In der Ruhe liegt die Kraft

Gedanken zum Internationalen Paniktag, ein Fachartikel von Senior IT Security Consultant Rainer Boie

An einem Tag wie dem International Panic Day, der am 18. Juni begangen wird, stellen sich manche Menschen die Frage, ob der Umgang mit Internet und IT sicher ist. "Wird mein Handy angegriffen oder werden meine Telefonate abgehört?", "Wie sicher ist WhatsApp?", "Kann ich Onlinebanking sicher nutzen?" Man gerät beim Grübeln leicht in Sorge oder verfällt im schlimmsten Fall sogar in Panik – und das nicht nur am Panic Day. Wichtig ist hierbei aber, dass man sich darüber im Klaren ist, welche Themen oder Probleme für einen selbst wirklich relevant sind und wie man mit diesen konstruktiv umgeht. Der Einzelne ist gefordert, seinen eigenen Weg beim sicheren Umgang mit IT im Allgemeinen und dem Internet finden.

Der International Panic Day ruft dazu auf, sich eine Auszeit vom stressigen Alltag zu nehmen, zu entspannen und sich etwas Gutes zu tun. Zudem sollte aufkommendem Stress rational begegnet werden.

 

Begriff der Panik

Das Wort Panik leitet sich vom griechischen Hirtengott Pan ab. Dieser scheuchte laut Sage in „panischem Schrecken“ Herdentiere auf, wenn er sich in seiner Mittagsruhe gestört fühlte. Ein Mensch reagiert zumeist auf eine unangenehme, unerwartete oder erschreckende Situation mit Stress. Wenn diese Situation als Bedrohung aufgefasst wird, dann gerät die betroffene Person im schlimmsten Fall in Panik, einen Zustand intensiver Angst vor einer tatsächlichen oder einer subjektiven, selbst als real empfundenen Bedrohung.

Wenn Panik eintritt, hat ein Mensch die Situation dann nicht mehr unter Kontrolle und verliert die Selbstbeherrschung. Der Umgang mit Panik erfordert eine gefestigte Selbstsicherheit, beispielsweise basierend auf dem Vertrauen in die eigenen Fähigkeiten oder auch in ein in der Vergangenheit erfolgreich absolviertes Risikomanagement. Durch diverse Vorfälle in der jüngsten Vergangenheit wird den meisten Menschen mehr oder weniger bewusst, dass Gefahren im Umgang mit IT und dem Internet existieren. Zu diesen zählen etwa:

  • die Snowden-Affäre
  • der Datenabfluss bei diversen Internetportalen (wie beispielsweise Sony oder Yahoo)
  • Angriffe von Botnetzen wie zum Beispiel das Mirai-Botnetz mit über 400.000 kompromittierten IoT-Geräten
  • der Angriff gegen Alarmsirenen einer Stadt (Dallas)
  • die jüngste Angriffswelle im Rahmen von WannaCry

Und um noch ein anderes Beispiel für die zunehmende Sensibilisierung für "digitale Gefahren" zu nennen: Ende März 2017 wurde vom Bundestag ein Gesetzentwurf zur Änderung des Straßenverkehrsgesetzes angenommen, der automatisiertes Fahren auf deutschen Straßen ermöglichen soll. In einer im Anschluss durchgeführten Umfrage bezüglich autonomen Fahrens hatten Medienberichten zufolge die Fahrer Sorge davor, beispielsweise die Kontrolle zu verlieren oder auch Hackerangriffen ausgeliefert zu sein.

 

Umgang als Unternehmen

Nicht nur Privatpersonen, sondern vor allem Unternehmen müssen sich mit dem Thema Sicherheit und dem Umgang mit Problemen oder Angriffen befassen. In einer Firma sollten beispielsweise die folgenden Fragestellungen diskutiert werden, um etwaigen Handlungsbedarf zu identifizieren:

  • Ist bei Entscheidern (Management), bei Fachabteilungen, bei Technikern oder auch bei Entwicklern Sicherheitsbewusstsein vorhanden?
  • Gibt es Prozesse für den Umgang mit Sicherheitsfragen im Allgemeinen und bei Problemen, Störungen oder Angriffen?
  • Wie sicher sind implementierte Konzepte wie beispielsweise Datenspeicherung, Backup, Patchmanagement, et cetera oder sind diese gar nicht vorhanden?
  • Werden ausreichend Budget und Ressourcen zur Verfügung gestellt? 

In einem Folgeschritt muss definiert werden, was die eigenen Ziele sind und worin die nächsten Schritte bestehen. Hierbei sind beispielsweise folgende Punkte relevant:

  • Welches sind die Unternehmensziele?
  • Externe Dienstleister können Unternehmen dabei unterstützen herauszufinden, wie der Zustand ihrer IT ist und wie er eventuell sein sollte.
  • Finden regelmäßige Prüfungen der Prozesslandschaft und auch der Konfiguration/Implementierung von Systemen/Software statt, beispielsweise durch die Durchführung von Audits oder Penetrationstests?
  • Sensibilisierung/Schulung von Mitarbeitern: Thema sicheres Surfen im Internet, Umgang mit Malware/Phishing-Angriffen, CEO-Fraud Geschäftsführerbetrug.
  • Mitarbeiter mit entsprechendem Know-how müssen eingestellt beziehungsweise das Wissen muss vermittelt werden.
  • Bewusster, aber nicht panischer Umgang mit dem Thema Sicherheit.
  • Prozesse und Richtlinien müssen vorhanden sein oder zwingend eingeführt werden, um mit einem erfolgreichen Risikomanagement auf Ausnahmesituationen reagieren zu können.
  • Usability vs. Security – diese Konkurrenzsituation kann nicht gelöst werden; es muss eine hinreichend sichere Lösung konzipiert und umgesetzt werden.

Für ein Unternehmen ist es wichtig, dass seitens der Mitarbeiter und vor allem seitens des Managements ein Bewusstsein für Sicherheit vorhanden ist. Zudem müssen Maßnahmen zum Erreichen, dem Erhalt und zur regelmäßigen Kontrolle der gesteckten Ziele für ein gewünschtes Sicherheitsniveau vorhanden sein oder etabliert werden.

Fazit

Ein bewusster Umgang mit IT und dem Internet ist notwendig. Zudem muss der IT ein Grundvertrauen entgegengebracht werden, sonst darf IT nicht verwendet werden und kein weiteres Vertrauen oder keine weitere Sicherheit kann darauf basierend aufgebaut werden. Wichtig hierbei ist eine Beachtung von allgemeinen Richtlinien beim sicheren Umgang mit IT, zum Beispiel dem BSI Leitfaden Informationssicherheit.

Mitarbeiter sollten geschult und sensibilisiert werden, sodass im Unternehmen ein entsprechendes Sicherheitswissen und auch Sicherheitsbewusstsein vorhanden ist. Systemadministratoren oder Entwickler von Software müssen eine entsprechende Kenntnis von Angriffsmöglichkeiten und Gegenmaßnahmen haben, sodass sie überhaupt in der Lage sind, Systeme sicher zu konfigurieren, sichere Software zu entwickeln oder auf Angriffe zu reagieren. Des Weiteren ist es sinnvoll, durch interne oder externe Prüfungen (Audits, Penetrationstests etc.) für eine regelmäßige Momentaufnahme des Sicherheitsniveaus zu sorgen und auf Basis der Ergebnisse das Sicherheitsniveau zu steigern. In einem Unternehmen sollten Prozesse, Maßnahmen und auch Mitarbeiter/Abteilungen existieren, die reagieren, wenn es zu einer Störung oder einem Sicherheitsproblem kommt. Ein Unternehmen muss vorbereitet sein.

Privatanwender sollten ein Sicherheitsbewusstsein bekommen, sodass sie nicht fahrlässig mit ihren persönlichen Daten und dem Internet umgehen. Gerade auch durch den gesellschaftlichen Wandel, der einen umfassenden und permanenten Gebrauch von Smartphones alltäglich gemacht hat, ist es wichtig, besonders bei jungen Menschen ein Bewusstsein für IT-Sicherheit zu schaffen. Ebenso sollte auch die ältere Generation, für die IT oftmals noch Neuland ist, Unterstützung erfahren, sich durch geeignete technische Maßnahmen besser gegen Angriffe wappnen zu können und sich auf diese Weise zu schützen.

Auch die Hersteller von Endgeräten sind gefordert, dass ein Grundschutz beim Verkauf gewährleistet wird, sodass technisch nicht versierte Benutzer kaum oder gar keinen Aufwand betreiben müssen, um einerseits sich auf eine sichere IT verlassen zu können und andererseits auch mit ihr umgehen können.  

Die Umsetzung dieser Maßnahmen kann durchaus dafür Sorge tragen, dass IT-Sicherheit am International Panic Day mit Besonnenheit begegnet wird und dass, egal, welche Vorfälle sich ereignen, der Grundsatz an erster Stelle steht: In der Ruhe liegt die Kraft, auch wenn es Grund zu Panik gäbe. 

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer