Anwendern darf nicht zu viel Verantwortung für Cybersicherheit abverlangt werden

illu cc0 pixabay kreuzDie aktuellen Cyber-Angriffe auf Krankenhäuser haben gezeigt: Anwendern darf nicht zu viel Verantwortung für Cybersicherheit zugemutet werden. Vielmehr muss eine Sicherheitsphilosophie User präventiv vor Fehlverhalten schützen.

Im Neusser Lukaskrankenhaus hat ein Mitarbeiter vermutlich einen verseuchten E-Mail-Anhang geöffnet und damit eine Lawine ins Rollen gebracht: massive Störungen waren die Folge, sogar Operationen mussten verschoben werden. Solch groteske Missverhältnisse zwischen Aktion und deren Auswirkung sind geradezu Alltag, weil Hacker über diesen Weg versuchen, Viren in Unternehmensnetze einzuschleusen. »Die Schuld den Anwendern allein anzulasten, die im hektischen Alltagsbetrieb – zumal im Krankenhaus – auf einen Anhang klicken, ist realitätsfern«, stellt Kai Grunwitz, Senior Vice President von NTT Com Security in Ismaning bei München, klar.

Solche Fälle werfen nach Ansicht von NTT Com Security grundsätzliche Fragen im Umgang mit sicherheitsrelevanten IT-Strukturen auf. Immer wieder fordern Unternehmen die Bewusstseinsschärfung von Anwendern für sicherheitsrelevante Vorgänge, etwa durch intensive Schulungen. »So wichtig die Schaffung einer Sicherheits-Awareness ist: nicht der einzelne Nutzer darf in die Pflicht genommen werden, vielmehr müssen Unternehmen in ihren Sicherheitskonzepten dafür Sorge tragen, dass das Risiko eines erfolgreichen Angriffs so gering wie möglich ist«, so Grunwitz. »Der User hat schließlich völlig andere Aufgaben, als sich ständig um die Sicherheit der IT zu kümmern. Alle Ermahnungen und Schulungen werden nicht verhindern können, dass auch in Zukunft irgendein Nutzer versehentlich eine Datei oder Mail öffnet, die er besser gelöscht hätte.«

Wir brauchen eine neue Sicherheitsphilosophie

NTT Com Security ist der Ansicht, dass die Verantwortung für die IT-Sicherheit nicht beim schwächsten Glied abgeladen werden darf. »Die Täter, die hinter solchen Angriffen stehen, sind in der Regel technisch versierte, hochgerüstete, weltweit organisierte Kriminelle; in dieser asymmetrischen Situation wird der einzelne Nutzer früher oder später immer den Kürzeren ziehen«, ergänzt Grunwitz.

In der derzeit verbreiteten Sicherheitsphilosophie spielt der Nutzer jedoch eine zentrale Rolle: Er darf dies nicht anklicken und jenes nicht öffnen, muss möglichst komplizierte Passwörter regelmäßig wechseln und seinen Browser updaten. Wenn er an einer Stelle etwas vergisst oder übersieht, teilen ihm IT und Sicherheitsexperten lakonisch mit, er sei »selber schuld« – dabei hatte man ihm doch vorher ein ganz einfaches, barrierefreies Web-Erlebnis versprochen.

»Der aktuelle Fall in Neuss unterstreicht, dass wir eine neue Sicherheitsphilosophie für die IT brauchen«, meint daher Kai Grunwitz. »Wir müssen die Nutzer besser schützen und dürfen nicht erwarten, dass wir unsere Systeme durch bessere Nutzer schützen können. Konkret: Ein E-Mail-Anhang, der sich derart verheerend auswirkt, sollte im Idealfall gar nicht bis zum Nutzer gelangen. Eine zeitgemäße Sicherheitsphilosophie muss auch ein gewisses sorgloses Verhalten einzelner Nutzer einkalkulieren. An einem hektischen Tag im Krankenhausbetrieb kann es schnell passieren, dass versehentlich auf einen verhängnisvollen Link geklickt oder ein kritischer Anhang geöffnet wird. Allerdings wird man solche infizierten Mails nie 100 % verhindern können. Deshalb sind neben der Schulung der Anwender, den richtigen Maßnahmen für Erkennung und Abwehr auch gezielte Prozesse und Maßnahmen im Umgang mit Incidents essentiell.«


 

Gefahr im Inneren: mehrschichtige Cybersicherheitsansätze

 

https://ap-verlag.de/wirtschaft-technologie-und-rechtsprechung-ausblick-auf-die-cybersicherheit-2016/16713/