Geringe Budgets für IT-Sicherheit
Offene Geheimnisse

Deutsche Manager unterschätzen die Gefahr, die von ihren eigenen Mitarbeitern ausgeht. Meist reicht der Anruf eines Unbekannten, und sie plaudern unbedarft geheime Zugangsdaten aus. Dies bestätigt eine Exklusiv-Studie fürs Handelsblatt von Mummert Consulting.

Die Mitarbeiter des Großunternehmens waren ahnungslos. Kaum einer von ihnen schöpfte Verdacht, als sich am Telefon eine unbekannte Stimme meldete: "Guten Tag, hier ist die IT-Security." Hellhörig wurden die meisten nicht einmal, als der Mann am Telefon schon nach wenigen einleitenden Sätzen die Computerbenutzerkennung und das persönliche Passwort der Angestellten wissen wollte. Leutselig plauderten rund zwei Drittel der Mitarbeiter die geheimen Zugangsdaten für die Unternehmens-EDV aus. Erst im Nachhinein dämmerte es einigen, dass sie sich hatten überrumpeln lassen.

Was niemand wusste: Die Sorge um die vertraulichen Daten des Unternehmens war unbegründet in diesem Fall. Angerufen hatte kein Industriespion, sondern Peter Klee, Berater für die Sicherheit von Informationstechnologie (IT) beim Computerkonzern IBM.

Die Anrufe gehörten zu einem Test, der das Sicherheitsbewusstsein der Mitarbeiter des IBM-Kunden auf den Prüfstand stellen sollte. Das erschreckende Ergebnis bestätigt Klees Erfahrungen: "Selbst mit recht einfachen Mitteln sind viele Mitarbeiter dazu zu verleiten, geheime Informationen wie Passworte preiszugeben. Hacker und Spione gelangen auf diesem Wege meist viel einfacher an Informationen als durch das Überlisten von technischen Sperren wie Firewalls."

Die Gefahr durch das so genannte soziale Hacken oder Social Engineering nehmen viele Unternehmen noch nicht ernst genug, belegt die Studie "IT-Security 2002" von Mummert Consulting, die Handelsblatt Karriere & Management exklusiv vorliegt. Befragt wurden 830 IT-Entscheider in Deutschland in einer repräsentativen Umfrage. Das Fazit: Im vergangenen Jahr zählte der Missbrauch von Mitarbeiterpassworten zu den Hauptangriffsmethoden gegen Firmennetzwerke. Jeder fünfte Befragte berichtete von Attacken mit gültigen Benutzerkonten. Das soziale Hacken gehörte damit zu den häufigsten Sicherheitsproblemen in Unternehmen.

Auf die Bedrohung reagiert haben bisher nur wenige. Immer noch sind Passworte in deutschen Firmen der meistverwendete Schutz der EDV-Systeme gegen Eindringlinge, so die Ergebnisse der Studie. 79 Prozent der befragten Unternehmen verwenden einen Basis-Passwortschutz ihrer Systeme. 59 Prozent versuchen ihre Daten über Mehrfachpassworte vor unbefugtem Zugriff zu schützen. Die Autoren der Mummert-Studie erklären den Verzicht auf die modernste Technik mit Sparsamkeit der Manager.

Im Vergleich zu ihren US-amerikanischen Kollegen investieren sie zu wenig Geld in IT-Sicherheit. So liegt der Anteil der Unternehmen in den USA, die jährlich mehr als eine Million Dollar für Informationssicherheit ausgeben, bei elf Prozent. In Deutschland sind es dagegen nur sechs Prozent.

Deutliche Unterschiede hat die Studie auch bei der Entwicklung der Sicherheitsbudgets zu Tage gefördert. Während in den USA jedes zweite Unternehmen mehr Geld als im vergangenen Jahr in die IT-Sicherheit investiert, ist es in Deutschland nicht einmal jedes dritte.

Wenn, dann investieren Deutsche fast nur in besseren technischen Schutz gegen Angreifer. Für Mitarbeiterschulungen zur Stärkung des Sicherheitsbewusstseins gibt kaum ein Unternehmen Geld aus, berichtet Sebastian Schreiber, Geschäftsführer des Tübinger Beratungsunternehmens Syss. Die Schulung für alle Mitarbeiter auf einen Schlag - nur die hat Sinn - ist den meisten zu teuer und kostet obendrein zu viel Arbeitszeit.

Dreiste Datendiebe haben deshalb in vielen Unternehmen leichtes Spiel. Um Zugang zu geheimen Informationen zu erhalten, brauchen sie nur die Benutzerkennung und das Passwort eines Mitarbeiters herauszufinden. Die Angreifer machen sich dabei die menschlichen Schwächen ihrer Opfer zu Nutze - positive wie negative. Beliebter Trick: Sie geben sich am Telefon als Netzwerkadministratoren aus und behaupten, sie müssten einen Fehler im System beheben. Dazu bräuchten sie das Passwort des Mitarbeiters. "Wer die Fähigkeit hat, schnell das Vertrauen seiner Gesprächspartner zu gewinnen oder geschickt an deren Hilfsbereitschaft appelliert, hat schnell Erfolg", warnt Berater Schreiber.

Wirksam ist es oft auch, die Opfer zu verängstigen. Mit der Aussicht auf einen tobenden Chef oder die Verantwortung für einen geplatzten Millionenauftrag lassen sich viele Mitarbeiter einschüchtern, erzählt Schreiber.

Beliebt ist unter den Beratern nicht nur die Telefonnummer, wenn sie das Sicherheitsbewusstsein bei den Mitarbeitern ihrer Kunden testen. Zum Angebot gehören auch Versuche, wie einfach Unbefugte in die Gebäude eines Unternehmens eindringen können. IBM-Berater Klee nimmt dazu immer einen seiner Kollegen mit. Während beide gemeinsam am Pförtner vorbeigehen, simulieren sie einen handfesten Streit. "Wenn wir uns gegenseitig lautstark anbrüllen, wird es nur ein sehr mutiger Pförtner wagen, uns aufzuhalten", amüsiert sich Klee. Einmal im Gebäude, ist ein ungebetener Besucher ein großes Sicherheitsrisiko: Er kann sich der internen Telefone bedienen, Datenträger ausbauen oder Server sabotieren.

Berater empfehlen ihren Kunden, die Mitarbeiter zu sensibilisieren. Sebastian Schreiber rät, die Angestellten ausführlich über die möglichen Methoden von Angreifern zu informieren. "Im Grunde weiß ja jeder, dass er zum Beispiel sein Passwort niemandem verraten darf. Trotzdem geben viele Mitarbeiter unter Druck nach, wenn sie sich unsicher fühlen."

Doch eine übertriebene Schulung kann auch negative Folgen haben, warnen die Berater. Übermäßiges Sicherheitsdenken kann schnell viele eingespielte Abläufe im Unternehmen lähmen. "Wenn die Mitarbeiter bei jedem Anruf eines Unbekannten gleich an etwas Böses denken, dann funktioniert bald nichts mehr und alle treiben sich gegenseitig in den Wahnsinn", berichtet Schreiber.

Eher kontraproduktiv ist daher die Botschaft einer Anzeige, die das IT-Unternehmen Computer Associates gerade in Fachzeitschriften veröffentlichte. Unter dem Fahndungsfoto einer Frau ist dort zu lesen: "Gegen Hacker, Viren und Würmer sind Sie geschützt. Aber was ist mit Rosemarie aus der Personalabteilung?"

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%