|
|
|
|
Erfahrener Benutzer
Status: Offline
Beiträge: 470
Registriert seit: 14.07.2003
Ort: Würzburg D-BY
Alter: 43
|
Sicherheit durch eigene Mitarbeiter bedroht -
29.12.2004, 03:47
Studie: IT-Sicherheit bei Unternehmen durch ahnungslose Mitarbeiter bedroht
Die eigenen Mitarbeiter sind ein großes Risiko für die IT-Sicherheit. Versehentliche Fehler der Angestellten gefährden zunehmend die Informationssicherheit in deutschen Unternehmen. Nur drei von fünf Beschäftigten, so die Einschätzung von IT-Verantwortlichen, wissen, wie sie sicher mit ihren Daten umgehen. (die Welt)
mehr --> http://www.welt.de/data/2004/12/29/380855.html
"Man sagt, dass es nur 1min. braucht, um eine besondere Person zu bemerken!
1h, um sie einzuschätzen,
1Tag, um sie gern oder lieb zu haben,
aber es ein ganzes Leben braucht,
um sie wieder zu vergessen!"
|
|
|
|
|
|
|
|
Super Expert Benutzer
Status: Offline
Beiträge: 5,445
Registriert seit: 09.03.2004
Ort: Raum Zürich
Alter: 32
|
29.12.2004, 08:23
Da muss ich heftig wiedersprechen. Das ist höchstens 1 von 5.
Der PC rechnet mit allem, nur nicht mit seinem Besitzer.
Der beste Weg einen schlechten Vorschlag vom Tisch zu wischen, besteht darin,
einen besseren zu machen.
|
|
|
|
|
|
|
|
Fortgeschrittener Benutzer
Status: Offline
Beiträge: 94
Registriert seit: 28.05.2004
Ort: Zürich
Alter: 28
|
29.12.2004, 08:49
1 von 5? Ich hätte gedacht, es seien mehr.
Ich kenne Unternehmen, die im internationalen Börsenhandel tätig sind. Dort verlassen am Abend die Mitarbeiter die Arbeitsplätze ohne ihre Workstations zu sperren. Die Applikationen, die für den Börsenhandel benötigt werden, sind mit den Passwörtern der Trader freigeschaltet. Da loggt sich niemand aus. Eine fremde Person könnte sich ohne weiteres hinsetzen und mit dem Handel beginnen. Nicht auszudenken, was passieren könnte. Ausserdem lässt sich die Zugangstür zum Handelsraum mit einem simplen Trick öffnen. Habs selber probiert.
In diesem Zusammenhang sei auch das Social Engineering nicht vergessen. Wenn nur 1 Person mitmacht, kann es schon passiert sein.
Wobei ich denke, dass Social Engineers sich gerne Mitarbeiter aussuchen, die mit Computer und der Terminologie der Informatik nicht ganz so vertraut sind. Mitglieder der Geschäftsleitung könnten sich unter Umständen mit Computern ein bisschen besser auskennen, oder sind es gewohnt, aufgrund ihrer Position, alles ein bisschen genauer zu hinterfragen. Lehrlinge, Sekretärinnen, oder einfache Mitarbeiter sind wahrscheinlich eher bevorzugt, da diese eventuell denken, sie seien nicht in der Position, „lästige“ Fragen zu stellen. Ausserdem will man den Arbeitsfluss nicht unterbrechen. Was aber nicht heisst, dass eine höher positionierte Person vor Angriffen geschützt ist.
|
|
|
|
|
|
|
|
Super Profi Benutzer
Status: Offline
Beiträge: 1,161
Registriert seit: 06.06.2004
Ort: Zürich
Alter: 44
|
29.12.2004, 09:22
Da hilft nur Sensibilisierung durch Ausbildung. Richtlinien erstellen und diese durch Firmenkurse vermitteln. Danach kontrollieren ob diese auch greifen.
Grs Jürg
|
|
|
|
|
|
|
|
Moderator
Status: Offline
Beiträge: 1,311
Registriert seit: 27.10.2004
Ort: Gossau SG
Alter: 54
|
29.12.2004, 09:42
Solange nichts passiert, passiert auch bei den Sicherheitsmassnahmen nichts. 
Leider ist die beste Voraussetzung für Sicherheitsmassnahmen ein negativer Vorfall. Plötzlich ist das Verständnis, das Geld und der Wille für ein paar Wochen vorhanden.
@ sidi
Die von dir angesprochene Kontrolle schläft in der Regel sehr schnell wieder ein. Wenn man nicht von "oben" die volle Unterstützung hat übernimmt der alte Trott wieder das Szepter.
Aber vielleicht ist dieses Verhalten einfach menschlich. 
Gruss
Gandalf |
|
|
|
|
|
|
|
Super Profi Benutzer
Status: Offline
Beiträge: 1,161
Registriert seit: 06.06.2004
Ort: Zürich
Alter: 44
|
29.12.2004, 09:52
Da hast Du wohl recht 
Grs Jürg |
|
|
|
|
|
|
|
Fortgeschrittener Benutzer
Status: Offline
Beiträge: 94
Registriert seit: 28.05.2004
Ort: Zürich
Alter: 28
|
29.12.2004, 14:30
Da wir schon beim Thema Sicherheit sind:
Wie vermittelt ihr den Mitarbeitern das Thema Sicherheit? Organisiert ihr Schulungen oder gebt ihr Unterlagen ab? Macht ihr das einmalig oder gibt’s regelmässige Schulungen?
Bei uns gab es eine Schulung. Von Unterlagen ist mir im Moment nichts bekannt.
Wie würdet ihr z.B. die Benutzer in Bezug auf das Thema Social Engineering sensibilisieren?
|
|
|
|
|
|
|
|
Super Profi Benutzer
Status: Offline
Beiträge: 1,810
Registriert seit: 30.07.2003
Ort: Ostschweiz
Alter: 37
|
29.12.2004, 14:48
Gut das du das Thema Social Engineering ansprichst.
Sicherheit fängt nicht bei den Benutzern vor dem Bildschirm an, sondern Sicherheit beginnt beim Managment.
Wie oft hab ich schon gehört: "Wir besitzen ja eine Firewall"
Ein Sicherheitskonzept muss global erstellt werden. Es bringt nichts, wenn die Benutzer ihre Bildschirme sperren und dafür die Akten auf dem Tisch liegen lassen!
Ich wehre mich wehement dagegen das Thema Sicherheit nur auf die IT zu beschränken. Wenn alles andere drumherum vergessen wird, nützen die besten Unterlagen und Schulungen nichts!
Cello
"Wenn sie das haben wollen, müssen sie bezahlen. Wenn sie es nicht haben wollen, bekommen sie es umsonst" - Harald Naegeli (Sprayer von Zürich)
|
|
|
|
|
|
|
|
Fortgeschrittener Benutzer
Status: Offline
Beiträge: 94
Registriert seit: 28.05.2004
Ort: Zürich
Alter: 28
|
29.12.2004, 14:55
Arbeite zwar noch nicht lange in der IT, sehe das aber ganz genauso.
|
|
|
|
|
|
|
|
Moderator
Status: Offline
Beiträge: 1,311
Registriert seit: 27.10.2004
Ort: Gossau SG
Alter: 54
|
29.12.2004, 15:31
Sicherheit kostet Geld und bringt meistens keine Einnahmen. So einfach ist die Entscheidungsfindung.
Denkblase auf* Manchmal erzählen komische Typen von Gesetzen, Vorschriften oder Verantwortung. Da kann man sich fragen wo man das verbuchen soll. *Denkblase zu
Gruss
Gandalf |
|
|
|
|
|
|
|
Profi Benutzer
Status: Offline
Beiträge: 585
Registriert seit: 10.07.2003
|
30.12.2004, 08:31
Wir haben Vorschriften, keine Schulungen - und wie die teilweise eingehalten werden - nun ja ...
|
|
|
|
|
|
|
|
Super Expert Benutzer
Status: Offline
Beiträge: 5,445
Registriert seit: 09.03.2004
Ort: Raum Zürich
Alter: 32
|
30.12.2004, 10:08
Zitat:
Original geschrieben von Gandalf
Sicherheit kostet Geld und bringt meistens keine Einnahmen. So einfach ist die Entscheidungsfindung.
Denkblase auf* Manchmal erzählen komische Typen von Gesetzen, Vorschriften oder Verantwortung. Da kann man sich fragen wo man das verbuchen soll. *Denkblase zu
Gruss
Gandalf
|
Und wieviel Geld kostet ein Ausfall? Ich möchte mal das Gesicht eines Managers sehen, wenn man ihm vorrechnet, was ein Tag Arbeitsausfall kostet. *smile*
Zitat:
Original geschrieben von Cello
Gut das du das Thema Social Engineering ansprichst.
Sicherheit fängt nicht bei den Benutzern vor dem Bildschirm an, sondern Sicherheit beginnt beim Managment.
Wie oft hab ich schon gehört: "Wir besitzen ja eine Firewall"
Ein Sicherheitskonzept muss global erstellt werden. Es bringt nichts, wenn die Benutzer ihre Bildschirme sperren und dafür die Akten auf dem Tisch liegen lassen!
Ich wehre mich wehement dagegen das Thema Sicherheit nur auf die IT zu beschränken. Wenn alles andere drumherum vergessen wird, nützen die besten Unterlagen und Schulungen nichts!
Cello
|
Wenn nur alle so eine Einstellung hätten. Besonders für Führungsetage.
Bsp: Unser Generalsekretariat, zu dem wir auch irgendwie dazugehören, hat vom letzten Generalsekretär die Philosophie der "offenen Türe" aufgebrummt bekommen. Tja, die Mitarbeiter haben aber ihre Türen auch über Mittag "offen" gehabt. Das sind Anwälte, etc. Da liegen Dokumente stapelweise auf den Tischen herum. Offenbar zur freien Verfügung. Bei uns in der IT sind jedoch immer alle Türen zu und geschlossen, auch wenn ich nur kurz ins Nachbarbüro gehe.
Der PC rechnet mit allem, nur nicht mit seinem Besitzer.
Der beste Weg einen schlechten Vorschlag vom Tisch zu wischen, besteht darin,
einen besseren zu machen.
|
|
|
|
| |
