer beliebter werden, zeigt auch die Zunahme so genannter Scareware-Programme. Dabei erscheint eine Pop-Up-Nachricht auf einer Webseite, in der dem Anwender mitgeteilt wird, dass der Computer mit Schadcode infiziert sei und daher umgehend ein kostenloses Antiviren-Programm herunter geladen werden müsse, um die angeblich gefundenen Schädlinge zu entfernen. Wird das Programm allerdings herunter geladen und gestartet, erscheint eine weitere Mitteilung, die dem Nutzer erklärt, er benötige zur Desinfizierung des Computers die – nun kostenpflichtige – Vollversion. Die Cyberkriminellen schlagen auf diese Weise zwei Fliegen mit einer Klappe: Zum einen locken sie den Anwendern das Geld mit falschen Versprechungen aus der Tasche, zum anderen gelangen sie auf diese Weise gleichzeitig an die Kreditkartendaten ihrer Opfer.

Allerdings ist der Mensch an sich nicht nur wegen seiner Unwissenheit angreifbar. Manchmal reicht schon ein angebliches Angebot über kostenlose Audio- oder Videodateien, damit Anwender auf einen verseuchten Link klicken. Der schöne Schein trügt oft den gesunden Menschenverstand.

Eine weitere Schwachstelle des Menschen ist seine Bequemlichkeit. Das gilt vor allem für den Gebrauch von Passwörtern. Das Problem dabei: Immer mehr Alltagsgeschäfte werden online abgewickelt: Einkaufen, Bankgeschäfte, das Bezahlen von Rechnungen, professionelles Networking etc. Heute ist es nichts Besonderes mehr, wenn man zwischen zehn und dreißig Online-Accounts nutzt. Die Folge: Es wird immer schwieriger, für jeden einzelnen Account ein individuelles Passwort im Kopf zu behalten. Die Versuchung ist also groß, ein und dasselbe Kennwort für alle Accounts zu benutzen oder den Namen eines Kindes oder des Ehepartners zu wählen, da man sich diese leicht merken kann. Eine andere gängige Methode ist das „recyclen” von Passwörtern, indem man ein und dasselbe Passwort zum Beispiel aufsteigend durchnummeriert („meinname1“, „meinname2“, „meinname3“). Passwörter sind daher oft leicht zu knacken. Die Wahrscheinlichkeit, dass Cyberkriminelle relativ problemlos Zugang zu Internet-Accounts erhalten, ist hoch. Dieses Risiko wird von vielen Anwendern allerdings oft unterschätzt. Und selbst wenn sich der durchschnittliche Anwender der potentiellen Gefahr bewusst ist, so sieht er meist keine praktikable Alternative, da er nicht in der Lage ist, sich alle Passwörter für alle genutzten Dienste zu merken.

Das Passwort-Problem kann allerdings leicht behoben werden. Anstatt sich zahlreiche individuelle Passwörter zu merken, sollte man von einer festen Komponente ausgehen und dann eine einfache Verschlüsselungsformel anwenden. Hier ein Beispiel: Beginnen Sie mit dem Namen einer Online-Ressource, beispielsweise „meinebank“. Wenden Sie nun die folgende Formel an:

  1. Schreiben Sie immer den vierten Buchstaben groß.
  2. Verschieben Sie den vorletzten Buchstaben an die erste Position.
  3. Fügen Sie nach dem zweiten Buchstaben eine beliebige Zahl ein.
  4. Fügen Sie ans Ende ein Sonderzeichen ein.

Aus dem leicht zu knackendem Passwort „meinebank“ wird dann „nm1eiNebak;“, ein sehr stark verschlüsseltes Kennwort. Mit dieser Methode erhalten Sie ein individuelles Passwort für jeden Online-Account, indem Sie dieselben vier Schritte anwenden.

Was ist zu tun?

Eine ausgereifte Technik ist selbstverständlich das Herzstück jeder IT-Sicherheitslösung. Wie bereits erwähnt, denke ich, dass man den Faktor Mensch in Sicherheitsfragen nicht ignorieren darf. Im wirklichen Leben wissen wir, dass Alarmanlagen, Fensterschlösser und Türketten effektiv vor Dienstahl schützen. Aber sie halten arglose Opfer nicht davon ab, die eigene Sicherheit zu gefährden, indem sie einem Fremden die Tür öffnen.

Ähnlich verhält es sich mit der IT-Sicherheit: Die beste Sicherheitsstrategie eines Unternehmens nützt nichts, wenn man den Faktor Mensch außer Acht lässt. Der Königsweg besteht darin, menschliche Sicherheitslücken zu schließen und digitale Ressourcen zu schützen.

Dabei geht es nicht nur um IT-Sicherheit im Berufsleben. Viele, die das Internet von zu Hause aus nutzen, stehen vor dem selben Problem. Die Gesellschaft selbst muss folglich das Risikobewusstsein der Internetanwender schärfen, stärken und effektive Methoden entwickeln, um IT-Risiken zu minimieren.

Für ein „IT-Sicherheitsbewusstsein“

Wenn wir nicht online sind, sind wir uns unserer Risiken durchaus bewusst. So sind wir zum Beispiel in der Lage, unseren Kindern die potentiellen Gefahren bei der Überquerung einer Straße zu verdeutlichen – wir bringen ihnen bei, nur an speziell dafür vorgesehenen Stellen die Straße zu überqueren, oder – wenn das nicht möglich ist – aufmerksam in beide Richtungen zu schauen, bevor sie die Straße überqueren. Ein anderes Beispiel sind TV- und Radio-Spots, die beispielsweise vor den Gefahren von Alkohol am Steuer warnen.

Sicherlich garantieren die Ratschläge, die wir unseren Kindern geben und die Warnungen der Behörden vor falschem Verhalten im Straßenverkehr keine Sicherheit. Aber sie beinhalten Informationen, die dazu beitragen, die Risiken zu minimieren. Heutzutage ist das Fahren unter Alkoholeinfluss gesellschaftlich nicht mehr akzeptiert. Die positive Folge: Es gibt weitaus weniger Verkehrsvorfälle aufgrund von Alkohol am Steuer als noch vor vierzig Jahren.

Leider gibt es kein ähnliches Bewusstsein in unserem Online-Leben, was allerdings nicht verwunderlich ist, wenn man bedenkt, dass das Internet im Vergleich zu den Generationen von Autofahrern und Menschen, die eine Straße überqueren mussten, noch sehr neu ist. Wir beginnen erst zu verstehen, auf welche Weise das Internet unser Leben bereichern kann. Daher sind sich viele in ihrer Begeisterung für das World Wide Web der potentiellen Gefahren nicht bewusst.

Die Gesellschaft steht hier vor einer paradoxen Situation. Kinder erlernen zahlreiche Strategien von ihren Eltern, die sie in der Offline-Welt vor Gefahren schützen. Doch Eltern sind heutzutage häufig nicht in der Lage, ihre Kinder über die Sicherheit im Cyberspace aufzuklären, da sie mit dieser „neuen” Technologie (noch) nicht so vertraut sind. Umgekehrt sind Kinder heutzutage sehr wohl in der Lage, diese Technologie zu nutzen, sie wissen aber oft zu wenig über die potentiellen Bedrohungen, die online auf sie lauern.

Die Gesellschaft muss daher eine Art Sicherheitsbewusstsein entwickeln. Nur so werden wir in Zukunft in der Lage sein, uns und unsere Kinder vor IT-Bedrohungen zu schützen.

Die Bedeutung der Mitarbeitererziehung

Zunächst einmal ist es wichtig, Erziehung nicht mit Ausbildung zu verwechseln. Es wäre unrealistisch, die breite Masse zu Computer-Sicherheitsexperten ausbilden zu wollen. Wir sollten vielmehr das Bewusstsein für potentielle Online-Bedrohungen stärken und Maßnahmen vermitteln, mit denen sich Anwender selbst schützen können.

Für Unternehmen und Organisationen sollte die Erziehung der Mitarbeiter allerdings das Herzstück jeder effektiven Sicherheitsstrategie sein. Den Mitarbeitern müssen Bedrohungen in einfacher, klarer Sprache erklärt werden. Sie sollten nachvollziehen können, welche Schutzmaßnahmen das Unternehmen warum eingeführt hat, und welche Auswirkungen diese in ihrer täglichen Arbeit haben können. Eine Sicherheitsstrategie ist weitaus effektiver, wenn das Personal sie versteht und unterstützt. Zudem sollten Unternehmen und Organisationen eine Kultur der Offenheit etablieren: Das Personal sollte ermutigt werden, verdächtige Aktivitäten zu melden statt diese aus Angst vor disziplinären Folgen zu verheimlichen. Sind die Mitarbeiter eingeschüchtert, oder fühlen sie sich für dumm verkauft, findet keine Kooperation statt, wichtige Informationen bleiben auf der Strecke.

Es reicht nicht, eine Sicherheits-Policy zu entwickeln, diese dann von den Mitarbeitern unterzeichnen zu lassen und darüber hinaus nichts zu unternehmen. Eine effektive Sicherheitsstrategie sollte der sich verändernden Bedrohungslandschaft angepasst sein und deshalb regelmäßig überprüft werden. Dabei sollte man auch bedenken, dass jeder einzelne Mitarbeiter auf unterschiedliche Weise lernt: Der eine reagiert besonders gut auf mündlichen Input, der andere auf schriftliches oder illustriertes Material. Daher sollten verschiedene Strategien angewendet werden, um das allgemeine Sicherheitsbewusstsein zu schärfen. Das schließt Präsentationen als Teil der Mitarbeiter-Schulung ebenso mit ein wie Poster-Kampagnen, Ratespiele, Comics und einen „Tipp des Tages”, der beispielsweise angezeigt wird, wenn sich ein Mitarbeiter ins Unternehmensnetzwerk einloggt.

Wichtig ist zudem, dass man Sicherheitsschulungen und -Informationen nicht nur unter dem IT-Aspekt sieht. Das Thema sollte vielmehr im großen Kontext der Personalpolitik eingebunden werden, der Bereiche wie Arbeitssicherheit und -Gesundheit ebenso wie richtiges Verhalten am Arbeitsplatz mit einschließt. Ein wirklich effektives Sicherheitserziehungsprogramm muss Anleihen aus der Personalabteilung, der Schulungsabteilung und allen anderen relevanten Unternehmensbereichen vorweisen.

Über den Arbeitsplatz hinaus denken

Es gibt Überschneidungen beim Einsatz von Computern zu Hause und bei der Arbeit. Denn Anwender, die den PC als Arbeitsgerät im Unternehmen nutzen, verwenden ihn auch, um von zu Hause aus einzukaufen, Bankgeschäfte zu erledigen und Kontakte zu pflegen. Die Verwendung des Computers zu Nicht-Arbeitszwecken sollte in das Sicherheitstraining des Personals eingebunden werden. Zeigt man den Mitarbeitern, wie sie ihren eigenen Computer schützen und ihren eigenen Router sichern können, steigt die Motivation, am Sicherheits-Trainingsprogamm aktiv mitzuwirken und es zu unterstützen. So kann auch die Gefährdung von Unternehmensressourcen durch Mitarbeiter, die heute immer häufiger von zu Hause aus (Home Office) arbeiten, minimiert werden.

Auch gibt es viele Menschen, die bei der Arbeit keinen Computer benutzen (oder bereits in Rente sind), zu Hause aber sehr wohl im Internet aktiv sind. Daher ist es unumgänglich, die Sicherheitserziehung nicht nur auf die Arbeitswelt zu beschränken, sondern sie über den Arbeitsplatz hinaus zu transportieren.

Mittlerweile bietet bereits eine Reihe von öffentlichen Webseiten Tipps zur Internetsicherheit. Außerdem stellen die Anbieter von Sicherheitssoftware häufig einen Leitfaden zur Online-Sicherheit zur Verfügung, wie beispielsweise der Ratgeber von Kaspersky Lab. Diese Aufklärungsinformationen gehen allerdings davon aus, dass der Leser bereits online ist.

Ich bin der Meinung, dass es genauso wichtig ist, Mittel und Wege offline zu finden, welche Aufklärungsarbeit im Bereich IT-Sicherheit leisten. Ein gutes Beispiel sind Kampagnen, die in der Vergangenheit im Bereich Autofahren und Sicherheit durchgeführt wurden. Beispielsweise Fernseh-Spots, um Menschen davon zu überzeugen, den Sicherheitsgurt im Auto anzulegen und sich nicht alkoholisiert ans Steuer zu setzen. Der Erfolg derartiger Werbespots verdeutlicht, dass ähnliche Kampagnen für den Bereich Cyberkriminalität und Internetsicherheit ebenfalls wirkungsvoll sein könnten. In Großbritannien zeigte beispielsweise die Capital One Group im Jahr 2005 eine Reihe von TV-Spots unter Mitwirkung des populären Schauspielers Alistair McGowan. Die Spots sollten den Hilfeservice beim Identitätsdiebstahl eines Unternehmens bewerben. Gleichzeitig wurde eindringlich darauf hingewiesen, wie wichtig es ist, persönliche Informationen erst unkenntlich zu machen, bevor man sie entsorgt.

Zukunftsaussichten

Cyberkriminalität wird uns weiterhin begleiten – sie ist sowohl ein Produkt des Internetzeitalters als auch der allgemeinen Kriminalitätslandschaft. Meiner Meinung nach ist es unrealistisch zu denken, es gelte hier „einen Krieg zu gewinnen”. Vielmehr geht es darum, Wege zu finden, um das Risiko zu minimieren.

Die Gesetzgebung sowie die Initiativen zur Durchsetzung der Gesetze sind darauf ausgelegt, das Risiko für die Cyberkriminellen zu maximieren. Der Sinn und Zweck von Technologien und Erziehungsstrategien liegt darin, das Risiko für die Gesellschaft zu minimieren. Da viele der Cyberattacken heute auf die Fehlbarkeit des Menschen abzielen, ist es unumgänglich nach Wegen zu suchen, welche die Schwachstelle Mensch mit berücksichtigen – ebenso wie die Sicherung von Hard- und Software. Mit der Sicherheitserziehung verhält es sich wie mit der täglichen Hausarbeit – mit der einmaligen Erledigung ist es nicht getan, man muss sich ständig darum kümmern, wenn man seine Umgebung sauber und sicher halten möchte.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Quelle:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen