Wann immer Nachrichten über eine Netzwerksicherheitslücke an die Öffentlichkeit gelangen, gibt es Schuldzuweisungen. Beobachter schieben die Schuld dann schnell auf eine Kombination von technologischen Mängeln und menschlichem Versagen, die es einem Angreifer ermöglicht hat, durch die Internet-Verteidigung des Opfers zu schlüpfen.
Insbesondere beim Fernzugriff auf Unternehmensnetzwerke hängt die Sicherheit erst recht von Technologien, wie beispielsweise VPNs, und vom Verhalten der Mitarbeiter ab. Diese müssen das Ihrige dazutun und die Unternehmensvorschriften einhalten. Aufgrund der menschlichen Unvollkommenheit finden sich Netzwerkadministratoren unglücklicherweise oft in einer Position wieder, in der Remote Access-Technologie die Konstante beim Schutz ihres Netzwerks ist.
Wir beschreiben hier drei Kategorien von Personen, denen häufige, verständliche menschliche Fehler unterlaufen. Diese müssen Netzwerkadministratoren auf ihrem Radar haben und beim Aufbau der Netzwerksicherheitsinfrastruktur versuchen, das Netzwerk davor zu schützen.
Der überstrapazierte IT-Profi
IT-Sicherheitsexperten sind moderne Gladiatoren, die komplexe interne und externe Sicherheitsbedrohungen für ihre Netzwerke bekämpfen – und zwar so schnell wie diese entstehen. Dennoch: Wie eine Studie des Ponemon Institute in diesem Jahr aufdeckte, sind viele IT-Abteilungen überlastet, weil sie versuchen, sich gegen all diese Bedrohungen gleichzeitig zu schützen.
Tatsächlich handelt es sich um ein zweifaches Problem: Zum einen besteht ein Mangel an Experten bei der Besetzung von Stellen. Laut der Studie sagen 70 Prozent der Unternehmen, sie hätten nicht genügend Mitarbeiter für die IT-Sicherheit. Zum anderen gibt es bei den sicherheitsrelevanten Stellen, die besetzt werden können, eine große Fluktuation. CISOs wechseln ihre Stellen im Durchschnitt nach 2,5 Jahren. Das Ergebnis ist, dass sich IT-Abteilungen trotz bester Bemühungen nicht gegen jeden Angriff schützen können. Dies gilt insbesondere, wenn die Angreifer in den nächsten Jahren ihre Vorgehensweise ändern und ihre Bemühungen steigern.
Der vergessliche Mitarbeiter
Für Unternehmen, denen eine konsistente Front-Verteidigung durch IT-Personal fehlt, stehen an nächster Stelle die Mitarbeiter, die die Netzwerksicherheit gegen Bedrohungen verteidigen sollen. Ihre Aufgabe ist die Einhaltung von Remote Access-Richtlinien. Die meisten dieser Richtlinien beinhalten die Verwendung eines geeigneten VPNs und sichere Praktiken beim Management der Daten. Trotzdem stellen sogar die einfachsten Grundlagen des sicheren Remote Access häufig ein Problem für Mitarbeiter dar. 44 Prozent der Befragten gaben bei einer Umfrage des Magazins Imation an, dass Unternehmensdaten, die sie aus dem Büro mitnehmen, nicht verschlüsselt sind.
Das waren nicht die einzigen Fauxpas, die Mitarbeiter in Bezug auf die Sicherheit ihrer Netzwerke eingestanden haben. Knapp die Hälfte sagte, sie verwendeten immer noch USB-Sticks für den Datentransfer. Dies ist angesichts von Bedrohungen wie dem „BadUSB“-Exploit besonders gefährlich. Ungefähr genauso viele Befragte sagten, sie verwendeten für den Fernzugriff ihre eigenen Mobilgeräte statt der vom Unternehmen bereitgestellten Geräte.
Diese Mitarbeiter werden zu Recht kritisiert, obgleich die Schuld nicht immer nur bei ihnen allein liegt. Nick Banks von Imation sagte: „Viele Unternehmen haben keine Richtlinien für Telearbeit, während andere gegen Richtlinien verstoßen, da sie von deren Existenz nichts wissen.“ Jedes Unternehmen braucht Richtlinien für die Telearbeit, nicht nur jene, in denen generell davon ausgegangen wird, dass ihre Daten höchst gefährdet sind, nämlich die Finanzdienstleistungsbranche, die Gesundheitsbranche und der öffentliche Sektor.
Der abgestumpfte Akteur
Das dritte Hindernis, welches Einfluss auf IT-Abteilungen, Mitarbeiter und auch die allgemeine Öffentlichkeit hat, ist ein schleichendes Gefühl von „breach fatigue“ wie Ponemon es nennt. Während die gängige Meinung möglicherweise davon ausgeht, – und Netzwerkadministratoren könnten auch dieser Ansicht sein – dass Verbraucher bei der Verwaltung von digitalen Informationen mittlerweile erst recht risikoavers geworden sind, scheint das genaue Gegenteil der Fall zu sein.
Der derzeitige Zustand von „breach fatigue“ besagt, dass Verbraucher mittlerweile so überwältigt sind von der Flut an Datenverstößen, welche kürzlich über Unternehmen hereingebrochen sind, dass diesbezügliche Nachrichten nicht länger ihre Aufmerksamkeit erregen oder ihr Verhalten ändern. Lediglich 14 Prozent der von Ponemon Befragten äußerten, sie würden mit einer Institution, mit welcher sie geschäftliche Beziehungen pflegen, anders umgehen, falls diese einen Datenverstoß melden müsste.
Defense-In-Depth reduziert menschliche Fehler
Das alles führt uns zurück zur Bedeutung von starken Remote Access-Technologien und einem ganzheitlichen Defense-in-Depth-Ansatz in puncto Netzwerksicherheit. Wenn Mitarbeiter und IT-Mitarbeiter Fehler machen – und das werden sie von Zeit zu Zeit – so ist es dieser vielschichtige, redundante Netzwerksicherheitsansatz inklusive kooperierender Technologien wie Firewalls, VPNs und Intrusion Detection Systems, durch welchen die digitalen Geheimnisse eines Unternehmens sicher bewahrt bleiben.
Weitere Artikel
Deutschland ist ins Visier des Rovnix-Trojaners geraten
Online-Seminar der BITKOM Akademie: Outsourcing von Security
Was passiert eigentlich mit gestohlenen Kreditkartendaten? So funktioniert der Schwarzmarkt
Bitdefender Studie: Deutsche PC-Nutzer fürchten Zugriff auf private Daten und Finanztransaktionen