IT-Risikomanagement
Bequemlichkeit schlägt Sicherheitsempfinden

TeslaCrypt, Locky, Jigsaw oder Petya heißen einige Computerschädlinge (Ransomware), die es zuletzt in die breitere Öffentlichkeit geschafft haben. Und es werden noch viele weitere folgen. Das Thema Cyber-Sicherheit ist nicht mehr nur Gegenstand von Expertendiskussionen oder Spezialisten-Zirkeln, sondern hat es längst in den unternehmerischen Alltag geschafft. Für den Branchenverband Bitkom ist IT-Sicherheit das Hightech-Thema des Jahres 2016, noch vor Cloud-Computing. Weiter schätzt der Verband den jährlichen Gesamtschaden für die deutsche Wirtschaft auf mehr als 50 Mrd. €.

Beobachtet man einen ganz gewöhnlichen Alltag, stellt man schnell fest, wie eng das heutige Leben mit der Nutzung moderner Medien verbunden ist. Nicht selten werden bereits vor dem Duschen die ersten privaten E-Mails gecheckt. Beim Frühstückskaffee folgen die beruflichen E-Mails. Zwischendurch wird gern ein Blick in die Wetter- und Nachrichten-Apps geworfen. Dann noch schnell den Fahrplan der Bahn auf Verspätungen überprüfen oder die aktuelle Verkehrslage auf den Straßen checken. Aber wer denkt schon darüber nach, welche Gefahren in all diesen Handlungen lauern?

In den beschriebenen Aktionen werden jede Menge Daten und Informationen übertragen. Neben Inhaltsdaten aus privaten und geschäftlichen E-Mails zusätzlich Metadaten des Nutzers: Profildaten, Kontaktdaten, Kalenderereignisse, abonnierte Feeds, allgemeiner und genauer Standort, Netzwerkverbindung, WLAN-Status, Inhalt eines externen Speichers, Systemstatus, Aktivitätserkennung, Sync-Einstellungen und mehr. Die Frage, ob das alles schützenswerte und sensible Informationen sind, muss jeder individuell für sich beantworten. Aber niemand möchte, dass diese Informationen Dritten zugänglich sind. Deshalb ist IT- bzw. Daten-Sicherheit so wichtig.

In der Vergangenheit haben sich dazu etliche Sicherheitsverfahren etabliert, die von Nutzern mehr oder weniger unbewusst und automatisch angewendet werden: sicherere Übertragungsprotokolle, Verschlüsselungen und Legitimationsverfahren, die beim Online-Banking Verwendung finden. Über die Jahre haben sich verschiedene Verfahren abgelöst: zu Beginn gab es nur PIN und TAN, dann iTAN, chipTAN und mobileTAN, neuerdings auch photoTAN und appTAN oder Videolegitimation und biometrische Verfahren. Bekannt sind diese Verfahren primär aus dem Online-Banking oder aus der Erstauthentifikation. Es existieren aber darüber hinaus praktische Spezialanwendungen, z.B. Handvenenscanner in medizinischen Laboren aus hygienischen Gründen oder Stimmerkennungssysteme für die Zugangsberechtigung für Lieferanten auf großen Werksgeländen.

Es stellt sich die Frage, warum diese Verfahren überwiegend beim Online-Banking und nicht auch bei anderen Portalen eingesetzt werden, denn Versicherungsverträge, Krankendaten, Urlaubsreisen, Telefonrechnungen, Wasser- und Stromverbrauchsangaben sowie private Termine sind gleichsam schützenswerte Daten, insbesondere vor dem Hintergrund neuer Angriffsszenarien wie "Social engineering" oder "Man-in-the-middle"-Attacken. Bei allen Bestrebungen für mehr Sicherheit: Wer möchte schon vor jeder Benutzung dieser Portale seine Benutzerkennung plus Passwort plus Transaktionsnummer erneut eingeben?

Hier obsiegt die Bequemlichkeit gegenüber dem Sicherheitsempfinden. Allzu oft bleiben wichtige Risikoaspekte unberücksichtigt. Deshalb müssen Sicherheitsverfahren, die im Hintergrund arbeiten, entwickelt und verstärkt werden. Die Anforderungen an die Systeme sind hoch: Es bedarf der Verarbeitung in Echtzeit sowie der Analyse von großen Datenmengen (Big Data). Neben technischen Prüfungen sind zudem weitere inhaltliche Analysen erforderlich, und zwar nicht nur einmalig beim Log-In, sondern kontinuierlich während der gesamten Benutzungsphase. Das Regelwerk und die Sensoren dafür müssen individuell, unabhängig und einzeln konfigurierbar sein.

Vor diesem Hintergrund und durch stetig steigenden Kostendruck werden unternehmensübergreifende Lösungen oder komplette Auslagerungen zunehmend wichtiger. Darüber hinaus erhöhen sich die Anforderungen aufgrund weiterer, insbesondere europäischer Regelungen. Die Haftungsrisiken für Unternehmen werden größer. So schreibt etwa die überarbeitete und novellierte Zahlungsdiensterichtlinie (PSD2) vor, dass ein Zahlungsdienstleister nachweisen muss, dass der Zahlungsvorgang authentifiziert. Ist das nicht der Fall, haftet er für diesen Betrag und hat diesen unverzüglich, auf jeden Fall spätestens bis zum Ende des folgenden Geschäftstags zu erstatten, nachdem er von dem Zahlungsvorgang Kenntnis erhalten hat oder dieser ihm angezeigt wurde. IT-Risikomanagement wird dadurch zur Chefsache.

Kontakt  
Diesen Artikel ...  
Artikelinformationen 
Artikel veröffentlicht am:
17.11.2016
Quelle(n):
Bildquelle: Fotolia
Autor/in 
Ingmar Besch
ist Produktmanager für Security bei der Bank-Verlag GmbH, Köln.
Weitere interessante Artikel 
Artikel abonnieren 
die bank | Newsfeed
Newsletter

die bank | Newsletter

Abonnieren Sie den kostenlosen redaktionellen Newsletter der Fachzeitschrift „die bank“.
Der Newsletter erscheint mindestens einmal im Monat und informiert Sie über aktuelle Beiträge und News.

 Anmeldung

 Newsletter-Archiv