Bedrohungen in der IT sind vielfältig und müssen nicht unbedingt vorsätzlicher bzw. krimineller Natur sein. Genauso kann die IT durch „höhere Gewalt“ und/oder technisches Versagen bedroht sein – das könnte beispielsweise ein durch ein Erdbeben ausgelöster Stromausfall sein, bei dem es zu einem Datenverlust kommt.
Aber natürlich sind auch menschliche Fehlhandlungen denkbar. Ein klassisches Beispiel dazu ist: Das Passwort für das Online Banking wurde vergessen – damit wäre dann die Information auch nicht mehr verfügbar.
Sie lernen nun die möglichen IT-Bedrohungen kennen – behalten Sie dabei immer die Schutzziele des vorherigen Kapitels im Hinterkopf.
Wichtig
Eine potentielle Bedrohung oder Schwachstelle heißt übrigens nicht gleich automatisch, dass die IT gefährdet ist. Von einer tatsächlichen Gefährdung spricht man erst dann, wenn eine Schwachstelle (z. B. Programmierfehler oder auch leicht zugängliches WLAN) auch auf eine Bedrohung (z. B. Hacker-Angriff) trifft.
Gezielte Angriffe durch Menschen oder Organisationen
In erster Linie sind es natürlich bewusst durchgeführte Angriffe, die von der IT-Security abgewendet werden müssen. Meist als „Hacking“ bezeichnet, verschafft sich eine Einzelperson oder gleich eine ganze Organisation unbefugt Zugang zu fremden Daten und versucht dabei die Schutzziele zu umgehen. Das kann verschiedene Gründe haben: Diebstahl von Geldmittel, Sabotage von Konkurrenzunternehmen, politische Motivation, manchmal auch einfach nur „Spaß“ – immer geht es jedoch darum, sich über das Netzwerk, an dem die Zielgeräte angeschlossen sind, fremde Informationen zu beschaffen, manipulieren oder vernichten.
Die wichtigsten Werkzeuge solcher Hacking-Angriffe kennt man aus Hollywood-Filmen der Jahrtausendwende und haben meist lustige Namen – „Viren“, „Trojaner“, „Würmer“, „Spoofing“,
„Phishing“ und weitere. Sehen wir uns einige dieser Beispiele etwas detaillierter an:
Virus
Computer-Viren sind ganz einfach Programme, die sich in den Zielsystemen automatisch ihrer programmierten Aufgabe widmen: zum Beispiel dem Aufspüren eines Passwortes. Viren brauchen einen sog. Wirten, der sie verbreitet. Das kann eine Massenemail sein oder auch ein sogenanntes „Pop-Up“ – also eine sich selbst öffnende Website, die beispielsweise auf ein angeblich notwendiges Update hinweist.
Würmer
Das sind Viren, die sich aktiv selbst verbreiten können – das bedeutet, dass sie aktiv Schwachstellen in Systemen und Netzwerken aufspüren und sich dementsprechend selbst weiterleiten, ganz ohne dass ein sogenannter „Wirt“ vorhanden ist.
Trojaner
Auch als „trojanische Pferde“ bezeichnet, handelt es sich hier um scheinbar nützliche Programme, die das Opfer selbst installiert – im Hintergrund öffnen Trojaner aber selbstständig Hintertüren im System, leiten Daten und Informationen weiter und können beispielsweise Passwörter, die eingegeben werden, aufzeichnen.
Denial-of-Service-Attacken
Hier will eher die Verfügbarkeit der Daten manipuliert werden – durch gezielte Überlastung des Systems von außen (das kann zum Beispiel durch automatisiert wiederholtes Aufrufen einer Website sein) wird dieses zum Erliegen gebracht. Manchmal passiert dies solange, bis die betroffene Organisation beispielsweise ein Lösegeld bezahlt. Software für erpresserische Methoden wird übrigens auch als „Ransomware“ gezeichnet.
Spoofing/Phishing
Hier geht es hauptsächlich um Identitätsdiebstahl. Durch gefälschte Websites im Internet und Emails, die auf diese verweisen, wird das Opfer dazu verleitet, aktiv Passwörter oder Kontodaten weiterzugeben. Die finden sich vor allem im privaten Bereich der IT-Security.
Spam
Der wohl bekannteste Begriff aus der IT-Security bezeichnet übrigens nichts weiter als unerwünscht zugesandte Emails – das können nervige Newsletter sein, aber natürlich auch Wirte von Viren oder Phishing-Versuche.
Oben beschriebene Schadsoftware kann natürlich auch ganz persönlich in das Computersystem
„injiziert“ werden – durch einen physischen Einbruch in das Firmengebäude oder in die Wohnung können Informationen gestohlen oder manipuliert werden. Aufgrund der Vernetzung von Computersystemen ist das aber meist gar nicht mehr nötig.
Manchmal passiert eine solche physische Manipulation aber auch ganz einfach intern. Wenn beispielsweise das eigene Firmenpersonal Kundendaten oder Produktgeheimnisse unbefugt entwendet, um diese extern zu verkaufen.
Unbeabsichtigte Bedrohung durch menschliches Fehlverhalten
Bedrohungen der IT-Security müssen aber nicht immer gleich hochkriminell und in voller Absicht geschehen. Manchmal ist es auch einfach Unwissenheit im Umgang mit IT, die eine Gefährdung darstellt:
Passwörter
Ein gutes Passwort ist am besten schwer zu merken – das ist natürlich unpraktisch. Viele Menschen verwenden deshalb immer noch viel zu schwache Passwörter. 12345 ist beispielsweise ein schwaches Passwort. UfNS3-?ßsDa-hUdk& – da sieht es schon ganz anders aus – je mehr verschiedene Symbole, Sonderzeichen, Ziffern und Buchstaben, desto besser. Aber nicht, wenn das Passwort dann erst wieder auf einem Zettel direkt am Bildschirm notiert ist.
Sie sehen also – das Finden eines geeigneten und sicheren Passwortes, das sich die betreffende Persona auch merken kann, ist gar nicht so einfach. Vor allem da viele Systeme regelmäßig zur Änderung der Passwörter auffordern und es nicht empfohlen ist, dasselbe Passwort mehrmals anzuwenden.
Exkurs
Es gibt sog. Passwortmanager, die sowohl privat als auch in Unternehmen genutzt werden können. Das sind Programme, die sichere Passwörter für Webseiten oder Programme generieren und speichern können. Das Programm selbst ist dabei mit einem sog. Master-Key, also EINEM Hauptpasswort gesichert.
Die Vor- und Nachteile liegen auf der Hand: Man kann eine Vielzahl an verschiedenen, sicheren Passwörtern verwenden und muss sich diese nicht einzeln merken. Wird das Hauptpasswort aber geknackt, kann auch auf alle gespeicherten Passwörter zugegriffen werden. Ein Passwortmanager ist nur dann sicher, wenn das Hauptpasswort stark ist und am besten regelmäßig geändert wird.
Allerdings ist auch die Weitergabe von Passwörtern ein Problem. Das muss nicht vorsätzlich fahrlässig geschehen. Man will einem Kollegen helfen und gibt ihm schnell den eigenen Zugang zum System. Oder die Systemadministratorin fordert das Passwort für eine Überprüfung an. Das kann zu kritischen Situationen führen – vor allem wenn Personen beteiligt sind, die so absichtlich Passwörter stehlen.
Eigene Geräte mitbringen
„Bring you own device“ – das bezeichnet keine wilde Weihnachtsfeier im Unternehmen, sondern das Mitnehmen eigener Geräte, beispielsweise externe Festplatten, USB-Sticks, Smartphones und ähnliches. Wenn auf diesen dann firmeninterne Informationen gespeichert oder bearbeitet werden, dann kann die organisationsinterne IT-Security nicht wirklich helfen. Das ist besonders dann kritisch, wenn sogenanntes „Home-Office“ die Praxis ist, also das Arbeiten für eine Organisation von zuhause aus.
Manchmal werden übrigens Speichermedien von Dritten bewusst mit Schadsoftware „präpariert“ und dann bewusst an Personen, die beispielsweise bei bestimmten Unternehmen arbeiten, verteilt. Das passiert zum Beispiel auf beruflichen Messen, wo gerne USB-Sticks verschenkt werden.
Nichtautorisierte Anwendungen installieren
Der Firmenlaptop ist zu langsam, also „kümmert man sich selber darum“ indem man Antivirenprogramme und anderes installiert. Oder man zockt auch gern mal in einer freien
Minute am Arbeitsplatz ein Spiel und lädt sich nebenbei munter, aber unbewusst Schadsoftware auf den Firmen-PC. Auch das kann durch fehlendes Bewusstsein zu Bedrohungen für die IT-Security führen.
Das sind im Wesentlichen die größten Gefahren für die IT-Security. Wie schon erläutert, können natürlich auch gänzlich unvorhersehbare Ereignisse die IT bedrohen – Naturkatastrophen wie Feuer, Blitzeinschläge oder Überschwemmungen können Computersysteme komplett lahmlegen oder zerstören.
Merken
Von einer tatsächlichen Gefährdung im Sinne der IT-Security spricht man, wenn eine interne Schwachstelle auf eine Bedrohung von außen trifft.
So eine Bedrohung kann ein vorsätzlicher Angriff sein, unbeabsichtigt durch den Menschen oder auch durch „höhere Gewalt“ wie Naturkatastrophen.
Vorsätzliche Angriffe:
Schadsoftware wie Viren, Würmer und Trojaner
Physischer Einbruch und das Stehlen oder Manipulieren von Informationen oder Computersystemen
Identitätsdiebstahl oder Erpressung durch Phishing, Ransomware und Denial-of-Action- Attacken
Unbeabsichtigte Gefährdung
Schwache oder weitergegebene Passwörter
Das Verwenden privater Geräte in Firmenumgebungen
Nichtautorisierte Anwendungen installieren
Höhere Gewalt
Naturkatastrophen
die in weiterer Folge zur Zerstörung oder Lahmlegung der Computersysteme führen.
Bedrohungen in der IT sind vielfältig und müssen nicht unbedingt vorsätzlicher bzw. krimineller Natur sein. Genauso kann die IT durch „höhere Gewalt“ und/oder technisches Versagen bedroht sein – das könnte beispielsweise ein durch ein Erdbeben ausgelöster Stromausfall sein, bei dem es zu einem Datenverlust kommt.
Aber natürlich sind auch menschliche Fehlhandlungen denkbar. Ein klassisches Beispiel dazu ist: Das Passwort für das Online Banking wurde vergessen – damit wäre dann die Information auch nicht mehr verfügbar.
Sie lernen nun die möglichen IT-Bedrohungen kennen – behalten Sie dabei immer die Schutzziele des vorherigen Kapitels im Hinterkopf.
Wichtig
Eine potentielle Bedrohung oder Schwachstelle heißt übrigens nicht gleich automatisch, dass die IT gefährdet ist. Von einer tatsächlichen Gefährdung spricht man erst dann, wenn eine Schwachstelle (z. B. Programmierfehler oder auch leicht zugängliches WLAN) auch auf eine Bedrohung (z. B. Hacker-Angriff) trifft.
Gezielte Angriffe durch Menschen oder Organisationen
In erster Linie sind es natürlich bewusst durchgeführte Angriffe, die von der IT-Security abgewendet werden müssen. Meist als „Hacking“ bezeichnet, verschafft sich eine Einzelperson oder gleich eine ganze Organisation unbefugt Zugang zu fremden Daten und versucht dabei die Schutzziele zu umgehen. Das kann verschiedene Gründe haben: Diebstahl von Geldmittel, Sabotage von Konkurrenzunternehmen, politische Motivation, manchmal auch einfach nur „Spaß“ – immer geht es jedoch darum, sich über das Netzwerk, an dem die Zielgeräte angeschlossen sind, fremde Informationen zu beschaffen, manipulieren oder vernichten.
Die wichtigsten Werkzeuge solcher Hacking-Angriffe kennt man aus Hollywood-Filmen der Jahrtausendwende und haben meist lustige Namen – „Viren“, „Trojaner“, „Würmer“, „Spoofing“,
„Phishing“ und weitere. Sehen wir uns einige dieser Beispiele etwas detaillierter an:
Computer-Viren sind ganz einfach Programme, die sich in den Zielsystemen automatisch ihrer programmierten Aufgabe widmen: zum Beispiel dem Aufspüren eines Passwortes. Viren brauchen einen sog. Wirten, der sie verbreitet. Das kann eine Massenemail sein oder auch ein sogenanntes „Pop-Up“ – also eine sich selbst öffnende Website, die beispielsweise auf ein angeblich notwendiges Update hinweist.
Das sind Viren, die sich aktiv selbst verbreiten können – das bedeutet, dass sie aktiv Schwachstellen in Systemen und Netzwerken aufspüren und sich dementsprechend selbst weiterleiten, ganz ohne dass ein sogenannter „Wirt“ vorhanden ist.
Auch als „trojanische Pferde“ bezeichnet, handelt es sich hier um scheinbar nützliche Programme, die das Opfer selbst installiert – im Hintergrund öffnen Trojaner aber selbstständig Hintertüren im System, leiten Daten und Informationen weiter und können beispielsweise Passwörter, die eingegeben werden, aufzeichnen.
Hier will eher die Verfügbarkeit der Daten manipuliert werden – durch gezielte Überlastung des Systems von außen (das kann zum Beispiel durch automatisiert wiederholtes Aufrufen einer Website sein) wird dieses zum Erliegen gebracht. Manchmal passiert dies solange, bis die betroffene Organisation beispielsweise ein Lösegeld bezahlt. Software für erpresserische Methoden wird übrigens auch als „Ransomware“ gezeichnet.
Hier geht es hauptsächlich um Identitätsdiebstahl. Durch gefälschte Websites im Internet und Emails, die auf diese verweisen, wird das Opfer dazu verleitet, aktiv Passwörter oder Kontodaten weiterzugeben. Die finden sich vor allem im privaten Bereich der IT-Security.
Der wohl bekannteste Begriff aus der IT-Security bezeichnet übrigens nichts weiter als unerwünscht zugesandte Emails – das können nervige Newsletter sein, aber natürlich auch Wirte von Viren oder Phishing-Versuche.
Oben beschriebene Schadsoftware kann natürlich auch ganz persönlich in das Computersystem
„injiziert“ werden – durch einen physischen Einbruch in das Firmengebäude oder in die Wohnung können Informationen gestohlen oder manipuliert werden. Aufgrund der Vernetzung von Computersystemen ist das aber meist gar nicht mehr nötig.
Manchmal passiert eine solche physische Manipulation aber auch ganz einfach intern. Wenn beispielsweise das eigene Firmenpersonal Kundendaten oder Produktgeheimnisse unbefugt entwendet, um diese extern zu verkaufen.
Unbeabsichtigte Bedrohung durch menschliches Fehlverhalten
Bedrohungen der IT-Security müssen aber nicht immer gleich hochkriminell und in voller Absicht geschehen. Manchmal ist es auch einfach Unwissenheit im Umgang mit IT, die eine Gefährdung darstellt:
Ein gutes Passwort ist am besten schwer zu merken – das ist natürlich unpraktisch. Viele Menschen verwenden deshalb immer noch viel zu schwache Passwörter. 12345 ist beispielsweise ein schwaches Passwort. UfNS3-?ßsDa-hUdk& – da sieht es schon ganz anders aus – je mehr verschiedene Symbole, Sonderzeichen, Ziffern und Buchstaben, desto besser. Aber nicht, wenn das Passwort dann erst wieder auf einem Zettel direkt am Bildschirm notiert ist.
Sie sehen also – das Finden eines geeigneten und sicheren Passwortes, das sich die betreffende Persona auch merken kann, ist gar nicht so einfach. Vor allem da viele Systeme regelmäßig zur Änderung der Passwörter auffordern und es nicht empfohlen ist, dasselbe Passwort mehrmals anzuwenden.
Exkurs
Es gibt sog. Passwortmanager, die sowohl privat als auch in Unternehmen genutzt werden können. Das sind Programme, die sichere Passwörter für Webseiten oder Programme generieren und speichern können. Das Programm selbst ist dabei mit einem sog. Master-Key, also EINEM Hauptpasswort gesichert.
Die Vor- und Nachteile liegen auf der Hand: Man kann eine Vielzahl an verschiedenen, sicheren Passwörtern verwenden und muss sich diese nicht einzeln merken. Wird das Hauptpasswort aber geknackt, kann auch auf alle gespeicherten Passwörter zugegriffen werden. Ein Passwortmanager ist nur dann sicher, wenn das Hauptpasswort stark ist und am besten regelmäßig geändert wird.
Allerdings ist auch die Weitergabe von Passwörtern ein Problem. Das muss nicht vorsätzlich fahrlässig geschehen. Man will einem Kollegen helfen und gibt ihm schnell den eigenen Zugang zum System. Oder die Systemadministratorin fordert das Passwort für eine Überprüfung an. Das kann zu kritischen Situationen führen – vor allem wenn Personen beteiligt sind, die so absichtlich Passwörter stehlen.
„Bring you own device“ – das bezeichnet keine wilde Weihnachtsfeier im Unternehmen, sondern das Mitnehmen eigener Geräte, beispielsweise externe Festplatten, USB-Sticks, Smartphones und ähnliches. Wenn auf diesen dann firmeninterne Informationen gespeichert oder bearbeitet werden, dann kann die organisationsinterne IT-Security nicht wirklich helfen. Das ist besonders dann kritisch, wenn sogenanntes „Home-Office“ die Praxis ist, also das Arbeiten für eine Organisation von zuhause aus.
Manchmal werden übrigens Speichermedien von Dritten bewusst mit Schadsoftware „präpariert“ und dann bewusst an Personen, die beispielsweise bei bestimmten Unternehmen arbeiten, verteilt. Das passiert zum Beispiel auf beruflichen Messen, wo gerne USB-Sticks verschenkt werden.
Der Firmenlaptop ist zu langsam, also „kümmert man sich selber darum“ indem man Antivirenprogramme und anderes installiert. Oder man zockt auch gern mal in einer freien
Minute am Arbeitsplatz ein Spiel und lädt sich nebenbei munter, aber unbewusst Schadsoftware auf den Firmen-PC. Auch das kann durch fehlendes Bewusstsein zu Bedrohungen für die IT-Security führen.
Das sind im Wesentlichen die größten Gefahren für die IT-Security. Wie schon erläutert, können natürlich auch gänzlich unvorhersehbare Ereignisse die IT bedrohen – Naturkatastrophen wie Feuer, Blitzeinschläge oder Überschwemmungen können Computersysteme komplett lahmlegen oder zerstören.
Merken
Von einer tatsächlichen Gefährdung im Sinne der IT-Security spricht man, wenn eine interne Schwachstelle auf eine Bedrohung von außen trifft.
So eine Bedrohung kann ein vorsätzlicher Angriff sein, unbeabsichtigt durch den Menschen oder auch durch „höhere Gewalt“ wie Naturkatastrophen.
Vorsätzliche Angriffe:
Unbeabsichtigte Gefährdung
Höhere Gewalt