IT-Sicherheit
Schwachstelle Mensch

Die Kanzlerin telefoniert und simst unverschlüsselt – und die NSA bekommt alles mit. Datenpannen wie diese lassen sich vermeiden, doch viele Nutzer sind zu bequem. Was gegen das Sicherheitsrisiko Mensch hilft.
  • 19

DüsseldorfIm Pentagon, so erzählt man sich unter Sicherheitsexperten, hängt ein Schild in den Toiletten: „Hier ist kein sicherer Konferenzraum“, warnt es die Beamten vor dienstlichen Besprechungen am Pissoir oder Waschbecken. Der Hinweis ist berechtigter, als er zunächst klingt: Im US-Verteidigungsministerium gehen täglich Besucher ein und aus, die Verschlusssachen nichts angehen.

Ein ähnlicher Hinweis hätte vielleicht auch am Handy von Angela Merkel pappen müssen: „Das hier ist kein sicheres Gerät.“ Die Bundeskanzlerin nutzt ein Mobiltelefon der Partei auch für Regierungsgeschäfte. Nennenswerte Verschlüsselungstechnologien beherrscht es nicht. Damit machte die Politikerin es dem US-Geheimdienst NSA leicht, ihr „Herrschaftsinstrument“ („Der Spiegel“), mit dem sie CDU und Kabinett führt, zu überwachen.

Trotz aller Unterschiede haben diese beiden Fälle eines gemeinsam: Behörden, Unternehmen oder Politiker machen es Schnüfflern oft leicht. „Viele Sicherheitsvorfälle werden durch eigene oder externe Mitarbeiter verursacht, die Zugang zu sensiblen Daten haben“, sagt Marc Fliehe, Sicherheitsexperte beim Hightech-Branchenverband Bitkom. Gegen vorsätzlichen Datenklau könne man sich zwar kaum schützen, aber Risiko und Ausmaß zum Beispiel durch eingeschränkte Zugriffsrechte vermindern. Ebenso wichtig: Sie müssen die Nutzer für drohende Gefahren sensibilisieren.

Das Problem beginnt auf der Vorstandsebene. „Oft herrscht die Devise: Warum soll es uns treffen? Wir sind nicht in der Rüstungsbranche“, weiß Christoph Fischer, Chef der Karlsruher Firma BFK edv-consulting. Viele Manager unterschätzten die Wahrscheinlichkeit eines Angriffs. Wenn kriminelle Hacker erst ihr Unwesen treiben, werden sie bei Fischer vorstellig – seine Firma entwickelt Sicherheitskonzepte, leistet aber auch Notfallhilfe.

Die erste Regel für Unternehmen, Behörden und Parteien lautet daher: „Das Management muss den Schutz vertraulicher Informationen als Chefsache begreifen“, sagt Steve Durbin, Vizepräsident der internationalen Sicherheitsorganisation Information Security Forum (ISF). Im besten Fall ist ein Vorstandsmitglied dafür verantwortlich – ob als Chief Information Security Officer oder Chief Risk Officer. Auch bei einem Mittelständler gehöre die Aufgabe in die Geschäftsführung.

Die zweite Regel lautet: Nicht gutgläubig sein. „Das Unternehmen muss zunächst klassifizieren, welche Informationen besonders sensibel sind“, sagt Durbin. Dann wird festgelegt, wer auf welche Daten zugreifen darf. Das gelte auch für Zulieferer und Anwälte, betont Durbin, der bei verschiedenen Technologie-Anbietern im Vorstand saß. Gleichzeitig muss überwacht werden, wer auf welche Daten zugreift. Wenn ein Mitarbeiter plötzlich mehrere Gigabyte herunterlädt, ist das ein Warnzeichen.

Kommentare zu " IT-Sicherheit: Schwachstelle Mensch"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

  • "Naivität gepaart mit Unbedarftheit bei einer Regierungschefin und ihren engsten Beratern, lässt tief blicken in die allgemein herrschende Mediokrität von großen Teilen der Personenausstattung der Berliner Politik"

    Die wichtigen Sachen bespricht man sowieso nicht am Telefon. Das macht man beim Kanzlerfrühstück oder anderen ähnlichen Anläßen.
    Auch andere Länder haben Anlaß genug sich um ihre eigene IT-Technologien, inkl. Sicherheit gegen Datenklau und Aushöhlung der informelle Selbstbestimmung zu schaffen.
    Statt Banken zu retten, und das war wohl das vornehmliche Ziel seit 2008, hätte man diese Brüder auch verpflichten können, in genau diese Technologien zu investieren.
    Genau genommen verstehe ich sowieso nicht was eigentlich die Intention dieser Regierung ist, Energiewende ohne eigene ausgereifte IT-Technologien, kann sich genauso zum Sicherheitsgau entwickeln.
    Austerität auf diesem Gebiet ist in Europa DAS Sicherheitsrisiko schlechthin. In einer weltweiten Informationsgesellschaft damit zu punkten das man ja seine Banken und die Überwachung der eigenen Bürger, statt Investitionen und Fortschritt rettet, ist ebenfalls grob fahrlässig.
    Dagegen nimmt sich diese Aufregung um ungesicherte Mobile-Telefone der Kanzlerin ja schon fast lächerlich aus.

  • unter Experten seit fast hundert Jahren unumstritten :
    wer "funkt" macht sich verdächtig.
    Also möglichst unauffällig in den Datenströmen mitschwimmen.
    - keine Verchlüsselung
    - keine Exoten wie Blackberry verwenden stattdessen
    - Masenware benutzen
    - CLIP-Funktion aktivieren
    - IMEI darf niemals bekannt werden darum :
    - Handyvertrag ( mögl. mehrere) durch absolute
    Vertrauensperson abschließen lassen.
    - wenn möglich drahtgebundene Medien verwenden.
    - SPARSAM "FUNKEN"

    - dies sind alles Binsenweisheiten. Es bedarf hier
    weder eines BIS, BND BfV noch MAD oder wie sie noch
    alleheissen mögen +

  • Ist die Handyaffaire ein Ablenkungsmanöver?
    Haften jetzt Deutsche für alle europäischen Banken?
    Die DWN sagt: "fast ja", es fehlt nur noch die Zustimmung des Parlamentes und mit der ist zu rechnen. Dann sind es schwere historische Stunden für Deutschland.

    Googeln: "Merkel gibt wiederstand auf: deutsche müssen europas banken retten" Beitrag unter deutschen Wirtschaftsnachrichten.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%