Risikobewusstsein schärfen und belohnen
Der menschliche Faktor in der IT-Sicherheit

Hannover, 24. März 2010 - Internet-Betrüger nutzen heute nicht mehr technische Angriffswege allein. Sie spionieren Anwender aus oder manipulieren sie. Damit Mitarbeiter sicherheitsbewusst mit Computer und Internet umgehen, sollten Vorgesetzte nicht nur auf technische Aufklärung setzen, sondern auch besondere Verhaltensweisen einüben. Das schreibt das IT-Profimagazin iX in seiner aktuellen April-Ausgabe.

Bewährte menschliche Verhaltensweisen zur Risikovermeidung funktionieren nicht in der Informationstechnik. Im Gegenteil: Oft verstärken sie sogar die Gefahren. So hilft automatische Musterergänzung im richtigen Leben bei der Alltagsbewältigung. Nicht aber in der virtuellen Welt. Schiebt etwa ein Internet-Betrüger einem Surfer die URL www.deutsche-bonk.de unter, sieht dieser mit großer Wahrscheinlichkeit das Wort "Bank", weil das Gehirn Bekanntes wieder schnell zugänglich machen will.

Andere seit Urzeiten eingeübte Eigenschaften des Menschen verleiten ihn dazu, sich in unbekannten Umgebungen am Verhalten der Mehrheit zu orientieren, generell einmal eingeschlagene Wege beizubehalten, sympathischen Menschen zu trauen, Autoritäten zu gehorchen, moralischen Grundsätzen zu folgen oder bei Zeitknappheit Regeln zu missachten. Die aus Hilfsbereitschaft gegebene Information, dass ein bestimmter Mitarbeiter Urlaub hat, kann für einen Angreifer ein wertvoller Hinweis sein. Er kann diesen nutzen, um einem weiteren Kollegen das Passwort des Urlaubers zu entlocken und sich so Zugang zu sensiblen Daten verschaffen.

Gegen dieses "Social Engineering" hilft keine IT-gestützte Technik, sondern nur Vorsicht und sicherheitsbewusstes Verhalten der potenziellen Zielpersonen. "Wichtig ist dabei, bei dem Anwender das Gefühl zu erzeugen, für Aspekte des Datenschutzes und der Informationssicherheit verantwortlich zu sein", erklärt iX-Redakteurin Ute Roos. "Darüber hinaus sollte der Mitarbeiter für den richtigen Umgang mit Computer und Netz positive Rückkopplung erhalten. Auch wenn das Risiko, das er vermindern soll, für ihn abstrakt bleibt. Denn moderne Malware schädigt ja meist nicht ihn direkt, sondern arbeitet heimlich im Hintergrund."