Rawpixel.com - stock.adobe.com
Dem Sicherheitsrisiko Anwender richtig begegnen
Nicht eingespielte Sicherheits-Updates, zu viele Rechte und mangelndes Sicherheitsbewusstsein. Anwender in Unternehmen können ein signifikantes Risiko darstellen.
Bei der Herausforderung die Sicherheit der Endgeräte im Unternehmen sicherzustellen, ist es wichtig, auch die Anwender vor möglichen eigenen Fehlern und riskanten Handlungen zu schützen. Die Anwender in Unternehmen können auf vielfältige Weise für Risiken in Sachen Sicherheit zumindest mitverantwortlich sein. Das reicht vom unbeabsichtigtem Fehlverhalten über technische Probleme bis hin zu problematischen Abläufen bei Geschäftsprozessen.
Auch wenn sich die Endanwender mancher Risiken bewusst sind, manchmal passieren Fehler, weil die Priorität, die gestellten Aufgaben möglichst schnell und unkompliziert zu erledigen, Vorrang hat. Manche Probleme sind bekannte Muster, mit denen IT-Abteilungen seit langer Zeit zu kämpfen haben, andere sind weniger offensichtlich.
Selbst wenn Unternehmen das Sicherheitsbewusstsein ihrer Mitarbeiter über Schulungen schärfen, so ganz werden die entsprechenden Risiken nicht zu vermeiden sein. Daher müssen IT-Abteilungen sich dieser Herausforderung stellen und für die eigene Umgebung praktikable Maßnahmen anwenden. Wir haben nachfolgend einige typische Risikofelder zusammengestellt.
Durch Benutzer verursachte Sicherheitsrisiken
Problematische Zugangsdaten: Oftmals ist die Verwendung von Kennwörtern in Unternehmen nicht stringent genug geregelt. Da mag es passable Kennwortrichtlinien für die Windows-Domänen geben, ob alle Websites, Anwendungen und mobile Geräte da einbezogen sind, ist schon fraglich. Das kann dazu führen, dass sich Anwender hie und da für zu schwache Passwörter entscheiden. Manchmal verwenden Nutzer auch das identische Kennwort für mehrere Dienste, etwa auch für private Zugänge. Und auch das Notieren von Zugangsdaten auf Haftnotizen am Arbeitsplatz, ist nicht nur ein gerne kolportiertes Klischee.
Nicht eingespielte Updates: Melden Systeme, dass Sicherheits-Updates eingespielt werden müssen, empfinden dies Anwender häufig als Störfaktor bei ihrer eigentlichen Tätigkeit. Sofern man ihnen die Möglichkeit lässt, besteht dann immer das Risiko, dass entsprechende Meldungen ignoriert werden. Das ist meist unabhängig davon, ob es sich um Updates für die Betriebssysteme wie Windows oder macOS handelt, oder Drittanbietersoftware wie Adobes Acrobat Reader oder Java. Und genau dort können auf Endpunkten sehr signifikante Schwachstellen entstehen.
Das Risiko Phishing: Viele Sicherheitsvorfälle begannen mit dem Öffnen einer E-Mail und dem Klick auf Links oder dem Öffnen von Anhängen. Angreifer dringen immer noch häufig per Phishing in Unternehmensnetzwerke ein. Diese Angriffe werden immer besser, so dass Anwender unbekannte Anhänge öffnen oder sogar der Aufforderung Folge leisten, ihre Anmeldedaten anzugeben. Wenn dem Thema Phishing im Unternehmen nicht konsequent viel Aufmerksamkeit gewidmet wird, sind viele andere Schutzmaßnahmen ohne Wirkung. Ist ein Angreifer erst einmal im Besitz ganz regulärer Zugangsdaten, kann er sich damit häufig unbemerkt im Unternehmensnetzwerk weiterbewegen.
Inkonsequente Sicherheitsrichtlinien: Gar nicht so selten, wie man annehmen möchte, erhalten Anwender auf ihren Endgeräten lokale Administratorrechte. Mit diesen Rechten können Benutzer auf ihren Systemen Aktionen ausführen, die die Sicherheit ganz erheblich beeinträchtigen. Und etwaige Schadsoftware, die sie sich eingefangen haben, kann dies dann auch. Das kann vom Deaktivieren der Sicherheitslösung bis hin zum Nachladen und Installieren weiterer Malware reichen. Zudem kann es im Einzelfall schwierig sein, die problematischen Vorgänge auf einem System nachzuverfolgen, wenn der Anwender über lokale Admin-Rechte verfügt. Infolgedessen kann es der IT-Abteilung entgehen, dass ein Anwender eine Aktion durchgeführt hat, die das Unternehmensnetzwerk gefährden kann.
Nutzung nicht sicherer WLAN-Verbindungen. In vielen Unternehmen haben Mitarbeiter, die mobil unterwegs sind, die Möglichkeit sich mit jedem vorhandenen WLAN zu verbinden. Selbst, wenn es Richtlinien gibt, nur vertrauenswürdige Verbindungen zu nutzen und VPN zu verwenden, wird dies in der Praxis immer wieder umgangen werden, wenn die Möglichkeit dazu besteht. Die besten Vorsätze werden vermutlich über Bord geworfen, wenn der Anwender unterwegs nur mal eben seine E-Mails oder sozialen Netzwerke checken will.
Problematischer Umgang mit Altgeräten. Wenn Geräte ausgemustert werden, ist es immer wieder erstaunlich, wie viele Systeme auftauchen, die nicht wirklich komplett in den Ursprungszustand versetzt wurden. Das gilt umso mehr, wenn Anwender auch private Systeme für berufliche Zwecke nutzen. Sowohl Zugangsdaten, VPN-Verbindungen als auch personenbezogene Daten können so in falsche Hände gelangen. Und auch dann haben Angreifer einen prima Zugang zum Unternehmensnetzwerk.
Risiken im eigenen Unternehmen kennen
Wirklich leichtsinnig sind die Anwender gar nicht in so vielen Fällen. Oftmals entscheiden sie sich einfach für den bequemsten Weg mit dem geringsten Widerstand, um ihren täglichen Aufgaben nachzugehen. In der Praxis verursacht nur eine eher geringe Anzahl an Anwendern die Mehrzahl der Sicherheitsprobleme.
Wenn die IT-Abteilungen Sicherheitsrichtlinien und Berechtigungen technisch konsequent umsetzt, lässt sich die Angriffsfläche deutlich verringern. Dem Mitarbeiter bei Dienstantritt die Sicherheitsrichtlinien nur einmal in schriftlicher Form auszuhändigen und ihnen nur mitzuteilen, wie man Sicherheitsrisiken umgeht, dürfte in der Wirksamkeit nicht nachhaltig sein.
Auch wenn viele Risiken allgemeingültig sind, tun IT-Abteilungen gut daran, zu untersuchen, welche spezifischen Probleme in genau ihrer Umgebung bei welchen Anwendern entstehen könnten. Hat man Erkenntnisse darüber, welche spezifischen Benutzeraktionen die eigene Sicherheitsstrategie unterlaufen, kann man den Problemen entsprechend begegnen. IT-Teams können so Sicherheitsrichtlinien erstellen und umsetzen, so dass sich viele Benutzerfehler ganz automatisiert vermeiden lassen. Und auch diese Richtlinien müssen immer wieder auf den Prüfstand gestellt werden, da sich Abläufe und Verhaltensweisen ändern und neue Bedrohungen hinzukommen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!