12.03.2008 | HR-Management
Gelockt von der Aussicht auf einen möglichen Gewinn gaben fast alle befragten Besucher einer IT-Messe bereitwillig sensible Informationen zu den IT –Systemen ihres Unternehmens preis. Für Betriebe ist das ein enormes Sicherheitsrisiko, denn Hacker können diese Informationen zum Ausspähen weiterer Unternehmensdaten (footprinting) nutzen.
Deutsche Arbeitnehmer haben großen Nachholbedarf in Sachen Sicherheit: Das ist das Ergebnis eines Social Engineering-Experiments von Firebrand Training. Der IT-Schulungsanbieter gab auf dem größten internationalen IT-Branchentreff vor, eine IT-Sicherheitsumfrage durchzuführen. 72 Prozent der 350 Befragten teilten ohne Zögern die Geschäfts-E-Mail-Adresse mit und machten sogar Angaben zu den im Unternehmen eingesetzten IT-Systemen.
Gefährliche Informationen für Cyber-Kriminelle
Die scheinbar trivialen Angaben können in den Händen von Cyber-Kriminellen zur gefährlichen Waffe werden: Denn Hacker nutzen sie als Angelhaken, um weitere relevante Informationen über eine spezifische Computernetzwerk-Umgebung auszuspähen, sprich Footprinting durchzuführen. Finden sie dann zum Beispiel noch die Nummern offener Ports oder IP-Adressen heraus, leiten sie Schwächen im Firmennetzwerk ab und entwickeln Angriffsstrategien. Robert Chapman, Mitbegründer von Firebrand Training und Geschäftsführer der gleichnamigen GmbH, rät Unternehmen deshalb, Mitarbeiter regelmäßig über Hacker-Methoden zu schulen und für ein entsprechendes IT-Sicherheitsbewusstsein zu sorgen: „Nur wer weiß, wie Cyber-Kriminelle vorgehen, kann sein Verhalten entsprechend anpassen und so erfolgreich Attacken verhindern."
IT-System des Arbeitgebers bereitwillig preisgegeben
Nur acht Prozent der Befragten wollten wissen, wer denn die Umfrage durchführe, ließen sich aber schnell mit der schwammigen Auskunft „IT-Schulungsunternehmen" zufrieden stellen und gaben schließlich bereitwillig Auskunft. Lediglich 16 Prozent gaben keine Geschäfts-E-Mail-Adresse weiter, sondern beschränkten sich auf das private elektronische Postfach. Weitere zwölf Prozent der Befragten behielten persönliche Angaben wie den eigenen Namen und E-Mail-Adressen für sich. Beide Gruppen waren aber umso freizügiger, als es darum ging, den Arbeitgeber und die dort eingesetzten IT-Systeme preis zu geben.
Messen wiegen Besucher in Sicherheit
„Für Hacker sind derartige Informationen Gold wert", erklärt Robert Chapman. „Unser Experiment hat eindrücklich gezeigt, dass IT-Messen einen Rahmen schaffen, der die Besucher in Sicherheit wiegt. Natürlich spielt die Aussicht auf einen möglichen Gewinn auch eine Rolle. Vermutlich auch deshalb waren so viele - selbst IT-Berater - bereit, ohne Bedenken Auskunft zu geben. Wir konnten auch nicht feststellen, dass Angestellte großer Unternehmen oder öffentlicher Organisationen besser geschult wären, denn auch sie lieferten bereitwillig die gewünschten Informationen. Lediglich die Angst vor Spam trieb einige um, aber auch diese Sorgen ließen sich schnell aus dem Weg räumen."
„Offensichtlich wissen immer noch zu wenig Mitarbeiter, dass diese Art der Hilfsbereitschaft böse Folgen für die Unternehmenssicherheit haben kann", äußert Robert Chapman weiter. „Firmen stehen deshalb in der Verantwortung, ihre Mitarbeiter auf die immer raffinierteren Hacker-Angriffe vorzubereiten, und sie entsprechend zu sensibilisieren."
Informationen zu Certified Ethical Hacking-Kursen, bei denen Teilnehmer lernen, Sicherheitslücken in IT-Systemen zu erkennen und Abwehrstrategien gegen Hacker zu entwickeln, finden Sie unter: http://www.firebrandtraining.de/ceh.
Bleiben Sie stets auf dem Laufenden mit
und auf Ihrer persön- lichen Google-Seite:
Die Online-Angebote der Haufe Mediengruppe:
Personalmagazin
Wirtschaft und Weiterbildung
Haufe Akademie
eCampus
Drucken
Senden
unserem Newsletter 
