Mitarbeiter grösstes Sicherheitsrisiko
Schweizer KMU mit geschäftskritischen ICT-Systemen müssen sich besser gegen Cyberbedrohungen schützen. Am Wirtschaftsinformatik-Forum Luzern wurde klar, dass die grösste Gefahr von den eigenen Mitarbeitern ausgeht.
Schweizer KMU mit geschäftskritischen ICT-Systemen müssen sich besser gegen Cyberbedrohungen schützen. Am Wirtschaftsinformatik-Forum Luzern wurde klar, dass die grösste Gefahr von den eigenen Mitarbeitern ausgeht.
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
76 Wirtschaftsinformatik Schweiz<br />
Risikobetrachtungen ICT<br />
<strong>Mitarbeiter</strong> <strong>grösstes</strong><br />
<strong>Sicherheitsrisiko</strong><br />
Schweizer KMU mit geschäftskritischen ICT-Systemen müssen sich besser<br />
gegen Cyberbedrohungen schützen. Am Wirtschaftsinformatik-Forum Luzern<br />
wurde klar, dass die grösste Gefahr von den eigenen <strong>Mitarbeiter</strong>n ausgeht.<br />
Von Reto De Martin<br />
Der Autor<br />
Reto De Martin<br />
ist Geschäftsführer und<br />
Inhaber des Beratungsunternehmens<br />
Force4project<br />
sowie der Geschäftsleiter<br />
des VIW.<br />
www.force4project.ch<br />
Das Wirtschaftsinformatik-Forum Luzern stand in<br />
diesem Jahr unter dem Haupttitel «ICT-Sicherheit<br />
im KMU». Im Vorfeld hatten Studierende der Höheren<br />
Fachschule der Wirtschaftsinformatik über Wochen<br />
Themenkomplexe bearbeitet und die Ergebnisse ihrer<br />
Recherchen mit Empfehlungen angereichert. In der fast<br />
gefüllten Aula der KV Luzern Berufsakademie empfingen<br />
die Studierenden nun eine interessierte Zuhörerschaft aus<br />
dem beruflichen und privaten Umfeld.<br />
Fachdozent Philipp Zihler weckte in seinem Auftaktreferat<br />
die Aufmerksamkeit des Publikums, indem er Cyberattacken<br />
auf lokal bekannte Unternehmen schilderte. Die<br />
Täter seien je länger, je weniger Einzelpersonen. Vielmehr<br />
hätten längst Armeen, Geheimdienste und das organisierte<br />
Verbrechen die Führung übernommen. Wie Zihler sagte,<br />
flös sen geschätzt rund 10 Prozent der Rüstungsausgaben<br />
in die Cyberaktivitäten – allein in den USA sind das täglich<br />
rund 200 Millionen Dollar.<br />
ICT-Security-Check für KMU<br />
Das Team Markus Lang, Martina Rebmann und Oliver Rousavy<br />
erarbeitete einen Leitfaden, anhand dessen KMU mögliche<br />
Bedrohungen wie höhere Gewalt, technisches Versagen,<br />
organisatorische Mängel, vorsätzliche Manipulation<br />
und menschliches Fehlverhalten identifizieren können.<br />
Denn über 70 Prozent aller Sicherheitsvorfälle werden durch<br />
die internen Mitarbeitenden verursacht. Die Empfehlungen<br />
des Teams zielen auch primär auf die sozialen Gefahren:<br />
■■<br />
Klare Rahmenbedingungen für die Nutzung von ICT-<br />
Anwendungen schaffen.<br />
■■<br />
Kreativ sein in der Passwortwahl.<br />
■■<br />
Notfallmanagement planen.<br />
■■<br />
Aufmerksam sein bei verdächtigen E-Mails, Telefonanrufen<br />
und unbekannten Besuchern.<br />
Social Engineering<br />
Die Recherchen von Tomislav Kafadar, Dennis Lehrmann<br />
und Josef Lusser drehten sich um die Praxis von Phishing-<br />
Nachrichten und CEO-Fraud. CEO-Fraud meint, dass Täter<br />
im Namen des Unternehmens-Chefs die Buchhaltung<br />
anweisen, eine Zahlung auf ihr Konto vorzunehmen.<br />
«Sicherheitssysteme<br />
müssen immer<br />
gewinnen, Angreifer<br />
hingegen nur einmal»<br />
Kevin Mitnick, ehemaliger Hacker<br />
Am Wirtschaftsinformatik-Forum in Luzern präsentierten<br />
Studierende Sicherheitskonzepte für KMU<br />
Bilder: VIW
Wirtschaftsinformatik Schweiz<br />
77<br />
Joel Bucher und Marco Competiello (v. l.) haben die Risiken von Cloud-Diensten analysiert<br />
Während ein Versuch von CEO-Fraud an der Aufmerksamkeit<br />
einer <strong>Mitarbeiter</strong>in scheiterte, zeigte die hohe Erfolgsquote<br />
von Phishing-Angriffen den erforderlichen Informations-<br />
und Schulungsbedarf auf. Mehrere Mitarbeitende<br />
hätten sogar beim IT-Support reklamiert, die Administratoren<br />
sollen doch bitte dafür sorgen, dass der Link auf die<br />
angebliche Gewinn-Website funktioniere.<br />
Spam in der Dose und im Posteingang<br />
In naher Zukunft werden weltweit täglich rund 350 Milliarden<br />
E-Mails verschickt werden. 80 Prozent davon sind unerwünscht,<br />
sprich Spam. Ohne Spam-Filter ist eine Nutzung<br />
von E-Mail nicht mehr praktikabel. Pascal Dissler, Lukas<br />
Henz und Benjamin Roth testeten drei verschiedene Produkte<br />
von Spam-Filtern in je einem KMU. Die Lösungen<br />
reduzierten die Anzahl der Spam-Nachrichten massiv.<br />
Am Rande ihres Berichts führten die Studierenden noch<br />
aus, woher die Bezeichnung «Spam» kommt. Es war und ist<br />
der Markenname eines Dosenfleisches, der in einem Sketch<br />
der britischen Komikergruppe Monty Python übergebührlich<br />
benutzt wird. Sie spielten auf die Überversorgung mit<br />
dem Fleisch nach dem Zweiten Weltkrieg an. Der US-amerikanische<br />
Hersteller lieferte tonnenweise Dosen nach<br />
Grossbritannien, sodass Spam omnipräsent war, die Bevölkerung<br />
seiner allerdings auch überdrüssig wurde. In den<br />
1990er-Jahren wurden unerwünschte Massen-E-Mails in<br />
Anlehnung an den Sketch als Spam bezeichnet.<br />
Lieferantenzugänge als Einfallstor<br />
Die Dienstleister für die betrieblich genutzte Software benötigen<br />
eine Verbindung zu den Servern der Firma. Sie erhalten<br />
dabei auch Zugang zu Daten, den besonders sensiblen<br />
und schützenswerten Assets. Roland Amrein und Matt<br />
hias Erni haben einen Sicherheits-Check erarbeitet und<br />
drei verbreitete Produkte damit gemessen. Ihr Fazit lautet:<br />
Alle Produkte taugen als Einfallstore. Der von einem Angreifer<br />
zu erbringende Aufwand und die Kosten sind überschaubar.<br />
So kamen die Studierenden zu der Empfehlung,<br />
dass Unternehmen die Zugänge zu ihren Systemen unbedingt<br />
schützen und überwachen sollten.<br />
Datenaustausch zwischen Firmen<br />
Der Handel mit Waren hat sich längst vom traditionellen<br />
Basar auf virtuelle Marktplätze verlagert. Die für eine Geschäftsabwicklung<br />
erforderlichen Daten werden digital<br />
ausgetauscht. Kevin Schnarwiler und Kilian Wespi haben<br />
sich mit den Gefahren befasst. Die grössten Risiken liegen<br />
bei der Offenlegung schützenwerter Informationen, bei<br />
möglichen Manipulationen und dem Integritätsverlust.<br />
Verschlüsselte Protokolle, Zugriffskonzepte und Berechtigungssteuerungen<br />
reduzieren diese Gefahren. Vollständige<br />
Sicherheit ist allerdings nur durch den kompletten Verzicht<br />
auf Datenaustausch zu erzielen.<br />
Cloud-Konzepte wie PizzaBacken<br />
Joel Bucher und Marco Competiello haben die verschiedenen<br />
Cloud-Modelle durch einen Vergleich mit der Pizzazubereitung<br />
erläutert: «On-Premises» entspricht der daheim<br />
gebackenen und gegessenen Pizza. Die durch den<br />
Pizza kurier zubereitete und gelieferte Pizza kann mit dem<br />
Modell «Platform as a Service» verglichen werden. «Software<br />
as a Service» entspricht dem Besuch in der Pizzeria.<br />
Aufgrund einer Analyse des Anbietermarkts kommen die<br />
beiden Studierenden zu folgenden Erkenntnissen:<br />
■■<br />
■■<br />
■■<br />
Die Sicherheit in der Cloud ist meist höher als bei lokaler<br />
Infrastruktur.<br />
Cloud-Lösungen sind nur begrenzt günstiger.<br />
Die Migration in die Cloud ist aufwendiger als erwartet.<br />
Als Fazit des Forums Luzern kann festgehalten werden,<br />
dass auch und gerade KMU ihre ICT absichern müssen.<br />
Denn: «Sicherheitssysteme müssen immer gewinnen,<br />
Angreifer hingegen nur einmal», sagte schon der ehemalige<br />
Hacker und heutige Sicherheitsberater Kevin Mitnick.<br />
Impressum<br />
Das offizielle<br />
Publikationsorgan<br />
des VIW<br />
Herausgeber:<br />
VIW – Wirtschaftsinformatik<br />
Schweiz<br />
VIW-Geschäftsstelle:<br />
Rosenweg 3<br />
5037 Muhen<br />
Tel. 031 311 99 88<br />
info@viw.ch<br />
Erscheinungsweise:<br />
Monatlich<br />
www.viw.ch
Change language