Aus aktuellem Anlass
kann/sollte von der geplanten Routine abgewichen werden. Die akkreditierende Stelle mag es vielleicht anders, aber „das Hemd ist näher als die Jacke“ und formalisierte Audits erfassen oft entweder nicht den Kern oder stellen sich praktisch zu aufwändig/teuer dar, wenn in allen erfassten Bereichen die nur im Speziellen benötigte maximale Tiefe erreicht werden soll.
Ein Blick in einschlägige Seiten zur IT-Sicherheit belegt eine steigende Zahl kompromittierter Einrichtungen. Für Unternehmen, wissenschaftliche Einrichtungen, Prüfeinrichtungen und Berater mit vielen Kundenkontakten stellt sich nicht die Frage, ob sie in Zukunft einmal angegriffen werden, sondern ob sie auf die kommende Attacke ausreichend vorbereitet sind und ob/wie sie sich mit vertretbarem Aufwand erneut etablieren können.
Neben dem vorhandenen EDV-Sicherheitskonzept und den dringend zu empfehlenden Notfallplänen entscheidet die Schulung und Kompetenz von Mitarbeitern über das Schicksal der Einrichtung. Oft genug liegt das Sicherheitsproblem nicht in der Hard- und Software, sondern sitzt davor. Schulung ohne Feststellung des Schulungserfolges ist (zu) teure Schulung.
Beispiel:
Das Bild zeigt ein Smartphone neben einer klassischen PC-Tastatur. Ein absolutes No-Go!
Begründung:
Eigentlich genügt ein „Hey, Guugl!“ (oder Alexa / Cortana / Siri …), um das Problem zu erkennen. Das Handy hört möglicherweise mit, auch wenn dies nicht beabsichtigt sein sollte. Das Aufgabenblatt der fiktiven Black-Button-Universität rapidTNT erläutert die Problematik.
Mitlauschende Handys oder Mikrofone in PCs können zum Problem für die IT-Sicherheit und Vertraulichkeit werden, wie der Artikel „Forscher knacken Passwort über Computergeräusche“ darlegt. Es muss also nicht immer ein Keylogger sein, der unsere Eingaben verrät. Die Gefahr entfällt nicht zwangsläufig durch die Nutzung der Bildschirmtastur.
Neustadt am Rübenberge, Alsfeld, Uni Gießen …. die Liste bekannter, kompromittierter Einrichtungen ist eindeutig zu lang. Die Gefahr für Unternehmen wächst. Gegeben der Fall, eine Prüfeinrichtung aus dem Umweltbereich erwartet Unterlagen von einer Behörde/Kommune. Die erste Phase der IT-Sicherheitsschulung greift und der Mitarbeiter der Prüfeinrichtung kontaktiert den Absender der E-Mail telefonisch, erhält eine Bestätigung und öffnet die im Anhang befindliche Office-Datei. Eine kurze Zeit später geht eine weitere E-Mail des gleichen Absenders mit einem vorgeblichen Nachtrag im Anhang ein. Wird der Mitarbeiter einen zweiten Anruf zur Authorisierung durchführen? Falls „nein“: Würde er nach Öffnen des Anhangs auf elektronische Kontakte mit Dritten verzichten?
Kann sich der Mitarbeiter auf seine Antivirensoftware verlassen, wie es der t-online-Beitrag „Erpresser-Trojaner „Locky“ wütet in Deutschland“ suggeriert?
Er kann nicht! Der Beitrag „Neue Excel-Angriffstechnik mit Power Query könnte Makros Konkurrenz machen“ auf Heise-Security beschreibt die Art des Angriffs und die derzeitige Machtlosigkeit von Antivirensoftware. Er erläutert nicht Szenarien über mehrere Dateien verteilter Angriffssoftware, die sich erst mit dem Zusammentreffen mehrerer Dateien aktiviert. Auch wenn „Power Query“ sich seit Office 2019 und Office 365 nun unter der Get & Transform-Sektion finden lässt und nicht gesondert installiert wird, das Problem wächst dadurch noch.
Für das frühzeitige Erkennen eines Vorfalls, die konforme Reaktion und Dokumentation genügt nicht das im Handbuch beschriebene Papier, genügt keine einmalige Schulung ohne Training und Feststellung der erreichten und genügenden Kompetenz. Ein Screenshot der fraglichen Situation nutzt weniger als ein Handy-Foto des aktiven Bildschirms, denn wo würde der auf dem möglicherweise betroffenen PC angefertigte Screenshot gespeichert??? Eben.
EDV-Notfallpläne enthalten idealerweise nicht nur priorisierte Verhaltensregeln und Maßnahmen, sondern auch Telefonnummern und Ansprechpartner.
Ist das Telefon über Voice over IP mit dem Netz verbunden? Dann lieber zum Handy greifen und es einschalten.
IT-Sicherheit ist Teil der Basis von Vertraulichkeit.