27.04.2015 von Dietmar Müller und Matt Hamblen (Computerworld)
Laut einer neuen Studie zum Thema IT-Sicherheit in Unternehmen verursachen vor allem junge, gut bezahlte Männer mit Smartphones Security-Probleme.
Die größte Gefahr für die mobile Infrastruktur in Unternehmen geht von Mitarbeitern aus, die nicht älter als 35 Jahre sind und mehr als 55.000 Euro (circa 60.000 Dollar) verdienen. Das ist eine der Erkenntnisse aus einer Studie im Auftrag von Aruba Networks, für die 11.500 Angestellte in 23 Ländern befragt wurden.
Diese und andere Ergebnisse werden "für Gänsehaut in IT-Abteilungen" sorgen, so Ben Gibson, Chief Marketing Officer von Aruba, in einem Interview. Insbesondere die Tatsache, dass 60 Prozent aller Mitarbeiter unter 35 Jahren (von Aruba die "GenMobile" genannt) nur zu bereitwillig ihre Arbeit und ihre Smartphones mit anderen teilen. Und nur ein Fünftel von ihnen hat ein Passwort für ihr Gerät eingerichtet. Der Rest erklärte offenherzig, dass Passwörter nur beim Tausch von Daten und Geräten stören.
BYOD vs. Security
Darüber hinaus berichteten 56 Prozent aller Befragten unter 35 Jahre, dass Sie Vorgaben von Vorgesetzten ignorieren, wenn ihnen das die Arbeit mit dem Smartphone erleichtern würde. Dabei gehen 87 Prozent davon aus, dass die IT-Abteilung sie "beschützt". Gleichzeitig erklärten 31 Prozent, dass es durch einen Missbrauch ihres Geräts bereits zu Datenverlusten gekommen ist. Solches Verhalten sei "mit einer wilden Autofahrt mit vielen Schlenkern und scharfen Kurven zu vergleichen... aber ohne Sicherheitsgurt", so Aruba.
Weitere Studienergebnisse: Zwischen 25 und 35 Jahren ist die Wahrscheinlichkeit am höchsten, Daten zu verlieren. Ab 55 stehen die Chancen dafür nur noch halb so "gut". Mitarbeiter mit einem Jahresgehalt von über 60.000 Dollar haben eine doppelt so hohe Wahrscheinlichkeit, Finanzdaten zu verlieren, wie ihre weniger verdienenden Kollegen. Besserverdiener geben auch dreimal so häufig Passwörter weiter als Geringverdiener. Männer haben ein 20 Prozent höheres Risiko als Frauen.
Die größten Passwort-Sünden: Was Sie niemals tun sollten!
Niemals über ein offenes WLAN auf einen Account mit einem Passworte zugreifen. Wenn Sie sich in einem offenen WLAN oder einem ähnlich unsicheren Netzwerk befinden, sollten Sie Passwörter ausschließlich auf Seiten eingeben, die HTTPS-Verschlüsselung (Hypertext Transfer Protocol Secure) verwenden oder noch besser nur via VPN (Virtual Private Network) auf die entsprechenden Accounts zugreifen.
Keine Passwort-Eingabe auf Webseiten, die Sie über einen Link in einer E-Mail erhalten haben. Die Gefahr ist zu groß, dass es sich hier um eine Phishing-Mail handelt. Geben Sie die URL von Bank- und Shop-Webseiten immer direkt in Ihrem Browser ein und wechseln dann dort zu der entsprechenden Eingabe.
Keine Passwort-Eingabe auf "unbekannten" Systemen und Seiten Geben Sie Ihre Passworte nicht auf Systemen ein, deren Sicherheitseinstellungen Sie nicht kontrollieren: Das gilt für den PC im Internet-Café ebenso wie für das System eines Kollegen oder Freundes.
Verwenden Sie grundsätzliche keine "Automatik-Funktionen" Erlauben Sie keiner Webseite, dass sie Ihren Namen und Ihr Passwort speichert ("remember me"). Vermeiden Sie es ebenfalls, dass sich Ihr System beim Start automatisch bei den diversen Online-Konten wie etwa Web-Mail anmeldet.
Verwenden Sie nie das gleiche Passwort auf mehreren Internet-Seiten. Ist eine derartige Seite kompromittiert, sind gleich alle Ihre Accounts gefährdet.
Verwenden Sie nie Passworte, die Namen, Geburtstage, Adressen oder andere persönliche Informationen beinhalten. Solche persönlichen Informationen sollten auch teilweise nicht in Ihren Passworten zu finden sein. Das gilt auch für alle Worte, die sie in einem Lexikon finden können und für Zahlen- oder Buchstabenwiederholungen wie 222 oder Folgen wie ABCD und qwertz.
Verwenden Sie nie das gleiche Passwort über einen längeren Zeitraum. Auch wenn es zunächst mühsam erscheint: Wechseln Sie Ihre Passworte gerade bei Online-Accounts regelmäßig. Wenigstens alle sechs Monate, besser alle drei Monate oder immer dann, wenn Sie sich auf einer Seite einloggen, die Sie schon lange nicht mehr besucht haben.
Junge Mitarbeiter und der Spagat der Unternehmen
Aruba bezeichnet die Ergebnisse als Weckruf für alle Unternehmen, die den Spagat meistern müssen, einerseits den Impetus der Jugend mit ihrem Internet und all den Smartphones für sich gewinnbringend einzusetzen, andererseits aber sehr genau auf ihre Daten zu achten. Weil nun aber immer mehr junge Mitarbeiter in zentrale Bereiche der Firmen vorstoßen, sollten Firmen lernen, "wie man Moral und Produktivität hoch und gleichzeitig die Sicherheit aufrecht hält."
Aruba, das gerade von Hewlett-Packard übernommen wird, sieht sich selbst nicht als eine traditionelle Netzwerkfirma, so Gibson. Man habe vielmehr ein Werkzeug zum Erstellen eines Security Risk Index im Angebot, mit dem Unternehmen ihr eigenes Sicherheitsrisiko in Vergleich zu dem der Wettbewerber senken können. Außerdem verkauft Aruba ClearPass Policy Management-Tools, nutzt aber auch Software von anderen Anbietern, so Gibson.
Security Trends 2015
1. Exploit-Bekämpfung reduziert die Einfallstore für Kriminelle. Cyberkriminelle hatten in den vergangenen Jahren mehr oder weniger leichtes Spiel mit Microsoft Windows. Glücklicherweise hat der Konzern Exploits in letzter Zeit gezielt bekämpft, so dass Attacken immer schwieriger werden. Allerdings gibt es eine Kehrseite der Medaille, da viele Malwareentwickler sich nun wieder den Social-Engineering-Techniken zuwenden oder auf Nicht-Microsoft-Plattformen abzielen.
2. Internet-of-Things-Attacken haben sich von Machbarkeitsstudien zu Mainstream-Risiken entwickelt. 2014 mussten wir immer häufiger feststellen, dass Hersteller von Internet-of-Things-Geräten es oftmals verschlafen haben, grundlegende Sicherheitsstandards zu implementieren. Entsprechend sind Attacken auf diese Geräte absehbar und werden zudem umfassende Folgen haben. Die IT-Sicherheitsindustrie muss sich weiterentwickeln, um für dieses neue Thema Antworten zu finden.
3. Verschlüsselung ist mittlerweile Standard, aber darüber sind nicht alle glücklich. Dank häufig auftauchender Schlagzeilen in Sachen Spionagesoftware und Datenbankeinbrüchen hat sich die Verschlüsselung aller Daten schon fast zum Standard entwickelt. Das geht allerdings gerade großen Organisationen wie Strafverfolgungsbehörden oder Geheimdiensten gegen den Strich, da sie befürchten, dass diese „Heimlichtuerei“ die allgemeine Sicherheit gefährdet.
4. Sicherheitsrelevante Programmierfehler in weit verbreiteter Software blieben jahrelang unter dem Radar. „Heartbleed“ und „Shellshock” machen deutlich, dass weit mehr unsichere Code-Zeilen im Umlauf sind, als gedacht und sie werden seit vielen Jahren unbemerkt von einer großen Anzahl Computersystemen genutzt,. Entsprechend hat sich auch das Augenmerk der Hacker auf diese eher unauffälligen Programme gerichtet und 2015 sind vermehrt Attacken in diesem Bereich zu erwarten.
5. Gesetzliche Neuregelungen bringen mehr Verantwortung bei der Offenlegung von Daten und Haftung mit sich – vor allem in Europa. Die Mühlen der Gesetze mahlen im Vergleich zur Technologieentwicklung sehr langsam, aber dennoch treten 2015 einige gesetzliche Neuerungen in Kraft, die lange auf sich warten ließen. Es ist wahrscheinlich, dass diese Änderungen auch in anderen Bereichen mit einer progressiveren Datenschutzregulierung einhergehen.
6. Kriminelle schießen sich auf mobile Zahlungssysteme ein, halten aber gleichzeitig noch eine Weile an traditionellen Finanzbetrügereien fest. Nach der Ankündigung von Apple Pay waren mobile Zahlungssysteme eines der Topthemen der vergangenen Monate. Wie immer, wenn neue Systeme an den Start gehen, werden die Cyberkriminellen nach Lücken Ausschau halten. Da das aber aufgrund einiger sehr positiver Absicherungen nicht ganz einfach sein wird, dürfen wir davon ausgehen, dass die klassischen Onlinegaunereien mit Kreditkarten noch eine Weile weitergehen. Sie sind das bei weitem einfacherer für Betrug zu nutzen.
7. Die Lücke zwischen Sicherheitsaufgaben und geschultem Personal klafft immer weiter auseinander. Im gleichen Rahmen, wie Technologie immer mehr in unser tägliches Leben Einzug hält und einer der Stützpfeiler für die globale Wirtschaft wird, kommt das fehlende Know-how in Sachen Cybersicherheit zum Vorschein. Diese bedenkliche Entwicklung wird sowohl von Regierungen, als auch der Industrie konstatiert. Das Besetzen der nötigen Stellen kann Jahre dauern und ist somit ein echter Sicherheitsfaktor.
8. Breite “Serviceoffensive” für Attacken und Exploit-Kits, um mobile Plattformen anzugreifen. In den letzten Jahren hat sich ein neuer Trend bei den Cyberkriminellen durchgesetzt: das zur Verfügung stellen von Malwarepaketen, die keinerlei technisches Wissen voraussetzen und per Klick aktiviert werden können. Der rasante Anstieg bei mobilen Plattformen und der damit verbundene Austausch sensitiver Daten werden dazu führen, dass wir 2015 viele dieser Kits für Smartphone-Angriffe sehen werden. Gleiches gilt für Plattformen, die sich mit dem Internet of Things beschäftigen.
9. Die Lücke zwischen ICS/SCADA und Sicherheit in der realen Welt wächst weiter. Systeme wie Industrial Control Systems (ICS) und Supervisory Control and Data Acquisition (SCADA) hinken in Sachen Sicherheit üblicherweise zehn oder mehr Jahre hinter dem Mainstream her. Wir gehen davon aus, dass innerhalb der nächsten Jahre einige besorgniserregende Lücken aufgedeckt werden, die von Hackern auf breiter Front ausgenutzt werden.
10. Flexiblere Rootkit- und Bot-Fähigkeiten eröffnen neue Angriffsvektoren. Die Technologiesparte befindet sich zurzeit in einem grundlegenden Veränderungsprozess, in dessen Rahmen nun Plattformen und Protokolle abgeändert werden, die jahrelang als Standard dienten. Allein die Menge solcher Veränderungen der althergebrachten Technologiestandards wird viele alte Wunden aufreißen und neue Sicherheitslücken schaffen.