Sehr geehrte Damen und Herren,

wenn über Sicherheit von IT Systemen gesprochen wird, dann meist vom unaufhörlichen Hase und Igel Spiel, Hacker versus Einbruchssysteme, Vierenscanner versus Erfinder von Schadsoftware oder Spamfilter versus Spamer. Oft glaubt man sich sicher hinter einer guten Firewall, optimal eingestellten IDS/IPS, täglich aktualisiertem Virenscanner und Spamfilter, optimaler Mailverschlüsselung und anderen technischen Raffinessen der IT Security. Aber dies ist nur die halbe Wahrheit.

Vergleichen wir doch mal unsere IT Sicherheit mit  Dingen aus dem täglichen Leben. Eine wohl situierte Familie tut alles für die Sicherheit ihres Eigentums. Die Villa ist abgesichert mit hohen Mauern, der modernsten Alarmanlage mit direktem Meldesystem zur Polizei. Zwei äußerst wachsame Hunde sorgen dafür, dass sogar der Briefträger nicht ohne weiteres Zutritt hat und dann das.

Ein netter junger Mann stellt sich bei Familie x vor - Versicherungs- und Finanzexperte in allen Lebenslagen. Natürlich bittet Frau x ihn gern ins Haus in Erwartung der neusten Anlagetips. Man spricht über Werte, was man angelegt hat und  holt schnell mal die aktuellen Papiere aus dem Save.  Als Gastgeberin will man die Bitte nach einem Kaffee auch nicht abschlagen und so ist unser sympathischer junger Anlageberater mal kurz allein mit dem, was normalerweise Mauer, Alarmanlage, Hund und Save schützen. Das wichtige Dinge fehlen und das Herr y nur formal Finanzberater ist, merkt Familie x viel später.

Sicher werden Sie denken, was hat das alles mit IT Security zu tun ? 

Vieles, denn oft gelangen Daten nach außen, weil trotz aller Hackersicherheit an einfache Dinge nicht gedacht wird. Wie Herr z, leitender Konstrukteur auf Auslandsreise. Weil man mit der Erarbeitung von Projektunterlagen nicht ganz fertig geworden ist, synchronisiert man diese auf dem Notebook. Sicheres Kennwort, verschlüsselte Platten - kann eigentlich nichts passieren und dann das.

Abends im Hotel arbeitet Herr z noch an seinen Unterlagen. Leider gibt es keinen Zugang über Internet in die Firma, so dass die neuen Ergebnisse nicht übertragen werden können. Sichern will Herr z seine Arbeit natürlich trotzdem und sein Sohn hat ihm zu Weihnachten einen super modernen 8 GByte USB Stick geschenkt. 3 GB MP3 für die lange Weile im Hotel und die neuen Projektunterlagen passen auch noch drauf.

Am nächsten Tag dann beim Kunden. Konferenz von 10 Personen, externe "Berater", wie Mr. x sind auch dabei. Man präsentiert sich - alles ist sehr interessant, vor allem der letzte Beitrag des "Beraters" Mr. x. Diesen möchte man gern haben und natürlich ist Mr. x sofort bereit, den Vortrag als Powerpoint zu übergeben. Leider ist der USB Stick von Mr. x defekt, aber kein Problem. Herr z hat doch einen und natürlich überspielt  Mr. x gern in der nächsten Rauchpause die Daten. 

Herr z freut sich über die Präsentation, Mr. x über die aktuellsten Projektdaten von Herrn z. Alle technischen Vorkehrungen haben versagt, wegen einer kleinen Unachtsamkeit. Aber genau darauf bauen professionelle Wirtschaftsspione. Andere Themen sind Sozial Engineering, wo Angreifer über den IT Anwender direkt an Informationen kommen oder diesen benutzen um in Netze zu gelangen oder sind Sie sich sicher, dass die Memory Card die Ihnen auf dem Messestand geschenkt wurde nicht präpariert ist ? 

100 prozentig lassen sich diese Dinge nicht vermeiden, denn kein Mensch ist frei von Nachlässigkeiten vor allem in der Hektik des Beruflebens. Aber das ständige Bewusstsein über solche Sicherheitslücken und eine gesunde Skepsis machen es IT Spionen schwerer, an Daten zu kommen. Der Weg dazu ist die Initiation einer Awareness Kampagne, die Mitarbeiter und vor allem die verantwortlichen Manager für das Thema organisatorische IT Sicherheit sensibilisiert und entsprechende Verhaltensregeln implementiert. 

Aber eine einmalige Aktion bringt nicht viel. In kurzer Zeit ist wieder vieles vergessen und der "Schlendrian" hat wieder eine Chance. Das wäre das gleiche, als wenn Sie Ihr IPS System nach einem halben Jahr abstellen, weil kein Angriff erfolgte. Nur durch ständige Etablierung von IT Security Awareness können Sie die Sicherheit vor unbefugten Datenzugriff über 007 Methoden permanent erhöhen. 

Aus diesem Grund entwickelt abc Information eine professionelle Methodik für Ihre Awareness Kampagne.

Ihre Friederike Tödter