Mensch und Informationssicherheit

Anwendende treffen tagtäglich Entscheidungen, welche einen Einfluss auf die Informationssicherheit haben. Sie entscheiden sich, sensible Informationen auf Social Media zu posten, ihr Smartphone oder Notebook unbeaufsichtigt zu lassen, sie nutzen unsichere Passwörter oder vergessen, den Bildschirm bei Abwesenheit zu sperren.

Dieses Kapitel beleuchtet die Rolle der Menschen als "Bedrohung" näher. Zunächst werden Szenarien vorgestellt, in welchen Menschen bewusst oder unbewusst mit ihren Entscheidungen die Informationssicherheit gefährden können. Die Gründe, Ursachen und Motive für dieses "falsche" Verhalten sind vielfältig. Deren Verständnis ist wichtig, um Menschen dabei zu unterstützen, zu Sicherheitsfaktoren zu werden. Der zweite Teil des Kapitels beschäftigt sich mit dem Phänomen der Malicious Insider und betrachtet speziell die Bedrohung, die von den eigenen Mitarbeitenden oder anderen Insidern für die Informationssicherheit ausgehen kann, wenn diese in böswilliger Absicht handeln.

Menschen verhalten sich nicht immer "informationssicherheitskonform" (information security compliant). Anwendende, die unbewusst oder bewusst Richtlinien ignorieren, sich am Arbeitsplatz und außerhalb der Organisation unbedacht oder fahrlässig verhalten, können die Informationssicherheit der eigenen Organisation gefährden. Die Gründe für ein abweichendes (non-compliant) Verhalten sind sehr vielfältig, und in vielen Fällen kann den Anwendenden nicht einmal ein Vorwurf gemacht werden. Mitarbeitende konzentrieren sich auf die Erledigung ihrer primären Aufgaben, und das für die Einhaltung von Sicherheitsmaßnahmen erforderliche Verhalten stellt oft ein Hindernis auf diesem Weg dar. Dieser Konflikt zwischen Sicherheit und Produktivität ist ein häufiger Grund für Non-Compliance (Beautement et al., 2008).

Bild 2.1 zeigt aus einem anderen Kontext, wie leicht eine Sicherheitsmaßnahme als Hindernis gesehen werden kann. Sie versperrt wortwörtlich den Weg und hindert das Erreichen des eigentlichen Ziels. So wird sie einfach umgangen bzw. umfahren.

Dieser Abschnitt zeigt zunächst typische Beispiele und Szenarien aus dem Unternehmensalltag, in welchen Mitarbeitende mit ihrem Verhalten die Sicherheit von Unternehmensinformationen beeinflussen können. Im Anschluss werden mögliche Gründe oder Ursachen für unsicheres Verhalten aufgezeigt. Es ist wichtig, diese Gründe zu kennen und zu verstehen, um Menschen aus der Rolle "Bedrohung" in die Rolle "Sicherheitsfaktor" zu verwandeln.

Bild 2.1 Sicherheitsmaßnahme als Hindernis (Fotos: Kristin Weber)

Es ist Montagmorgen. Markus sitzt an seinem Rechner und checkt die E-Mail-Inbox. Da ist sie mal wieder - die vierteljährliche Mail mit der Aufforderung, das Passwort zu ändern. Sieben Tage Zeit, verbunden mit der Drohung, dass im Anschluss die IT-Dienste des Unternehmens nicht mehr nutzbar sind. Nervig, aber kein Problem, denkt sich Markus. Der Link zum Passwortändern ist in der Mail gleich mit drin. Dann ändert er "Roddy_8" in "Roddy_9". Geht nicht?! Es sollen mindestens zehn Zeichen sein. Mist. Da haben die aber die Passwortregeln geändert.

Stimmt, da war etwas im letzten IT-Newsletter. Okay, dann "Roddy2023_1". Geht auch nicht? Das Passwort darf nicht ähnlich zum vorherigen sein. Echt jetzt?!? Dann ist die schöne Systematik dahin, mit der sich Markus in den letzten drei Jahren die ständige

Passwortänderung vereinfacht hat. Und nun? Markus sucht nach der Mail mit den neuen Passwortregeln: Mindestens zehn Zeichen, Groß- und Kleinbuchstaben, mindestens eine Ziffer und ein Sonderzeichen, die letzten zehn Passwörter dürfen nicht verwendet werden, und das neue Passwort muss sich signifikant vom alten unterscheiden. Und auch keine Geburtsdaten oder der Name des Haustieres . Dann ist "Roddy" vielleicht ohnehin keine so gute Idee?

Markus sucht einen Passwortgenerator im Internet, der ein Passwort nach den oben genannten Kriterien erstellt. Super, aber wie merkt er sich das denn jetzt? Markus sucht sich ein Post-it, schreibt das Passwort auf und klebt es unter seine Tastatur. Mission accomplished!

Dieses Beispiel und auch die folgenden Szenarien zeigen, dass Anwendende eine große Verantwortung haben. Die Sicherheit der Informationen und Informationssysteme des Unternehmens hängt auch davon ab, dass sie sich richtig, also informationssicherheitskonform verhalten. Verhalten sich Mitarbeitende in diesen Szenarien falsch (unsicher), stellen sie eine Gefährdung oder Bedrohung für die Informationssicherheit dar. Halten sie Vorschriften nicht ein oder versuchen diese zu umgehen, schaffen sie neue Schwachstellen oder Sicherheitslücken (Beris et al., 2015).

Die dargestellten Verhaltensweisen (z. T. in Anlehnung an Weber et al., 2019) werden in den folgenden Kapiteln des Buches immer wieder als Beispiele herangezogen.

Passwort

Der Zugriff auf Informationssysteme wird immer noch am häufigsten über die richtige Kombination aus Benutzungsname und Passwort gewährt. Jede/r, der diese Kombination kennt, kann Zugriff auf das Informationssystem erhalten. Während der Benutzungsname häufig von den IT-Admins vorgegeben wird, ist das Passwort von den Anwendenden selbst wählbar. Es liegt in ihrer Verantwortung, ein Passwort zu wählen, welches niemandem bekannt ist und auch nicht leicht erraten werden kann. Meist gibt es technische Vorgaben oder Richtlinien, die ein gewisses Mindestmaß an Sicherheit erzwingen bzw. vorgeben.

Ist ein vermeintlich "sicheres" Passwort gefunden (also eines, das nicht leicht von anderen herausgefunden werden kann), müssen die Anwendenden es sich gut merken können oder zumindest sicher aufbewahren. Das Passwort darf auch nicht weitergegeben werden, weder wissentlich noch unwissentlich; also weder den Kolleg:innen, die vertretungsweise Zugriff auf das E-Mail-Postfach benötigen, noch der vermeintlichen IT-Administratorin, die am Telefon danach fragt, und auch nicht, indem es versehentlich in eine Phishing-Webseite eingegeben wird.

Besteht der Verdacht, dass das Passwort dennoch bekannt geworden ist, müssen die Anwendenden schnellstmöglich ihren Verdacht dem Helpdesk melden und das Passwort schnell ändern. Und sie sollten das gleiche Passwort auch nur in einem System verwenden und nicht für verschiedene Anwendungen.

Bildschirmsperre

Um den unberechtigten Zugriff auf den eigenen Rechner und damit auf die dort abgelegten Dokumente oder die verbundenen Netzlaufwerke und Informationssysteme zu verhindern, sollten die Anwendenden beim Verlassen des Arbeitsplatzes den Bildschirm ihres Rechners sperren. Auch Smartphones oder andere mobile Endgeräte, welche am Arbeitsplatz zurückgelassen werden, sollten gesperrt werden. Das Entsperren sollte natürlich nur durch die Anwendenden selbst möglich sein, z.B. mittels Passwort, PIN, Fingerprint oder Gesichtserkennung.

Die Anwendenden müssen also bei jedem Verlassen des Arbeitsplatzes zunächst daran denken, die Bildschirmsperre zu aktivieren - auch dann, wenn ihre Abwesenheit vermutlich nur sehr kurz sein wird. Dazu müssen sie wissen, wie sie die Sperre aktivieren können. Bei ihrer Rückkehr sollten sie sich an das Passwort oder die PIN zum Entsperren des Geräts erinnern.

Umgang mit sensiblen Informationen

Anwendende müssen sich bewusst sein, wie sensitiv und schützenswert die Informationen sind, mit denen sie arbeiten. Meist gibt es im Unternehmen verschiedene Schutzstufen von öffentlich über intern und vertraulich bis hin zu geheim. Je nach Einstufung gelten andere Schutzmaßnahmen. Beispielsweise sollten vertrauliche Informationen nur verschlüsselt per E-Mail versendet werden. Geheime Informationen dürfen nur nach ausdrücklicher Genehmigung an andere Personen über klar definierte Kanäle weitergegeben werden. Geschäftliche E-Mails dürfen generell nicht an private E-Mail-Accounts weitergeleitet werden.

Sensible Dokumente sollten am Arbeitsplatz nicht offen herumliegen. Sie müssen am Abend oder auch bei (längerer) Abwesenheit vom Arbeitsplatz weggeräumt und weggeschlossen werden. Zumindest sollten aber Fenster und Türen geschlossen werden, sodass keine unbefugten Personen Zutritt erhalten können. Durch offenstehende Fenster können auch Dokumente oder Geräte beschädigt werden, falls dort Regenwasser eindringt. Bei der Entsorgung von Datenträgern und Papierdokumenten ist ebenfalls einiges zu beachten. Je nach Schutzstufe gibt es unterschiedlich sichere Verfahren für die Vernichtung. Einfach wegwerfen ist meist nicht die...