Sensibilisierung — ein bedeutungsvolles Wort für eine im wahrsten Sinne des Wortes bedeutsame Aufgabe. In diesem Blog-Beitrag werden Sie lernen, warum nur tatsächlich sensibilisierte MitarbeiterInnen dazu beitragen können, den Schutzbedarf Ihrer Organisation in Bezug auf Informationssicherheit zu wahren. Hier betrifft es insbesondere jene Risiken, die auf die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten wirken und deren Eintrittswahrscheinlichkeit maßgeblich durch menschliches Handeln Ihrer Belegschaft beeinflusst wird.
“Aber wir haben doch ein Informationssicherheitsmanagementsystem und schulen doch unsere Mitarbeiter regelmäßig. Reicht das nicht?” werden Sie vielleicht denken. Nun, es kommt darauf an, was Ihr ISMS abdeckt und was Ihre Schulung am Ende bewirkt.
Bemühen Sie doch einmal das PONS Wörterbuch. Sie werden sehen, dass das lateinische Wort “sensus” eine Vielzahl von Deutungen zulässt und die alten Römer eine Menge mehr als nur “Wissen” oder “Können” meinten, wenn sie an “sensus” und vielleicht auch Sensibilisierung dachten:
Denn sensus meint auch Dinge wie (Sinnes-)Eindruck, (Sinnes-)Wahrnehmung, Sinnesorgan, Besinnung, Bewusstsein, Verständnis, Urteil(sfähigkeit) und sogar innere Anteilnahme.
Wenn Sie demnach MitarbeiterInnen im wahrsten Sinne des Wortes sensibilisieren möchten, dann müssen Sie es schaffen, deren innere Haltung, Einstellung und Grundhaltung für Ihr Thema in der Art nachhaltig positiv zu beeinflussen, dass die Augen und Ohren sowie die innere Geisteshaltung Ihrer geschulten MitarbeiterInnen geeignet und willens sind, Informationssicherheitsereignisse zu erkennen, bevor diese zu Informationssicherheitsvorfällen werden.
Und genau darum geht es doch eigentlich, oder?
Nun sagen Sie vielleicht: “Papperlapapp — Schulung reicht uns, Augen und Ohren der Organisation brauche ich nicht für mein ISMS. Wir unterweisen und verpflichten alle MitarbeiterInnen auf die bestehenden Maßnahmen und Richtlinien. Und wenn sich alle dran halten, dann sind wir compliant und damit safe. Wer sich nicht dran hält, fliegt raus”.
Kann man machen, ist aber Mist.
Denn Ihr ISMS kann nur jene Maßnahmen“managen”, für die Sie die zugrundeliegenden Risiken erkannt und eingestuft haben. Was aber ist mit den Risiken, von denen Sie nicht mal im Ansatz wissen, dass Sie nicht wissen, dass es sie gibt. Donald Rumsfeld nannte diese (wenn auch in einem anderen unschönen Kontext) die “unknown unknowns”.
Und Ihr ISMS orientiert sich mit Sicherheit an Best-Practices, die Ihren MitarbeiterInnen Leitlinien im (sicheren) Umgang mit (schützenswerten) Informationen liefern. BSI-Grundschutz und ISO27xxx beinhalten solche Best-Practices. Leider sind Best-Practices jedoch immer auch Past-Practices.
Und genau hier drohen zwei latente Gefahren:
Erstens wird Ihr ISMS immer Lücken haben (“unknown unknowns”). Sonst bräuchte es ja im Sinne des PDCA-Zyklus auch keine stete Verbesserung des selbigen.
Und zweitens wird es immer böse Menschen geben, die solche Regelsysteme und deren (Best-)Practices wie ihre Westentasche kennen und damit in der Lage sind, das Radar Ihres ISMS bewusst zu unterfliegen.
In einem sehr interessanten Beitrag von 2013 fasste Ortmann unter dem Titel “Noch nicht / nicht mehr — Zur Temporalform von Paradoxien des Organisierens” diverse Ursachen für das Scheitern von Organisationen zusammen. Eine dieser Formen charakterisierte er als intendiert und selbstauferlegt. In diese Kategorie lassen sich aus Best-Practices einordnen. Organisationen scheitern mit und wegen ihrer sich selbst auferlegten Regelwerke.
Das klingt paradox — und genau darum geht es in Ortmanns Artikel und in diesem Blog-Beitrag. Denn wenn sich eine Organisation Handlungsrichtlinien wie ein ISMS auferlegt, dann Scheitern die Akteure (MitarbeiterInnen) der Organisation (in Bezug auf Informationssicherheit) zum einen dann, wenn die Handlungsrichtlinien keine Orientierung und/oder Anschlussfähigkeit mehr bieten. Sprich: für ein konkret eintretendes “unknown unknown” existiert schlicht keine Regel. Es fehlen Anweisungen, wie man sich nun zu verhalten habe. Dadurch werden Mitarbeiter im konkreten Fall aufgrund ihrer hohen antrainierten Regelaffinität handlungsunfähig. Das ist das Schlimmste, was im Falle akuter Gefährdung Ihrer Informationssicherheit passieren kann.
Und zum anderen können trotz konsequenter und korrekter Anwendung aller Regeln Bedrohungen dann nicht erkannt werden, wenn bspw. Human Hacker die Best Practices Ihres ISMS genau kennen und sich durch vermeintlich regelkonformes Handeln in der Organisation trotz schädlichen Verhaltens nicht zu erkennen geben. Social Engineering öffnet vermeintlich gut verschlossene Türen mit manipulativen Techniken nahezu geräuschlos und Informationssicherheitsvorfälle geschehen unbemerkt.
Hier wird der Bedarf an sensibilisierten MitarbeiterInnen deutlich. Denn in beiden Fällen helfen MitarbeiterInnen nicht, die lediglich geschult, unterwiesen und verpflichtet wurden.
Sie brauchen in beiden Fällen sensibilisierte MitarbeiterInnen. Denn in beiden Fällen braucht Ihre Organisation wachsame Augen und Ohren, die durch innere Anteilnahme intrinsisch motiviert Auffälligkeiten und Anomalien erkennen und kommunizieren. Und Sie brauchen eine Belegschaft, die im Falle von “unknown unknowns” besonnen (das Wort steckt übrigens auch in “sensus”) agiert und sich bei Fehlen konkreter Handlungsanweisungen und Regeln “sinngemäß” (also im Sinne des ISMS und Ihrer Sicherheitspolitik) verhält.
Sensibilisierung ist also etwas anderes als eine Schulung. Das BSI und die ISO27xxx fordern beides. Schulung und Sensibilisierung. Das hat seinen Sinn und ist gut so. Vielleicht wissen BSI und ISO ja auch um diese organisationale Schwachstelle von Best-Practices.
Möchten Sie mehr über unsere didaktischen Konzepte zur nachhaltigen Sensibilisierung von MitarbeiterInnen erfahren? Dann kommen Sie auf uns zu. Wir stellen Ihnen unseren Ansatz gern im persönlichen Gespräch vor.
https://secutain.com/wp-content/uploads/2019/09/ISO27001-scaled.jpg19202560Carsten Gotterthttps://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.pngCarsten Gottert2019-09-03 10:34:352019-09-03 19:02:04Sind Best Practices selbstauferlegtes intendiertes Scheitern? Alles eine Frage der Sensibilisierung.
Der Zugriff auf sensible, schützenswerte und für das Unternehmen elementar überlebenswichtige (“intellectual property”) Daten will kontrolliert, gesteuert und geschützt sein, um den Bestand der Unternehmung nicht zu gefährden. Kommerzielle Schäden (Umsatzrückgang aufgrund Vertrauensverlust der Kunden, Strafzahlungen gemäß EU-DSGVO) und Reputationsverlust sind da noch das geringere Übel, wenn solche Daten “abhanden kommen”. Vielmehr kann gezielte Industriespionage die Alleinstellungsmerkmale der Unternehmung zum Ziel haben und damit grundlegend den Fortbestand des Unternehmens gefährden, wenn intellecutal property zum Mitbewerb wandert.
Das senkt die Wahrscheinlichkeit des technischen Einbruchsversuchs, denn wie im wirklichen Leben auch ziehen Einbrecher lieber weiter zum nächsten Haus, wenn die Eingangstür im Vergleich zum Nachbarhaus gut gesichert ist.
Vergessen wird jedoch gern, dass technische Zugänge ja nicht der einzige Weg sind, auf diese schützenswerten Daten zuzugreifen. Denn wenn Ihr Unternehmen nicht zufälliges und beliebiges Ziel einer Diebesbande ist, sondern Ihre Daten ganz konkretes Ziel geplanter Angriffe sind, weil bspw. Industriespionage im Vordergrund steht, werden Angreifer nicht locker lassen, um an Ihre informationellen Kronjuwelen zu gelangen. Sie werden andere Angriffswege wählen, wenn Hacker technisch nicht weiterkommen und an den technischen Sicherheitsmaßnahmen Ihrer Organisation scheitern.
Angriffssziel werden dann die MitarbeiterInnen Ihrer Organisation, die durch gezielte und geschickte Manipulation dazu bewegt werden, Daten herauszugeben, Credentials preiszugeben oder Angreifern Türen aufzumachen, die durch Technik bisher gut gesichert und verschlossen waren.
Social Engineering und Sabotage sind laut der Allianz für Cybersicherheit des BSI zwei der zehn bedeutsamsten Sicherheitsbedrohungen in 2019. Die Aufmerksamkeit für dieses Thema beim Aufbau eines ganzheitlichen Ansatzes zum Schutze dieser sensiblen Unternehmensdaten ist jedoch aus unserer Erfahrung immer noch viel zu gering.
Wir freuen uns, dass die Deutsche Oracle Anwendergruppe (DOAG) uns als Speaker eingeladen hat und wir auf der DOAG Konferenz 2019 in Nürnberg über dieses wichtige Thema der Informationssicherheit sprechen dürfen. Mit über 2.000 TeilnehmerInnen ist die DOAG Konferenz die führende ORACLE Fachkonferenz, auf der das Thema technischer Sicherheit von Daten(banken) in den letzten Jahren aus genannten Gründen zunehmend an Bedeutung gewonnen hat.
https://secutain.com/wp-content/uploads/2019/08/DOAG-2019-Konferenz-Ausstellung-Banner-800x643-Twitter-Speaker.jpg643800Carsten Gotterthttps://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.pngCarsten Gottert2019-08-07 11:39:432020-02-06 15:13:02Social Engineering: Die unterschätzte Gefahr
… aber um die Wurst soll es hier gar nicht gehen. Sondern um das Ende all Ihrer elektronischen Speichergeräte. Also um Ihren Computer, Laptop, externe Festplatten, Smartphones, USB-Sticks, … und vergessen Sie nicht Ihren Multifunktionsdrucker, Ihren Internetrouter und wahrscheinlich sogar Ihren heimischen TV-Receiver: alles Geräte, die Informationen über Sie speichern, die Sie nicht mit anderen teilen möchten.
Elektronische Geräte gehören natürlich nicht in den Restmüll, sondern werden von uns ordentlich der Wiederverwertung zugeführt. Da sie meist aber nicht defekt sind, sondern gegen modernere Varianten ausgetauscht werden, enden sie häufig nicht auf dem Wertstoffhof, sondern auf einschlägigen Internetplattformen und warten dort auf neue Benutzer.
Kroll Ontrack und die Blancco Technology Group haben für eine Studie 159 Festplatten auf eBay erworben, auch in Deutschland. Erschreckenderweise wurde festgestellt, dass auf 42% Prozent der Geräte noch sensible Daten vorhanden waren. 15 Prozent enthielten sogar personenbezogene Daten wie gescannte Geburtsurkunden, Lebensläufe und Schulnoten. Aber nicht nur private Informationen wurden gefunden, auch mehrere Gigabyte an Firmendaten konnten rekonstruiert werden. Die im Rahmen der Studie kontaktierten Verkäufer gaben an, dass eigentlich keine Daten zurückbleiben sollten, da sie Methoden zur sicheren Datenentsorgung angewandt hatten. Diese Methoden waren aber offensichtlich unzureichend.
Der Anfang vom Ende…
… muss also eine angemessene Löschung oder Vernichtung sein. Dabei gibt es zwei Varianten:
Variante A: Sichere Entsorgung
Suchen Sie sich für diese Variante echte Profis. Achten Sie darauf, dass die Vernichtung gemäß DIN 66399 vorgenommen wird und mindestens der Sicherheitsstufe 3 genügt. Sicherheitsstufe 3 bedeutet, dass die Reproduktion Ihrer Daten mit erheblichem Aufwand verbunden ist. Wenn Sie besonders sensible Daten auf Ihren Datenträgern speichern, wählen Sie besser Sicherheitsstufe 4. Leider hat diese Variante Ihren Preis.
Variante B: Verkauf oder einfache Entsorgung
Wenn Sie das Gerät verkaufen wollen, wägen Sie sorgfältig ab welche Informationen auf dem Gerät gespeichert waren. Im Zweifelsfall ist es vielleicht besser, den PC ohne die Festplatte zu verkaufen und diese zu vernichten. Ansonsten sorgen Sie unbedingt für die sichere Löschung der Speichermedien.
Leider ist das, wie die Studie von Kroll Ontrack und Blancco gezeigt hat, gar nicht so einfach. Insbesondere moderne SSD Speicher auf Flash-Basis (dazu gehören auch USB-Sticks) sind mit älteren Verfahren und mit den Boardmitteln der Betriebssysteme kaum richtig sicher zu löschen. Schauen Sie darum unbedingt auf den Herstellerseiten Ihrer Geräte und Speichermedien nach. Die meisten Hersteller bieten mittlerweile spezielle Tools für die sichere Löschung an und stellen ausführliche Anleitungen zur Verfügung. Als kostenlose Open-Source Lösung für die Löschung von Daten können Sie z.B. auf „Darik’s Boot and Nuke (DBAN)“ (www.dban.org) zurückgreifen.
Planen Sie die einfache Entsorgung über einen Wertstoffhoff oder anderen Sammelbehälter, können Sie einen späteren Zugriff durch Dritte nicht ausschließen und sollten sich auch hier unbedingt um die sichere Löschung kümmern. Wenn Sie die Speichermedien vorher selber zerstören möchten (vielleicht auch weil sie defekt sind und eine sichere Löschung nicht mehr möglich ist) seine Sie unbedingt vorsichtig. Schützen Sie sich z.B. durch Schutzhandschuhe und eine Schutzbrille, viele der verwendeten Materialien splittern bei Gewaltanwendung. Verursachen Sie so viel Schaden wie möglich und führen Sie die Reste der Wiederverwertung zu.
Fragen Sie bei Unklarheiten einen Spezialisten und wenden Sie sich bei allen dienstlichen Geräten vertrauensvoll an Ihre IT! Im Firmenkontext lohnt sich die Anschaffung spezieller Soft- oder sogar Hardware für die Löschung oder ein Vertrag mit einem spezialisierten Entsorger. Der stellt auch entsprechende Behälter für die sichere Zwischenlagerung bis zur nächsten Abholung bereit.
Haben Sie das alles geklärt, können Sie sich ruhigen Gewissens den neuen Geräten widmen.
Ende gut: alles sicher.
https://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.png00Carsten Feldhahnhttps://mlnhwmuyzoec.i.optimole.com/cMlCb_8-Fw07FlQD/w:auto/h:auto/q:auto/https://secutain.com/wp-content/uploads/2020/08/SECUTAIN-Awarenessexperten-white.pngCarsten Feldhahn2019-07-31 12:26:562019-07-31 12:26:56Alles hat ein Ende, nur die…
Sind Best Practices selbstauferlegtes intendiertes Scheitern? Alles eine Frage der Sensibilisierung.
/in Awareness, Datenschutz, Informationssicherheit /von Carsten GottertSensibilisierung — ein bedeutungsvolles Wort für eine im wahrsten Sinne des Wortes bedeutsame Aufgabe. In diesem Blog-Beitrag werden Sie lernen, warum nur tatsächlich sensibilisierte MitarbeiterInnen dazu beitragen können, den Schutzbedarf Ihrer Organisation in Bezug auf Informationssicherheit zu wahren. Hier betrifft es insbesondere jene Risiken, die auf die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten wirken und deren Eintrittswahrscheinlichkeit maßgeblich durch menschliches Handeln Ihrer Belegschaft beeinflusst wird.
“Aber wir haben doch ein Informationssicherheitsmanagementsystem und schulen doch unsere Mitarbeiter regelmäßig. Reicht das nicht?” werden Sie vielleicht denken. Nun, es kommt darauf an, was Ihr ISMS abdeckt und was Ihre Schulung am Ende bewirkt.
Bemühen Sie doch einmal das PONS Wörterbuch. Sie werden sehen, dass das lateinische Wort “sensus” eine Vielzahl von Deutungen zulässt und die alten Römer eine Menge mehr als nur “Wissen” oder “Können” meinten, wenn sie an “sensus” und vielleicht auch Sensibilisierung dachten:
Denn sensus meint auch Dinge wie (Sinnes-)Eindruck, (Sinnes-)Wahrnehmung, Sinnesorgan, Besinnung, Bewusstsein, Verständnis, Urteil(sfähigkeit) und sogar innere Anteilnahme.
Wenn Sie demnach MitarbeiterInnen im wahrsten Sinne des Wortes sensibilisieren möchten, dann müssen Sie es schaffen, deren innere Haltung, Einstellung und Grundhaltung für Ihr Thema in der Art nachhaltig positiv zu beeinflussen, dass die Augen und Ohren sowie die innere Geisteshaltung Ihrer geschulten MitarbeiterInnen geeignet und willens sind, Informationssicherheitsereignisse zu erkennen, bevor diese zu Informationssicherheitsvorfällen werden.
Und genau darum geht es doch eigentlich, oder?
Nun sagen Sie vielleicht: “Papperlapapp — Schulung reicht uns, Augen und Ohren der Organisation brauche ich nicht für mein ISMS. Wir unterweisen und verpflichten alle MitarbeiterInnen auf die bestehenden Maßnahmen und Richtlinien. Und wenn sich alle dran halten, dann sind wir compliant und damit safe. Wer sich nicht dran hält, fliegt raus”.
Kann man machen, ist aber Mist.
Denn Ihr ISMS kann nur jene Maßnahmen“managen”, für die Sie die zugrundeliegenden Risiken erkannt und eingestuft haben. Was aber ist mit den Risiken, von denen Sie nicht mal im Ansatz wissen, dass Sie nicht wissen, dass es sie gibt. Donald Rumsfeld nannte diese (wenn auch in einem anderen unschönen Kontext) die “unknown unknowns”.
Und Ihr ISMS orientiert sich mit Sicherheit an Best-Practices, die Ihren MitarbeiterInnen Leitlinien im (sicheren) Umgang mit (schützenswerten) Informationen liefern. BSI-Grundschutz und ISO27xxx beinhalten solche Best-Practices. Leider sind Best-Practices jedoch immer auch Past-Practices.
Und genau hier drohen zwei latente Gefahren:
Erstens wird Ihr ISMS immer Lücken haben (“unknown unknowns”). Sonst bräuchte es ja im Sinne des PDCA-Zyklus auch keine stete Verbesserung des selbigen.
Und zweitens wird es immer böse Menschen geben, die solche Regelsysteme und deren (Best-)Practices wie ihre Westentasche kennen und damit in der Lage sind, das Radar Ihres ISMS bewusst zu unterfliegen.
In einem sehr interessanten Beitrag von 2013 fasste Ortmann unter dem Titel “Noch nicht / nicht mehr — Zur Temporalform von Paradoxien des Organisierens” diverse Ursachen für das Scheitern von Organisationen zusammen. Eine dieser Formen charakterisierte er als intendiert und selbstauferlegt. In diese Kategorie lassen sich aus Best-Practices einordnen. Organisationen scheitern mit und wegen ihrer sich selbst auferlegten Regelwerke.
Das klingt paradox — und genau darum geht es in Ortmanns Artikel und in diesem Blog-Beitrag. Denn wenn sich eine Organisation Handlungsrichtlinien wie ein ISMS auferlegt, dann Scheitern die Akteure (MitarbeiterInnen) der Organisation (in Bezug auf Informationssicherheit) zum einen dann, wenn die Handlungsrichtlinien keine Orientierung und/oder Anschlussfähigkeit mehr bieten. Sprich: für ein konkret eintretendes “unknown unknown” existiert schlicht keine Regel. Es fehlen Anweisungen, wie man sich nun zu verhalten habe. Dadurch werden Mitarbeiter im konkreten Fall aufgrund ihrer hohen antrainierten Regelaffinität handlungsunfähig. Das ist das Schlimmste, was im Falle akuter Gefährdung Ihrer Informationssicherheit passieren kann.
Und zum anderen können trotz konsequenter und korrekter Anwendung aller Regeln Bedrohungen dann nicht erkannt werden, wenn bspw. Human Hacker die Best Practices Ihres ISMS genau kennen und sich durch vermeintlich regelkonformes Handeln in der Organisation trotz schädlichen Verhaltens nicht zu erkennen geben. Social Engineering öffnet vermeintlich gut verschlossene Türen mit manipulativen Techniken nahezu geräuschlos und Informationssicherheitsvorfälle geschehen unbemerkt.
Hier wird der Bedarf an sensibilisierten MitarbeiterInnen deutlich. Denn in beiden Fällen helfen MitarbeiterInnen nicht, die lediglich geschult, unterwiesen und verpflichtet wurden.
Sie brauchen in beiden Fällen sensibilisierte MitarbeiterInnen. Denn in beiden Fällen braucht Ihre Organisation wachsame Augen und Ohren, die durch innere Anteilnahme intrinsisch motiviert Auffälligkeiten und Anomalien erkennen und kommunizieren. Und Sie brauchen eine Belegschaft, die im Falle von “unknown unknowns” besonnen (das Wort steckt übrigens auch in “sensus”) agiert und sich bei Fehlen konkreter Handlungsanweisungen und Regeln “sinngemäß” (also im Sinne des ISMS und Ihrer Sicherheitspolitik) verhält.
Sensibilisierung ist also etwas anderes als eine Schulung. Das BSI und die ISO27xxx fordern beides. Schulung und Sensibilisierung. Das hat seinen Sinn und ist gut so. Vielleicht wissen BSI und ISO ja auch um diese organisationale Schwachstelle von Best-Practices.
Möchten Sie mehr über unsere didaktischen Konzepte zur nachhaltigen Sensibilisierung von MitarbeiterInnen erfahren? Dann kommen Sie auf uns zu. Wir stellen Ihnen unseren Ansatz gern im persönlichen Gespräch vor.
Social Engineering: Die unterschätzte Gefahr
/in Awareness, News, Veranstaltungen /von Carsten GottertDer Zugriff auf sensible, schützenswerte und für das Unternehmen elementar überlebenswichtige (“intellectual property”) Daten will kontrolliert, gesteuert und geschützt sein, um den Bestand der Unternehmung nicht zu gefährden. Kommerzielle Schäden (Umsatzrückgang aufgrund Vertrauensverlust der Kunden, Strafzahlungen gemäß EU-DSGVO) und Reputationsverlust sind da noch das geringere Übel, wenn solche Daten “abhanden kommen”. Vielmehr kann gezielte Industriespionage die Alleinstellungsmerkmale der Unternehmung zum Ziel haben und damit grundlegend den Fortbestand des Unternehmens gefährden, wenn intellecutal property zum Mitbewerb wandert.
Unternehmen fokussieren daher auf IT-Sicherheit und geben gemäß einer Studie von Statista allein in Deutschland in 2019 voraussichtlich rund 1,4 Milliarden Euro aus.
Das senkt die Wahrscheinlichkeit des technischen Einbruchsversuchs, denn wie im wirklichen Leben auch ziehen Einbrecher lieber weiter zum nächsten Haus, wenn die Eingangstür im Vergleich zum Nachbarhaus gut gesichert ist.
Vergessen wird jedoch gern, dass technische Zugänge ja nicht der einzige Weg sind, auf diese schützenswerten Daten zuzugreifen. Denn wenn Ihr Unternehmen nicht zufälliges und beliebiges Ziel einer Diebesbande ist, sondern Ihre Daten ganz konkretes Ziel geplanter Angriffe sind, weil bspw. Industriespionage im Vordergrund steht, werden Angreifer nicht locker lassen, um an Ihre informationellen Kronjuwelen zu gelangen. Sie werden andere Angriffswege wählen, wenn Hacker technisch nicht weiterkommen und an den technischen Sicherheitsmaßnahmen Ihrer Organisation scheitern.
Angriffssziel werden dann die MitarbeiterInnen Ihrer Organisation, die durch gezielte und geschickte Manipulation dazu bewegt werden, Daten herauszugeben, Credentials preiszugeben oder Angreifern Türen aufzumachen, die durch Technik bisher gut gesichert und verschlossen waren.
Social Engineering und Sabotage sind laut der Allianz für Cybersicherheit des BSI zwei der zehn bedeutsamsten Sicherheitsbedrohungen in 2019. Die Aufmerksamkeit für dieses Thema beim Aufbau eines ganzheitlichen Ansatzes zum Schutze dieser sensiblen Unternehmensdaten ist jedoch aus unserer Erfahrung immer noch viel zu gering.
Wir freuen uns, dass die Deutsche Oracle Anwendergruppe (DOAG) uns als Speaker eingeladen hat und wir auf der DOAG Konferenz 2019 in Nürnberg über dieses wichtige Thema der Informationssicherheit sprechen dürfen. Mit über 2.000 TeilnehmerInnen ist die DOAG Konferenz die führende ORACLE Fachkonferenz, auf der das Thema technischer Sicherheit von Daten(banken) in den letzten Jahren aus genannten Gründen zunehmend an Bedeutung gewonnen hat.
Alles hat ein Ende, nur die…
/in Datenschutz, Informationssicherheit, News /von Carsten Feldhahn… aber um die Wurst soll es hier gar nicht gehen. Sondern um das Ende all Ihrer elektronischen Speichergeräte. Also um Ihren Computer, Laptop, externe Festplatten, Smartphones, USB-Sticks, … und vergessen Sie nicht Ihren Multifunktionsdrucker, Ihren Internetrouter und wahrscheinlich sogar Ihren heimischen TV-Receiver: alles Geräte, die Informationen über Sie speichern, die Sie nicht mit anderen teilen möchten.
Elektronische Geräte gehören natürlich nicht in den Restmüll, sondern werden von uns ordentlich der Wiederverwertung zugeführt. Da sie meist aber nicht defekt sind, sondern gegen modernere Varianten ausgetauscht werden, enden sie häufig nicht auf dem Wertstoffhof, sondern auf einschlägigen Internetplattformen und warten dort auf neue Benutzer.
Kroll Ontrack und die Blancco Technology Group haben für eine Studie 159 Festplatten auf eBay erworben, auch in Deutschland. Erschreckenderweise wurde festgestellt, dass auf 42% Prozent der Geräte noch sensible Daten vorhanden waren. 15 Prozent enthielten sogar personenbezogene Daten wie gescannte Geburtsurkunden, Lebensläufe und Schulnoten. Aber nicht nur private Informationen wurden gefunden, auch mehrere Gigabyte an Firmendaten konnten rekonstruiert werden. Die im Rahmen der Studie kontaktierten Verkäufer gaben an, dass eigentlich keine Daten zurückbleiben sollten, da sie Methoden zur sicheren Datenentsorgung angewandt hatten. Diese Methoden waren aber offensichtlich unzureichend.
Der Anfang vom Ende…
… muss also eine angemessene Löschung oder Vernichtung sein. Dabei gibt es zwei Varianten:
Variante A: Sichere Entsorgung
Suchen Sie sich für diese Variante echte Profis. Achten Sie darauf, dass die Vernichtung gemäß DIN 66399 vorgenommen wird und mindestens der Sicherheitsstufe 3 genügt. Sicherheitsstufe 3 bedeutet, dass die Reproduktion Ihrer Daten mit erheblichem Aufwand verbunden ist. Wenn Sie besonders sensible Daten auf Ihren Datenträgern speichern, wählen Sie besser Sicherheitsstufe 4. Leider hat diese Variante Ihren Preis.
Variante B: Verkauf oder einfache Entsorgung
Wenn Sie das Gerät verkaufen wollen, wägen Sie sorgfältig ab welche Informationen auf dem Gerät gespeichert waren. Im Zweifelsfall ist es vielleicht besser, den PC ohne die Festplatte zu verkaufen und diese zu vernichten. Ansonsten sorgen Sie unbedingt für die sichere Löschung der Speichermedien.
Leider ist das, wie die Studie von Kroll Ontrack und Blancco gezeigt hat, gar nicht so einfach. Insbesondere moderne SSD Speicher auf Flash-Basis (dazu gehören auch USB-Sticks) sind mit älteren Verfahren und mit den Boardmitteln der Betriebssysteme kaum richtig sicher zu löschen. Schauen Sie darum unbedingt auf den Herstellerseiten Ihrer Geräte und Speichermedien nach. Die meisten Hersteller bieten mittlerweile spezielle Tools für die sichere Löschung an und stellen ausführliche Anleitungen zur Verfügung. Als kostenlose Open-Source Lösung für die Löschung von Daten können Sie z.B. auf „Darik’s Boot and Nuke (DBAN)“ (www.dban.org) zurückgreifen.
Planen Sie die einfache Entsorgung über einen Wertstoffhoff oder anderen Sammelbehälter, können Sie einen späteren Zugriff durch Dritte nicht ausschließen und sollten sich auch hier unbedingt um die sichere Löschung kümmern. Wenn Sie die Speichermedien vorher selber zerstören möchten (vielleicht auch weil sie defekt sind und eine sichere Löschung nicht mehr möglich ist) seine Sie unbedingt vorsichtig. Schützen Sie sich z.B. durch Schutzhandschuhe und eine Schutzbrille, viele der verwendeten Materialien splittern bei Gewaltanwendung. Verursachen Sie so viel Schaden wie möglich und führen Sie die Reste der Wiederverwertung zu.
Fragen Sie bei Unklarheiten einen Spezialisten und wenden Sie sich bei allen dienstlichen Geräten vertrauensvoll an Ihre IT! Im Firmenkontext lohnt sich die Anschaffung spezieller Soft- oder sogar Hardware für die Löschung oder ein Vertrag mit einem spezialisierten Entsorger. Der stellt auch entsprechende Behälter für die sichere Zwischenlagerung bis zur nächsten Abholung bereit.
Haben Sie das alles geklärt, können Sie sich ruhigen Gewissens den neuen Geräten widmen.
Ende gut: alles sicher.