In IT-Sicherheit investieren zahlt sich aus

Der (ehemalige) Hacker rät: Hacker wollen das schnelle Geld machen – und scheuen darum den grossen Aufwand

Datum
28. März 2017
Autor

In seiner Keynote zum Auftakt der Health IT Conference 2017 in Orlando zeigte Kevin Mitnick, wie einfach es auch heute noch ist, in ein Netzwerk einzudringen. Unter dem Titel «Die Kunst der Täuschung: Wie Hacker und Schwindler Sie manipulieren und was Sie dagegen tun können» führte Mitnick live vor, wie einfach er dank Social Engineering (siehe «Der Mensch als Schwachstelle im System») in Netzwerke eindringen und Informationen stehlen kann.

«Alles, was es braucht, ist ein Mitarbeitender», erklärte der einst meistgesuchte Hacker der Welt, der heute Firmen und Organisationen berät. Die Masche, mit der Mitnick vor 30 Jahren erfolgreich war, funktioniert immer noch. Zum Beispiel, so viele Pop-Up-Nachrichten auf alle Bildschirme schicken, bis ein Mitarbeitender entnervt auf «Aktualisieren» klickt und statt des Updates Schadsoftware lädt – und damit dem Hacker die Türe zum ganzen Netzwerk öffnet.

Das war für die Zuhörer, fast alle Chief Information Officer aus dem Gesundheitsbereich, nicht neu. In der 2016 HIMSS Cybersecurity Survey (pdf) hatten zwei von drei CIO eingeräumt, Opfer von Cyberangriffen geworden zu sein. Viele von ihnen fürchten, dass sie ungenügend auf Attacken vorbereitet sind. 85 Prozent gaben an, das Sicherheitsbewusstsein der Mitarbeitenden zu steigern sei eine ihrer wichtigsten Aufgaben (siehe «Sensibilisieren ist besser als heilen»).

Einschätzung

Kevin Mitnicks Rat ist auch nicht neu: Wer seine sensiblen Daten besser schützen will, muss zielgerichtet in Sicherheit investieren. Ein guter Ansatz, um Infrastrukturen, Prozesse sowie Informationen umfassend und strukturiert zu schützen, ist ein ISMS, ein Managementsystem für Informationssicherheit. Je besser Informationen geschützt sind, desto grösser ist der Aufwand für die Hacker. Hacker wollen aber möglichst einfach und schnell Geld erpressen. Wenn der Aufwand zu gross ist, suchen sie sich andere Opfer, die weniger gut geschützt sind.

Zielgruppen

  • Chief Information Officer
  • IS- und IT-Sicherheitsverantwortliche
  • Management
  • Interessierte Kreise