Die vorliegende Hausarbeit wird sich mit den Thematiken IT-Sicherheit, Social Engineering sowie Security Awareness ausgiebig auseinandersetzen. Der Fokus dabei soll hauptsächlich auf deutsche Unternehmen liegen. Geleitet wird die Hausarbeit durch die Frage wie sich Mitarbeiter vor Social-Engineering-Angriffen schützen können. Ziel der Hausarbeit soll es sein, die gemeinsamen und unterschiedlichen Positionen der Experten bezüglich IT-Security, Social Engineering sowie Security Awareness argumentativ zu analysieren, um einen Erkenntnisgewinn darüber zu erzielen. Zur Darstellung der Themenbereiche wird sich die Hausarbeit zunächst auf die Thematik IT-Security konzentrieren, indem auf ihre Definition und Schutzziele eingegangen werden. Anschließend folgt die Durchleuchtung von Social Engineering. Nebst der Definition sollen ihre Methoden der Manipulation behandelt werden. Zuletzt soll Security Awareness definiert und auf Präventive Maßnahmen ausführlich eingegangen werden. Am Ende der vorliegenden Hausarbeit werden die bedeutsamsten Erkenntnisse aus den Positionen der Experten zusammengefasst. Hierbei soll die Leitfrage unter der Abwägung von Argumenten und Gründen umfassend beantwortet werden. Ferner soll Bezug auf mögliche Grenzen hinsichtlich des Forschungsstandes und der Ausarbeitung der Hausarbeit genommen werden.
Inhaltsverzeichnis
1. Einleitung
2. IT-Security
2.1 Definition
2.2 Schutzziele
3. Social Engineering
3.1 Definiton
3.2 Methoden der Manipulation
4. Security Awareness
4.1 Definiton
4.2 Präventive Maßnahmen
5. Fazit
6. Literaturverzeichnis
1. Einleitung
Es ist oft ein Kinderspiel, die menschliche Firewall zu knacken. Das erfordert außer einem Telefonanruf keine Investitionen und beinhaltet nur ein minimales Risiko. (Weber 2019: 1, vgl. K. Mitnick)
Binnen der letzten Jahrzehnte haben sich vielerlei Unternehmen auf die Vernetzung ihrer Geschäfts- und Kommunikationskanäle mit dem Internet konzentriert. Dabei ist die Absicherung von Informationstechnik immer mehr in den Vordergrund getreten. Jedoch sollte IT nicht nur als ein technisches Konstrukt gesehen werden, sondern vielmehr als soziotechnisches System (Weber 2019: 2; vgl. Kremar 2015: 22). Der Mensch spielt nämlich eine entscheidende Rolle in der IT-Sicherheit eines Unternehmens, insofern sie mit ihrem Verhalten hohe Schäden verursachen können und somit eine große Verantwortung tragen. Demnach ist es von besonderer Bedeutung sich mit dem Faktor Mensch als mögliche Schwachstelle in der IT-Infrastruktur auseinanderzusetzen. Grundlegend für die Auswahl des Hausarbeitsthemas im Rahmen des Seminars „Internet & Soziale Netzwerke“ mit dem Lehrenden Prof. Dr. Guido Barbian waren Überlegungen zu der Methodik von Social Engineering sowie Sicherheitsmaßnahmen für Mitarbeiter vor Social-Engineering-Angriffen. Mit dem Begriff Social Engineering wird im Allgemeinen die Manipulation der menschlichen Gefühle zur Erlangung sensibler Daten beschrieben. Aufgrund der stetig wachsenden Cyberkriminalität in den letzten Jahren (vgl. BSI 2020) ist eine Sensibilisierung der Mitarbeiter hinsichtlich der Gefahren von Social Engineering unerlässlich. Aus diesem Grund wird sich die vorliegende Hausarbeit mit den Thematiken IT-Sicherheit, Social Engineering sowie Security Awareness ausgiebig auseinandersetzen. Der Fokus dabei soll hauptsächlich auf deutsche Unternehmen liegen. Geleitet wird die Hausarbeit durch die Frage wie sich Mitarbeiter vor Social-Engineering-Angriffen schützen können. Ziel der Hausarbeit soll es sein, die gemeinsamen und unterschiedlichen Positionen der Experten bezüglich IT-Security, Social Engineering sowie Security Awareness argumentativ zu analysieren, um einen Erkenntnisgewinn darüber zu erzielen. Zur Darstellung der Themenbereiche wird sich die Hausarbeit zunächst auf die Thematik IT-Security konzentrieren, indem auf ihre Definition und Schutzziele eingegangen werden. Anschließend folgt die Durchleuchtung von Social Engineering. Nebst der Definition sollen ihre Methoden der Manipulation behandelt werden. Zuletzt soll Security Awareness definiert und auf Präventive Maßnahmen ausführlich eingegangen werden. Am Ende der vorliegenden Hausarbeit werden die bedeutsamsten Erkenntnisse aus den Positionen der Experten zusammengefasst. Hierbei soll die Leitfrage unter der Abwägung von Argumenten und Gründen umfassend beantwortet werden. Ferner soll Bezug auf mögliche Grenzen hinsichtlich des Forschungsstandes und der Ausarbeitung der Hausarbeit genommen werden. Nun folgt die Behandlung der Thematik IT-Security.
2. IT-Security
In diesem Kapitel sollen die Begrifflichkeiten IT-Security und Informationssicherheit zunächst definiert werden. Anschließend folgt die Durchleuchtung der Schutzziele der IT-Sicherheit. Folgende Fragen sollen dabei beantwortet werden: Was bedeutet IT-Security und Informationssicherheit? Worin liegt der Unterschied zwischen Safety und Security? Welche Rolle spielt der Faktor Mensch in der IT-Sicherheit? Und welche Schutzziele gibt es in der IT-Sicherheit?
2.1 Definition
„IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind“. (Lechner et al. 2018: 20; vgl. BSI 2018)
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert IT-Sicherheit bestimmte Maßnahmen, die bei Durchsetzung einen Schutz für Informationen bietet. Die IT-Sicherheit umfasse dabei “[...] sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt z.B. die darauf basierende Kommunikation mit ein“ (Lechner et al. 2018: 20f.; vgl. BSI 2018). Hingegen meine Informationssicherheit, die Sicherheit vor “[...] unautorisierter Informationsveränderung oder -gewinnung [...]“ in einem System (Weber 2019: 2). Weiterhin beschreibe die Informationssicherheit“[...] den Schutz der Informationen und zwar unabhängig von ihrer Repräsentation. Das heißt Informationen können z.B. auf Papier oder in elektronischer Form auf einem Rechner gespeichert sein [...]“, wohingegen die IT-Sicherheit ausschließlich den Schutz von elektronischen Daten meint (Baier et al. 2016: 10). Darüber hinaus wird IT-Sicherheit, das im englischsprachigen Raum mit den Begrifflichkeiten Safety und Security abgegrenzt wird, im Deutschen mit demselben Wort nämlich Sicherheit beschrieben (Dieterstein 2004: 343). Die Angriffssicherheit (Security) beschreibe die “[...] Resistenz von IT-Systemen gegenüber Angreifern [...]“, indes die Betriebssicherheit (Safety) ein IT-System meine, die [...] keiner Fehlfunktion unterliegt und unter normalen Betriebsbedingungen wie vorgesehen funktioniert“ (Baier et al. 2016: 10f.). Die fehlleitende semantische Unterscheidung im Deutschen führe meist zu einer mangelnden “[...] Beurteilung und Bewertung von Vorgängen und Ergebnissen der IT [...]“ (Dieterstein 2004: 343). Beispielsweise werden Schäden an Unternehmen, die vom Menschen verursacht worden sind, auf ein unbeabsichtigtes Fehlverhalten zurückgeführt “[...], um zielgerechte Störungen vor Dritten - und erst recht vor den Geschädigten - zu verschleiern oder zu verbergen“ (Dieterstein 2004: 344). Demzufolge muss die Rolle des Menschen mit seinen Fähigkeiten und seinem Verhalten als Teil der IT-Sicherheit betrachtet werden, insofern der Mensch in Kombination mit Maschinen das am wenigsten verlässliche Glied der Sicherheitskette sein kann (Weber 2019: 2; Dieterstein 2004: 344). Infolgedessen ist ein Schutz der IT-Security durch Schutzziele wie die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen unerlässlich. Im Folgenden sollen diese Sicherheitsmaßnahmen durchleuchtet werden.
2.2 Schutzziele
Die wohl bekanntesten Schutzziele in der IT-Security sind die sogenannten CIA-Kriterien. Sie stehen für Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit) (Baier et al. 2016: 12). Diese Kriterien könne nach ISO um weitere Schutzziele “[...] wie Authentizität ( Authenticity ), Verbindlichkeit ( Accountability ), Nachweisbarkeit oder Nicht-Abstreitbarkeit ( Non-Repudiation ) und Zuverlässigkeit ( Reliability ) [...]“ erweitert werden (Lechner et al. 2018: 21; vgl. DIN 2009). Die Verfügbarkeit von Informationen werde in der IT-Sicherheit als ein “[...] Maß für die Wahrscheinlichkeit, dass ein System zu einem bestimmten Zeitpunkt eine geforderte Leistung erbringt“ betrachtet (Gadatsch & Mangiapane 2017: 17). Sobald die Anwender ihre IT-Anwendungen nicht wie gewohnt nutzen können, ist dies auf ein Ausfall der Verfügbarkeit von Informationen zurückzuführen, wodurch hohe wirtschaftliche Schäden entstehen können (Gadatsch & Mangiapane 2017: 17f.). Eine wichtige technische Maßnahme im Hinblick auf die Verfügbarkeit von Informationen “[...] ist Datensicherung bzw. ein Backup “ (Baier et al. 2016: 16). Mit der Integrität sei “[...] die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen [...]“ gemeint (Gadatsch & Mangiapane 2017: 19). Ein Verlust der Datenintegrität bedeutet, dass Informationen wie z.B. der Autor eines Werkes oder die Zeitangabe unerlaubt manipuliert wurden (Gadatsch & Mangiapane 2017: 19f.). Die Gewährleistung des Schutzziels Integrität könne “[...] durch geeignete Zugriffskontrolle in Form von Schreibrechten oder durch eine kryptographische Basistechnik (elektronische Signatur) erreicht werden [...]“, sodass eine Veränderung von Daten zu einem späteren Zeitpunkt ermittelt werden kann (Baier et al. 2016: 14). Das letzte Schutzziel, nämlich die Vertraulichkeit, “[...] ist der Schutz vor unbefugter Preisgabe von Informationen“ (Gadatsch & Mangiapane 2017: 21). Die ISO-Norm 17799 definiert Vertraulichkeit wie folgt:
Confidentiality means ensuring that information is accessible only to those authorised to have access. (Baier et al. 2016: 14; vgl. ISO 17799)
Vertraulichkeit meine also nicht nur den Schutz vor unerlaubter Preisgabe von Daten, sondern stellt sicher, dass “[...] Informationen nur Befugten zugänglich sind“ (Bedner & Ackermann 2010: 323). Um dieses Schutzziel gewährleisten zu können, “[...] müssen die im System gespeicherten oder in den Kommunikationseinrichtungen übertragenen Daten durch Verschlüsselung vor unberechtigtem Zugriff geschützt werden“ (Bedner & Ackermann 2010: 323f.).
[...]