1.7. Sicherheit darf nicht vernachl�ssigt werden
Egal was Sie �ber die Umgebung denken, in der Ihre Systeme laufen, Sie k�nnen Sicherheit nicht als Selbstverst�ndlichkeit betrachten. Auch Standalone-Systeme, die nicht mit dem Internet verbunden sind, k�nnen einem Risiko unterliegen (wenn sich dieses auch wesentlich von dem Risiko eines Systems, das mit der Au�enwelt verbunden ist, unterscheidet).
Es ist sehr wichtig, dass Sie die Sicherheit von allem, was Sie tun, in Betracht ziehen. Die folgende Liste zeigt die verschiedenen Dinge, die Sie ber�cksichtigen sollten:
Die Art der m�glichen Bedrohungen f�r jedes System
Der Ort, die Art und der Wert der Daten auf diesen Systemen
Die Methode und H�ufigkeit des berechtigten Zugriffs auf diese Systeme
Wenn Sie sich mit der Sicherheit besch�ftigen, sollten Sie nicht den Fehler machen und denken, dass Eindringlinge nur von au�erhalb Ihres Unternehmens einzudringen versuchen. H�ufig sind Eindringlinge auch innerhalb des Unternehmens zu finden. Wenn Sie das n�chste Mal durch das B�ro laufen, sehen Sie sich Ihre Kollegen an und fragen Sie sich:
Was passiert, wenn diese Person versucht, unser Sicherheitssystem zu umgehen?
| Anmerkung |
---|
| Dies bedeutet nicht, dass Sie Ihre Kollegen als potentiell kriminell behandeln sollen. Es bedeutet nur, dass Sie sich ansehen sollten, welche Art Arbeit jeder vollbringt und inwieweit Sicherheitsverletzungen durch eine Person in dieser Position begangen werden k�nnten, sollte die Position ausgenutzt werden. |
1.7.1. Das Risiko des Social Engineering
W�hrend die erste Reaktion der meisten Systemadministratoren in Hinblick auf Sicherheit sich eher auf die technischen Aspekte beschr�nkt, sollte der gesamte Durchblick behalten werden. H�ufig liegt der Ursprung von Sicherheitsverletzungen nicht in der Technik, sondern im menschlichen Wesen.
Jemand, der sich f�r Sicherheitsverletzungen interessiert, nutzt meistens das menschliche Wesen aus, um technische Zugangskontrollen zu umgehen. Dies wird als Social Engineering bezeichnet. Hier ein Beispiel:
Ein Bediener der zweiten Schicht erh�lt einen Telefonanruf von au�erhalb der Firma. Der Anrufer gibt sich als Leiter der Finanzabteilung aus (Name und Hintergrund des Leiters wurden �ber die Firmenwebseite unter "Unser Team" herausgefunden).
Der Anrufer gibt vor, von einem Ort am anderen Ende der Welt anzurufen (dies kann entweder eine erfundene Geschichte sein oder vielleicht durch eine Pressemitteilung, in der das Auftreten des Finanzleiters auf einer Messe beschrieben wird, sogar Wahrheitsgehalt haben).
Der Anrufer erz�hlt dann eine herzzerei�ende Geschichte, wie sein Laptop am Flughafen gestohlen wurde und er gerade bei einem wichtigen Kunden ist und ganz dringend Zugang zum Firmenintranet ben�tigt, um den Kontenstand des Kunden zu pr�fen. Ob der Bediener so nett w�re, die n�tigen Informationen weiterzugeben?
Wissen Sie, was der Bediener in so einer Situation machten w�rde? Hat der Bediener keine Richtlinien (in der Form von schriftlichen Regeln und Vorg�ngen) denen er folgen kann, werden Sie es nicht hundertprozentig wissen.
Wie bei einer Ampel ist es das Ziel von Richtlinien, eindeutige Anleitungen f�r angemessenes Verhalten zu geben. Wie bei Verkehrszeichen funktionieren diese jedoch nur, wenn alle sich daran halten. Und hier liegt genau das Problem — es ist unwahrscheinlich, dass sich jeder an Ihre Richtlinien und Regeln h�lt. Abh�ngig von der Art Ihres Unternehmens ist es sogar m�glich, dass Sie nicht einmal gen�gend Befugnis haben, Richtlinien zu definieren, geschweige denn die Einhaltung dieser zu erzwingen. Was dann?
Es gibt hierf�r leider keine einfache Antwort. Benutzer-Aufkl�rung kann sicherlich dabei behilflich sein; Sie sollten alles tun, um der Benutzergemeinde Sicherheit und Social Engineering bewusst zu machen. Halten Sie Pr�sentationen �ber Sicherheit in der Mittagspause. Verweisen Sie auf Links zu Artikeln �ber Sicherheit auf Mailinglisten im Unternehmen. Stellen Sie sich als Ansprechpartner f�r alle Mitarbeiter zur Verf�gung, sollte diesen etwas eigenartig erscheinen.
Kurz gesagt, verbreiten Sie die Nachricht an Ihre Benutzer.