Der (Un)Sicherheit Faktor Mensch

Transkript

1 Platzhalter für Logo KECoS Kompetenzzentrum Bamberg, Der (Un)Sicherheit Faktor Mensch Dipl.-Ing.(FH) Stephan Rogge, KECoS gefördert durch das 1

2 Die Ängste sind da. Wie würden Sie folgende Statements zum Thema Internet / E-Business aus der Sicht Ihres Unternehmens beurteilen? (Einfachwahl je Möglichkeit) Ungeklärte rechtliche Aspekte, z. B. Haftung, Copyright Kosten-/Nutzenfaktor nicht zu beziffern oder in keinerlei Verhältnis zueinander Beweisbarkeit von Online-Transaktionen (noch) nicht gewährleistet zu viele technische Standards Fehlen von Mitarbeitern mit entsprechenden Realisierungskenntnissen keine Sicherstellung vertraulicher Kommunikation (Datenschutz) Anpassung betriebl. Abläufe zu aufwendig keine sichere Zahlung über das Internet möglich zu schneller technischer Wandel lfd. Aktualisierung einer Homepage zu teuer mangelnde Kompatibilität von Hard- und Software schlechte Übertragbarkeit des Unternehmens in das Internet Leitungskosten zu hoch Providerkosten zu hoch geringe Akzeptanz beim Kunden/Lieferanten Einrichtung einer Homepage zu teuer trifft voll zu trifft zu trifft teilw. zu trifft nicht zu 0% 20% 40% 60% 80% Quelle: KECoS-Unternehmensbefragung; Sommer 2002, n=320

3 Die Ängste sind berechtigt. Quelle: Bundeskriminalamt 2003, 3

4 Kredit- und Geldkartenbetrug als Spitzenreiter, Sabotage als Shooting Star. Quelle: Bundeskriminalamt 2003, Computerbetrug geht zurück, Spionage geht zurück aber mit geringerer Aufklärungsquote Betrüger werden geschickter Sabotage steigt an, mit geringerer Aufklärungsquote 4

5 Der Mittelstand reagiert bereits. Virenscanner "Es gibt da einen Irrglauben, dass Technologie auf irgendeine magische Weise das Sicherheitsproblem lösen kann. Es gibt auch keine technische Lösung für Mord und Raub". (Bruce Schneier) Firewall Datenverschlüsselung Digitale Signatur andere Maßnahmen keine Maßnahmen ist es damit getan? 5

6 Gefahrenquelle Mensch. Irrtum/Nachlässigkeit eigener Mitarbeiter Unbeabsichtigte Fehler von Externen Manipulation zur Bereicherung Unbefugte Kenntnisnahme, Spionage Sabotage Hacking (Vandalismus, Missbrauch,..) Malware (Viren/Würmer/Trojaner) Hardware-Defekte Softwarefehler Dokumentationsmängel Feuer, Wasser etc. Tatsächliche mittlere bis größere Beeinträchtigungen in den letzten 2 Jahren. 260 Teilnehmer. Angaben in Prozent (Mehrfachnennungen möglich). Quelle: KES/UTIMACO-Sicherheitsstudie 2002 sonstige vom vom Menschen Menschen direkt direkt verursachte verursachte Gefahren Gefahren höhere höhere Gewalt Gewalt Technik Technik Prozent Viren Viren 6

7 Eingesetztes Sicherheitspersonal. 7

8 Vorwürfe Menschen verstehen Computer nicht Menschen glauben, Computer haben immer recht Menschen wollen ihre Arbeit erledigen Menschen wollen helfen Menschen schätzen Risiken nicht objektive ein 8

9 Unsicherheitsfaktor Mensch und die digitalen Welt KECoS Informationen in die digitale Welt zu überführen ist schwierig Informationen in der digitale Welt zuhalten ist sehr schwierig Beispiel Papierloses Büro : Meist werden die Dokumente ausgedruckt und einfach weggeworfen. So braucht der Angreifer nicht in die digitale Welt einbrechen, sondern einfach nur in Müll zu suchen. 9

10 Risikobewertung 1/2 Mensch können Risiken nicht neutral einschätzen. bei gewohnten Abläufen werden Risiken oftmals unterschätzt Beispiel Ich habe noch nie einen Virus bekommen Wenn ich ein Virus bekommen, dann ist der ehe noch nicht bekannt und meine Antivirensoftware erkennt ihn nicht 10

11 Risikobewertung 2/2 bei neuen Abläufen werden Risiken oftmals überschätzt Beispiel Die erste Eisenbahn Das stählender Monster Beispiel Autopilot für das Auto der Zukunft Ich will in Notfall selbst reagieren können Quelle:dpa 11

12 Beispiel Münzwurf Einschätzung: Münze ist fair (50/50 Kopf oder Zahl) Wahrscheinlichkeit, dass die Münze fair ist, ist sicher. Experiment 1. Durchlauf: Aus 100 Würfe gewinnt 65 mal Kopf 2. Durchlauf: Aus Würfe gewinnt mal Kopf Ergebnis: Die Münze wird eher Kopf gewinnen lassen. Die Münze ist unfair, trotz allgemeiner Erfahrungen Wahrscheinlichkeit und Risiko sind verknüpft. Sicherheit hat etwas mit Wahrscheinlichkeit zutun. 12

13 Ausnahmen Menschen wissen nicht wie Sie in Ausnahmesituationen reagieren sollen Beispiel Abfangen von Online Banking 13

14 Menschen gewöhnen sich an Ausnahmesituationen Beispiel Fehlalarme bei Alarmanlagen Beispiel Denial-of-Service Attacke gegen eine Firewall 14

15 Interaktion Mensch-Computer 1/2 Umgang mit der Technik Alles Neue ist lästig Beispiel trainieren einer Personal-Firewall Beispiel alle drei Monate ein Passwort lernen/ausdenken Beispiel Gelbe Zettel Syndrom Sicherheit wird verlangt, aber man möchte nichts damit zutun haben Beispiel Antivirenprogramm, die Joke-Programme filtern 15

16 Interaktion Mensch-Computer 2/2 Vertrauen in die Technik Niemand weiß was ein Computer jetzt gerade tut Beispiel SSL-Verbindungen Es wird zwar auf das Verschlüsslungssymbol beachtet, aber das Zertifikat des Servers wird nicht angeschaut Beispiel Cookies Cookies können keine Kreditkartennummer stehlen Beispiel Plugins für Webbrowser 16

17 Böswilliger Insider Entstehen durch Langeweile, Frustration, Mobbing... Sie sind gefährlich, weil Sie die Abläufe kennen... Schwächen wissen... Schwächen und Hintertüren platzieren können... Risiken der Aufdeckung einschätzen können 17

18 Social Engineering Informationen über Personen sammeln, um Angriffspunkte zu finden Beispiel Telefonzentral Aushorchen, ob die Zielperson vielleicht im Urlaub ist Beispiel mittels Webpage Login und Passwörter sammeln Beispiel Notsituationen, wie Zeitdruck (etwas muss fertig werden) Beispiel Cookies Cookies können z.b. dazu dienen nachzuvollziehen welche Web-Page ein Benutzer besucht hat. 18

19 Fazit Ein Netzwerk ohne Benutzer ist sicher, aber nutzlos Menschen müssen sensibilisiert werden im Umgang mit dem digitalen Medium Ausnahmesituation müssen trainiert werden, damit in Ernstfall schnell eine Reaktion folgen kann Verbote müssen erklärt werden Der Sicherheitsfaktor Mensch in der Rolle als Prüfer, Gutachter und als Kontrollmechanismus 19