Low Tech – die Antwort auf die meisten Securitybedrohungen

Inspiriert durch einen IT-Security Fachkollegen aus Linz habe ich mich mit der Frage um „Low Tech“ beschäftigt und kann bestätigen, dass dies wahrscheinlich die wichtigste Antwort auf die aktuellen Securitybedrohungen wie Ransomware, CEO-Fraud, Virenausbruch und Social-Hacks ist.

Gerade eben hat die Europol den IOCTA 2016 Internet Organised Crime Threat Assessment Bericht veröffentlicht, der sich den drei Kernthemen Cyber Attacken, Online Kinderpornographie und Betrug um Zahlungsverkehr widmet. Der Report ist öffentlich, siehe Link.

Besonders eine Erkenntnis der 72-seitigen Veröffentlichung möchte ich zitieren:

It should be noted that the majority of reported attacks are neither sophisticated nor advanced. While it is true that in some areas cybercriminals demonstrate a high degree of sophistication in the tools, tactics and processes they employ, many forms of attack work because of a lack of digital hygiene, a lack of security by design and a lack of user awareness.

Da ich meinen Blog ausschließlich auf Deutsch schreibe versuche ich mich mal als Babelfisch:

Es soll besonders erwähnt werden, dass die Mehrzahl der berichteten Attacken weder anspruchsvoll noch fortgeschritten sind. Obwohl es richtig ist, dass in einigen Gebieten Cyberkriminelle ein hohes Maß an Raffinesse in ihren Tools, der Taktik und den Prozessen einsetzen, funktionieren viele Formen der Attacken nur wegen der Mangelhaften digitalen Hygiene, fehlende Security im Design und fehlendes Benutzer [Anm.: Sicherheits-] Bewusstsein.

Wofür steht LOW TECH?

High Tech Glasfaser Network vs. Low Tech Security
High Tech Glasfaser Network vs. Low Tech Security

Der Begriff Low Tech ist das exakte Gegenteil von High Tech, also Technik die einfach in der Herstellung und einfach in der Bedienung ist und gleichzeitig hohe Robustheit sowie einfachste Wartbarkeit auszeichnet. Wer erkennt seine eigene IT in diesem Begriff?

Gemünzt auf die komplexen IT-Infrastrukturen mit diversen Datenschnittstellen und Benutzern die keine Ahnung mehr haben (können) wie und wo Daten verarbeitet werden.

Bei jeder Securitymaßnahme beachte bitte, dass diese effektiv schützen soll und nicht behindern darf. Gerne verwende ich hierzu als Beispiel den Airbag im Auto.

Die Wiedereinführung von Low Tech ist in mehreren Schritten realisierbar:

Technische Möglichkeiten

  1. Deinstallation von Software und Hardware die die Benutzer nicht benötigen. Je weniger verschiedene Software ein Benutzer lernen muss, desto sicherer wird er mit der Nutzung der wichtigen Anwendungen. Gleichzeitig sinkt das Risiko dramatisch, dass Sicherheitslücken auf Systemen ausgenutzt werden, da im Netzwerk weniger Software installiert und gepflegt werden muss.
  2. Automatische Softwareupdate – aber nicht zu jedem Preis! Immer häufiger werden automatische Updates von Betriebssystem und Anwendungen. Aus Sicherheitssicht ein absolutes Muß. Aber speziell nagelneue Major-Versionen haben viele neue Fehler und überfordern die Mitarbeiter. Ggfls. kann hier die eine oder andere Version übersprungen werden, sofern die Vorgängerversion weiterhin mit Sicherheitsupdates versorgt wird.
  3. Verzichte auf manuellen Sicherheitsvorkehrungen die der Benutzer selbst auswählen oder bestätigen muss. Nicht der Benutzer soll einen sicheren Tunnel aufbauen, einzelne Emails verschlüsseln oder sich alle firmenweiten Sicherheitsrichtlinien merken müssen. Viele der Vorgaben können automatisch vom Netzwerk übernommen werden oder in den Sicherheitsmerkmalen der Endgeräte konfiguriert werden.
    • Als Beispiel möchte ich das Verbot des Internetsurfens auf Firmengeräten von öffentlichen WLAN-Knoten nennen. In vielen Unternehmen ist dies verboten. Einfach für den Benutzer wird es aber, wenn das Firmennotebook automatisch ein VPN zum Firmen-Webproxy aufbaut und so der Mitarbeiter auch im Hotel-WLAN sicher surfen kann.
    • Die große Gefahr von mit Viren/Trojanern verseuchten USB-Sticks kann auch per unternehmensweiter Plug&Play-Richtlinie gebannt werden.
  4. Eliminierung von Passworten wo immer möglich! Zugang zu Systemen und Daten die nur durch Benutzername und Passwort geschützt sind bieten einfache Angriffsziele. Des Weiteren sind Benutzer überfordert mit der steigenden Anzahl an weiteren Zugangsdaten für Online-Anwendungen. Prüfe stattdessen die Nutzung von Single Sign-on Methoden oder Zertifikatsanmeldung oder die transparente Benutzeridentifizierung über seine Windows-Anmeldung. Sofern das nicht möglich ist, kannst du zumindest eine Passwort-Safe-Software als Unterstützung für die vielen Zugangsdaten einführen.
  5. Security by Design: Wenn Anwendungen selbst entwickelt und in Betrieb genommen werden, egal ob am Firmenserver, in der Cloud oder eine Online-Anwendung am Webserver muss die IT-Sicherheit bereits im Design berücksichtigt werden. Schalte IT-Sicherheits-Experten ein! Lass dich während des gesamten Projektes beraten und prüfe die Installation vor der Inbetriebnahme durch einen Security-Audit. Die monetären Aufwendungen von wenigen Hundert bis Tausend Euro sind ein Bruchteil der Folgekosten im Falle eines erfolgreichen Hackerangriffes mit hohem Datenverlust.

Verbesserung der Organisation und der Prozesse

  1. Schaffe klare Verantwortlichkeiten. In jedem Unternehmen gibt es zahlreiche verantwortliche Ansprechpartner für die vielen möglichen Fragen inklusive der Ansprechpartner für IT-Sicherheit oder Datenschutzfragen. Vielen Kollegen sind diese Ansprechpartner aber nicht bekannt, oder es ist ihnen unangenehm Fragen zu stellen. Entweder es gelingt die wichtigen Ansprechpartner den internen Kollegen gut zugänglich zu machen (Telefonlisten, Intranet, Online-Kontaktformulare) oder der jeweilige Vorgesetzte wird als Schnittstelle definiert.
  2. Reduziere die Komplexität in der Technik und den Prozessen. Leichter gesagt als getan, aber versuche doch direkte Beziehungen zwischen Objekten zu schaffen die du auch nachvollziehen kannst, als immer mehr – zum Teil externe – Abhängigkeiten zu schaffen.
  3. Bei der Security Awareness sind wir Mitteleuropäer leider sehr rückständig. Der Grund liegt meiner Meinung nach in der Hilfsbereitschaft der Menschen und dem fehlenden Misstrauen gegenüber Dritten. Ich selbst wurde in meiner Erziehung darauf trainiert niemanden die Wohnungstüre zu öffnen den ich nicht kenne, aber jedem der etwas zu tragen hat jede Türe aufzuhalten. Der Respekt vor Uniform und wichtigen Behördenbriefen und die Hilfsbereitschaft einen Rechnungsirrläufer per Email weiterzusenden wird von Cyberkriminellen schamlos ausgenutzt, um unsere PCs zu infizieren. Diese Verhaltensmuster können wir nur durch intensives Security Awareness Training mit allen Mitarbeitern neu trainieren.

Low Tech heisst im Extremfall jeden Tag ins Büro zu gehen. Anrufe per Festnetz zu tätigen und Korrespondenz mit Schreibmaschine und Post abzuwickeln. Ich denke diesen Rückschritt werden wir nicht mehr gehen. Die NSA zeigt aber eine interessante Wiedereinführung der Schreibmaschine: http://www.der-postillon.com/2014/07/umstellung-auf-schreibmaschinen-in-nsa.html

Hast du eine gute Idee für Low Tech, die unsere IT Nutzung verbessern kann? Teile deine Idee bitte mit den Lesern.

Ein Gedanke zu „Low Tech – die Antwort auf die meisten Securitybedrohungen“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert