2. Mai 2011 - Argumente für Datenschutz-Schulungen

„Sicherheitsanbieter gehackt“: Warum Datenschutz-Schulungen immer wichtiger werden

Wenn führende Anbieter für IT-Sicherheit selbst Opfer von Hackerangriffen werden, sollte das eigene Vertrauen in die IT-Sicherheit hinterfragt werden. Setzt die interne Datensicherheit zu sehr auf technische Lösungen? Reichen die Schulungsmaßnahmen zur Steigerung des Datenschutz-Bewusstseins aus?

sicherheitsanbieter-gehackt-warum-datenschutz-schulungen-immer-wichtiger-werden.jpeg
Ohne Datenschutz-Schulungen fehlt oft das nötige Bewusstsein für Sicherheitsrisiken (Bild: Thinkstock)

Gestohlene Browser-Zertifikate, ausspionierte Sicherheitsalgorithmen und massive Sicherheitslecks auf den Webseiten eines Anbieters für IT-Sicherheit – das sind erschreckende Vorstellungen für jeden, der bislang an den umfassenden Schutz durch seine IT-Sicherheitsprogramme geglaubt hat.

Angriff auf die IT-Sicherheit

In den letzten Wochen sind diese Vorstellungen wahr geworden. Mehrere Anbieter für IT-Sicherheit wurden Opfer von Hackerangriffen. Als Datenschutzbeauftragter sollten Sie diese Vorkommnisse im Unternehmen bekannter machen, um für Ihre Datenschutz-Mitarbeiterschulungen zu werben.

Fall 1: Passwortdiebstahl trotz SSL-Verschlüsselung

Blindes Vertrauen in die IT-Sicherheit ohne ein gesundes Misstrauen der Anwender kann schnell zum Datendiebstahl führen.

Das zeigt sich zum Beispiel an der SSL-Verschlüsselung: Im März 2011 wurde ein führender Anbieter für SSL-Zertifikate (Comodo), die die Echtheit und Sicherheit einer SSL-Verbindung bescheinigen sollen, Opfer von Internetkriminellen. Der Benutzerzugang eines Vertriebspartners wurde geknackt, um für prominente Webseiten unrechtmäßig SSL-Zertifikate zu erhalten.

Mit den neun erbeuteten SSL-Zertifikaten wäre es möglich, gefälschte Webseiten als echt auszugeben und die SSL-Verschlüsselung auszutricksen. Die übertragenen Daten wären tatsächlich verschlüsselt gewesen, aber der Datendieb hätte den Schlüssel dazu gehabt.

Inzwischen werden die betroffenen SSL-Zertifikate durch die aktualisierten Webbrowser erkannt, der Anbieter hat die Zertifikate zurückgezogen. Doch die prinzipielle Gefahr, dass auch eine Ausgabestelle für SSL-Zertifikate angegriffen wird, bleibt bestehen.

Fall 2: Mögliche Unsicherheit bei Einmal-Passwörtern

Auch ein führender Anbieter (RSA) für Tokens zur Erzeugung von Einmal-Passwörtern wurde kürzlich Opfer von Hackern. Sollte es den Eindringlingen gelungen sein, detaillierte Informationen über die Erzeugung der Einmal-Passwörter zu erhalten, könnten sie in der Lage sein, selbst diese Einmal-Passwörter zu generieren und so den zusätzlichen Schutz vor Identitätsdiebstahl auszuhebeln.

Fall 3: Gefälschte Download-Seiten für Sicherheitsprodukte

Damit nicht genug, sind vor kurzem auch Sicherheitslücken auf der Webseite eines führenden Anti-Viren-Herstellers bekannt geworden. Diese Sicherheitslücken könnten zum Beispiel dazu missbraucht werden, die Besucher der Download-Seite des Anbieters auf eine gefälschte Webseite umzulenken. Dort würden die Opfer Schadsoftware anstelle der gewünschten Sicherheitsprogramme herunterladen.

Technischer Datenschutz ist wichtig, aber nicht ausreichend

Die drei aktuellen Fälle von Hackerangriffen oder Sicherheitslücken bei Anbietern von IT-Sicherheit zeigen deutlich, dass es nicht ausreichend sein kann, einfach auf seine technischen Maßnahmen der Datensicherheit zu vertrauen. Ohne Datenschutz-Bewusstsein geht es nicht:

  • Wenn ein Webbrowser eine Webseite aufgrund eines gültigen SSL-Zertifikats für vertrauenswürdig einstuft, sollte man nicht jede Vorsicht vergessen. Schließlich kann auch ein echtes SSL-Zertifikat missbraucht werden, wenn es unrechtmäßig erstellt und gestohlen wurde.
  • Auch Updates von Sicherheitsprogrammen können Schadprogramme enthalten, wenn sie unzureichend getestet oder auf einer gefälschten Webseite angeboten werden.
  • Nur der Einsatz eines zusätzlichen Einmal-Passworts macht die Passwortsicherheit an sich nicht überflüssig. Denn auch das Einmal-Passwort könnte geknackt worden sein.

Datenschutz-Schulungen sorgen für mehr Wachsamkeit

Machen Sie deshalb Datenschutz-Schulungen, die die Mitarbeiterinnen und Mitarbeiter zu aufgeklärten Internetnutzern machen, zu einem menschlichen Bollwerk der Datensicherheit.

Tipps dazu finden Sie in der Mitarbeiterinformation „Kein blindes Vertrauen!“

Um das Datenschutz-Bewusstsein zu stärken, empfehlen sich zusätzlich spezielle Datenschutz-Kampagnen, wie sie zum Beispiel in Datenschutzunterweisung kompakt zu finden sind, sowie regelmäßige Mitarbeiterinformationen, etwa mit einer eigenen Datenschutz-Zeitung, die sich mit dem WEKA NewsMaker erstellen lässt.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln