Hacker wie der Wolf bekommen das, was sie wollen, indem sie Schwachstellen aufspüren und ausnutzen. Und dabei sind es nie die technischen Schwachstellen, die wirklich zählen. Menschliche Fehler, Irrtümer oder auch Versäumnisse spielen eine große Rolle: Ob es nun ein PC ist, der im leeren Büro umgeschützt läuft, ob es sensible Dokumente sind, die im Druckerschacht liegen bleiben, oder ob es jemand ist, der in einer verdächtigen E-Mail einen mit Malware infizierten „Gutschein“ öffnet - jedes einzelne dieser Versäumnisse kann dem Angreifer ein gesamtes Netzwerk öffnen.
Sehen wir den Tatsachen ins Auge: Nicht alle Mitarbeiter gehen mit Sicherheitsfragen verantwortungsvoll um. Manche setzen sich über Richtlinien hinweg, andere missachten gute Ratschläge, wieder andere nutzen das gleiche simple Passwort für Unternehmens- und persönliche Nutzerkonten. Dann gibt es noch Mitarbeiter, die ihre Benutzernamen und Passwörter in einem Notizbuch notieren, das sie auf dem Schreibtisch liegen lassen. Und es gibt welche, die einen USB-Stick auf dem Firmenparkplatz finden und sofort neugierig an ihren PC anstöpseln. An einer US-Universität ließen Forscher 300 USB-Sticks an sechs Stellen auf dem Campus liegen; mehr als 45 Prozent davon wurden von den Personen, die sie fanden, in den Computer gesteckt. Offenbar kennt nicht jeder die damit verbundenen Risiken.
Das ist ein ernstes Problem für Unternehmen. Laut der Cost of Data Breach Study für 2016, die das Ponemon Institute veröffentlichte, wurden von 874 Sicherheitsvorfällen 568 durch Unachtsamkeit von Mitarbeitern oder Dienstleistern verursacht, 191 durch Kriminelle oder Mitarbeiter, die dem Unternehmen schaden wollten. Laut Action Fraud aus Großbritannien nehmen Bedrohungen durch Insider ebenfalls zu: Im Zeitraum 2015-2016 wurden 1.440 Fälle registriert.
Nicht nur Einzelpersonen machen Fehler, sondern auch Unternehmen. Das Unternehmen im Film „Die Jagd geht weiter“ erleidet eine sehr ernsthafte Datensicherheitsverletzung, da nur eine Person berechtigt ist, die Systeme herunterzufahren und so vor Angriffen zu schützen. Nachdem diese Person außer Gefecht gesetzt ist, kann niemand mehr den Wolf aufhalten; im Unternehmen herrscht Panik, und es gibt keinerlei Möglichkeit mehr, den Angriff zu parieren.
Eine energischere Verteidigung
Fehler durch Mitarbeiter und Bedrohungen durch böswillige Mitarbeiter oder ehemalige Mitarbeiter auszuschließen, ist eine große Herausforderung. Klar formulierte Policies und Richtlinien sind eine hilfreiche Maßnahme, eine weitere sind geeignete Schulungen zu Cybersicherheit, zu sicheren Arbeitspraktiken und zu den potenziellen Folgen einer Datensicherheitsverletzung. Außerdem sollten Unternehmen ihre Policies und Praktiken zur IT und den Daten überdenken und - falls erforderlich - neu definieren. Schließlich wird im nächsten Jahr die Datenschutz-Grundverordnung (GDPR) der EU eingeführt, die für Unternehmen neue Regulierungen und Verpflichtungen bringt sowie empfindliche Strafen im Fall der Nichteinhaltung und von Datensicherheitsverletzungen. Die Strafen können bis zu 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes erreichen.
Auch hier kann die Technik eine wichtige Rolle spielen, indem sie eine zweite Verteidigungslinie schafft. Diese kann immer noch verhindern, dass Hacker einen Fuß in die Tür bekommen, selbst wenn Sicherheitsrichtlinien missachtet oder sichere Arbeitspraktiken nicht eingehalten wurden. Mit seinen Innovationen bei der PC-, Drucker- und Gerätesicherheit stellt HP Unternehmen Produkte zur Verfügung, die Hackern widerstehen und Sicherheitsrichtlinien durchsetzen helfen, die die Systeme und Daten absichern. Wie? Das zeigen wir anhand der häufigsten Fehler, die die Sicherheit gefährden.
Das Problem: Ein unbeaufsichtigter PC in einem offen zugänglichen Büro
Die Lösung: Fingerprint- oder Gesichtserkennung zur Authentisierung durch Windows Hello stellen sicher, dass nur berechtigte Nutzer auf den PC und seine Daten zugreifen können. HP Client Security Suite Gen3 sorgt für Multifaktor-Authentisierung und zuverlässiges Passwort-Management. HP WorkWise basiert auf einer Desktop-Software und einer Smartphone-App. So wird der PC automatisch gesperrt, wenn der Nutzer nicht am Arbeitsplatz ist, und wieder entsperrt, sobald der Nutzer zurück kommt. Außerdem wird der Nutzer über das Smartphone alarmiert, falls jemand in seiner Abwesenheit versucht, sich am PC anzumelden oder sich daran zu schaffen macht.
Das Problem: Ein Mitarbeiter findet einen USB-Stick auf dem Parkplatz und steckt ihn an seinen PC an. Der Stick enthält Malware, die die Firmware des PCs angreift.
Die Lösung: Selbst wenn es der Malware gelingt, den Antivirenschutz zu umgehen und das BIOS zu befallen, wird sie durch die Laufzeit-Eindringungserkennung von HP sowie durch HP SureStart aufgehalten. Die Laufzeit-Eindringungserkennung überprüft laufend den Arbeitsspeicher des PCs auf Anzeichen von Eindringversuchen und startet den PC neu, um zu verhindern, dass Malware ausgeführt wird. SureStart überwacht das BIOS und stellt automatisch die letzte als sicher bekannte Version des BIOS sowie alle Konfigurationseinstellungen wieder her, wenn ein Angriff erkannt wird. So ist der PC nach dem Angriff umgehend wieder einsatzbereit.
Das Problem: Ein Mitarbeiter erhält eine Phishing-Mail mit einem Link auf Fotos. Der Link für zu einer Website, über die ein Script Ransomware auf dem PC installiert und die auf dem PC gespeicherten Dateien verschlüsselt.
Die Lösung: Der Klick auf den Link und das Öffnen der Website lösen HP Sure Click aus, das eine von der Hardware isolierte und virtualisierte Browser-Sitzung erzeugt, aus der heraus die Malware nicht aktiv werden kann. Die Malware ist nicht in der Lage, weitere Browser-Tabs oder das System selbst zu infizieren - sie prallt gleichsam ab, ohne Schaden anrichten zu können.
Das Problem: Ein Mitarbeiter öffnet und bearbeitet sensible Dokumente zu zukünftigen Projekten, während er im Zug sitzt. Er bemerkt nicht, dass ein Mitreisender ihm seitlich über die Schulter blickt und sich Notizen macht.
Die Lösung: HP SureView sorgt für elektronischen Datenschutz, sodass nur die Person, die direkt vor dem Bildschirm sitzt, die Bildschirminhalte erkennen kann. Der Schutz lässt sich mit einer Tastenkombination einschalten - der Nutzer kann dann wie gewohnt weiterarbeiten, neugierige Nachbarn und potenzielle Cyberkriminelle haben das Nachsehen.
Das Problem: Ein Mitarbeiter erhält eine E-Mail mit einem Dateianhang, der einen ausdruckbaren Gutschein enthält. Tatsächlich befindet sich im Dokument Drucker-Malware, die die Firmware durch eine gehackte Version ersetzt, die dem Hacker Zugang zum Unternehmensnetzwerk eröffnet.
Die Lösung: Das BIOS-Whitelisting von HP sorgt dafür, dass nur auf einer Positivliste verzeichnete und als sicher bekannte Firmware-Versionen ausgeführt werden dürfen. Kann eine neue Firmware nicht anhand der Liste als gültig verifiziert werden, startet das Gerät automatisch neu. HP SureStart schützt außerdem das BIOS vor Manipulation und stellt bei Manipulationsversuchen eine frühere „goldene“ Version wieder her, sodass der Drucker weiterarbeiten kann.
Das Problem: Ein Mitarbeiter lässt sensible Dokumente im Drucker liegen, wo ein Kollege sie mitnehmen und einem feindseligen Akteur geben kann.
Die Lösung: Pull-Printing-Dienste stellen sicher, dass Druckaufträge erst dann ausgeführt werden, sobald sich die autorisierte Person am Drucker befindet. Erst wenn sie sich per PIN-Code, mithilfe eines Tokens oder eines verknüpften Smartphones ausweist, wird das Dokument ausgegeben.
Eine neue Perspektive
Mit unternehmensinternen Prozessen und Richtlinien ist es keine einfache Sache. Wie kann ein Unternehmen darauf vertrauen, dass es die richtige Sicherheitsstrategie hat; dass robuste Maßnahmen keine potenzielle Schwachstellen enthalten; dass Sicherheit und Datenschutz integraler Bestandteil ihrer Systeme sind und künftigen Compliance-Regelungen entsprechen?
Die Vorbereitungen auf die Datenschutz-Grundverordnung der EU und für Datensicherheitszulassungen wie ISO 270001 tragen dazu bei - ebenso die Einhaltung von nationalen Richtlinien wie den vom britischen National Cyber Security Centre erarbeiteten zehn Schritten. Für viele mittlere und große Unternehmen ist aber eine zweite, objektive Perspektive unerlässlich. Die HP Enterprise Security Services bieten genau das: einen Risiko-orientierten Ansatz für die IT-Sicherheit, mit dem untersucht wird, wie die Sicherheitsstrategie in Einklang steht mit den geschäftlichen Zielen, wie neue Strategien und Technologien das Unternehmen schützen und Lücken schließen können und wie das Unternehmen seine Infrastruktur so anpasst, dass es agiler wird und schnell auf Probleme oder Datensicherheitsverletzungen reagieren kann.
Es ist unmöglich, jede Schwachstelle auszuschließen, die durch den Faktor Mensch verursacht wird. Aber mithilfe der richtigen Technologie und Strategie kann Ihr Unternehmen die potenziellen Auswirkungen verringern und seine Risiken minimieren.
Drucker – das unterschätzte Sicherheitsrisiko
Drucker im Unternehmen: Offen wie ein Scheunentor
Aus der Praxis: Wie man einen Multifunktionsdrucker absichert
Sicher Drucken: organisatorische Maßnahmen gegen Datenverluste