Bild: 3D-Grafik FH Cmapus Wien

News

Show only:

IT-Security: Unterschätzte Ursachen für Hackerangriffe

Image IT-Security
© Spiola
Datensicherheit ist durch die immer häufiger publik werdenden Hackerangriffe wieder mediales Dauerthema. Für Unternehmen und die breite Öffentlichkeit bleiben dennoch eine Menge Fragen offen: Was ist in den betroffenen Unternehmen selbst schief gelaufen? Kann hacken verhindert werden? Schafft das Masterstudium IT-Security Abhilfe? Diese und mehr Fragen haben wir unseren Experten vom Kompetenzzentrum für IT-Security, FH-Prof. Dipl.-Inform. Dipl.-Wirt. Inform. Matthias Peter Hudler und DI Manuel Koschuch, gestellt.

Was ist bei den letzten „Hackerangriffen“ in den Unternehmen schief gegangen?

Der Großteil der in jüngster Zeit kolportierten „Hackerangriffe“ hatte nicht technisches, sondern menschliches Versagen als Ursache. So wurden beispielsweise sensible Daten zum einfacheren Austausch ungeschützt auf öffentlich erreichbare Server transferiert oder von InformantInnen weitergegeben.

In so gut wie keinem dieser Fälle wurden existierende IT Schutzmaßnahmen tatsächlich lahmgelegt oder von den AngreiferInnen umgangen.

 

Dies zeugt in erster Linie von dem immer noch vorhandenen mangelnden Problembewusstein und einer oftmals zu gering betriebenen Reflexion über die eingesetzten Schutzmechanismen. Sobald eine zum Schutz sensibler Unternehmens- oder Personendaten eingesetzte Richtlinie oder Technologie die MitarbeiterInnen bei der produktiven Erfüllung ihrer täglichen Aufgaben behindert, wird diese zu umgehen versucht werden.

 

Eine aktuelle Studie des amerikanischen Departments of Homeland Security1,2 zeigte, dass 60 Prozent der Testpersonen einen offen herumliegenden USB Stick ohne weitere Überprüfungen in Ihren Rechner einsetzten und damit potentielle Schadsoftware installiert hätten. Trug der Stick ein offizielles Logo, waren es sogar 90%. Die daraus abgeleitete Erkenntnis „There’s no device known to mankind that will prevent people from being idiots“ greift allerdings eindeutig zu kurz.

 

Bruce Schneier bringt es auf den Punkt, wenn er sagt: „Maybe it would be [the right response] if 60% of people tried to play the USB sticks like ocarinas, or tried to make omelettes out of the computer disks. But not if they plugged them into their computers. That's what they're for.“1

 

Das eigentliche Problem liegt in der oft fehlenden holistischen Betrachtung des Gesamtsystems. In der Praxis besteht das nun einmal immer aus einer Kombination aus technischen und menschlichen Aspekten.

 

Die Aufgabe der IT-Sicherheitsverantwortlichen muss es also sein, zum einen die MitarbeiterInnen für sensible Daten und den Schutz selbiger zu sensibilisieren. Zum anderen, die technische Infrastruktur zum Großteil so abzusichern, dass die durch menschliche Fehler entstandenen Auswirkungen so gering wie möglich bleiben. Und dabei gilt es auch immer eines im Auge zu behalten: kein System kann jemals zu 100% abgesichert werden.

 

 

Wo liegt das Problem bei den Verantwortlichen?

Meist fehlt es, wie bereits oben erwähnt, bei den MitarbeiterInnen einfach am Bewusstein für die Konsequenzen  die ihr Handeln in Bezug auf die Sicherheit der Unternehmensdaten auslöst. Hier wären dann die betrieblichen IT-Sicherheitsverantwortlichen gefordert, dieses Bewusstsein zu wecken und den MitarbeiterInnen einfache Tools und Verhaltensregeln für den Ernstfall in die Hand zu geben. Dazu zählt aber auch, selbst das eigene System von einem abstrakten Standpunkt aus auf mögliche sicherheitsrelevante Problematiken zu untersuchen.

 

 

Wenn ich den Studiengang IT-Security absolviert habe, kann ich dann das „Hacken“ meines Systems verhindern?

Das Hauptaugenmerk im Masterstudium „IT-Security“ liegt darauf, notwendiges Bewusstsein zu schaffen und etwaige Sicherheitsproblematiken im Betrieb schnell erkennen und abwenden zu können. Gerade in einem so schnellebigen Bereich wie der IT ist die Behandlung ganz konkreter Probleme in der Ausbildung bestenfalls als Beispiel für eine allgemeine Klasse von Angriffen praktikabel. Viel wichtiger ist es,  ein tiefes, grundlegendes Verständnis für die unveränderlichen Konstanten aufzubauen: die generelle Funktionsweise von Hard- und Software, die Besonderheiten die durch die fortschreitende Vernetzung entstehen, aber auch die Rolle der MitarbeiterInnen in der unternehmensweiten Sicherheitsstrategie.

 

Im Studiengang vermitteln wir fundiertes Wissen um die technischen Grundlagen. Dies ermöglicht den AbsolventInnen, in den Medien publizierte Sicherheitslücken, die teilweise eigentlich schon seit Jahren veröffentlicht und bekannt sind (wie bei der aktuellen TLS/SSL Problematik), qualifiziert zu bewerten.

 

 

Für welche Personen ist der Studiengang konzipiert?

Die formale Voraussetzung ist ein facheinschlägiger (also informationstechnischer) Bachelor. Wir haben aktuell allerdings Studierende aus den unterschiedlichsten Bereichen: teils BachelorabsolventInnen, die direkt ein Masterstudium anschließen möchten, teils Diplomingenieure mit bereits jahrelanger Berufserfahrung, die wertvolle Zusatzqualifikationen im Security Bereich erwerben möchten und ihre praktischen Erfahrungen mit theoretischen Grundlagen unterfüttern wollen.

 

Das Studium ist derart aufgebaut, dass im  ersten Semester durch einführende Lehrveranstaltungen versucht wird, jeden/jede dort abzuholen, wo er/sie steht, um dann ab dem  zweiten Semester auf einer gemeinsamen Basis aufbauend, konkrete Themen vertiefen zu können.

 

 

Welche anderen Themen werden im Studiengang IT-Security abgedeckt?

Neben der Beschäftigung mit kryptographischen Algorithmen in Theorie und Anwendung sowie Netzwerkstrukturen hat auch die Betrachtung des Menschen als Sicherheitsfaktor einen großen Stellenwert im Studium.

 

So gibt es beispielsweise im dritten Semester, neben einer technischen, auch eine Vertiefungsrichtung „Soziale Sicherheitsaspekte“, die Verständnis für menschliche Handlungsweisen vermittelt.

 

Darüber hinaus sind über das ganze Studium auch „soft-skill“ Fächer wie „Kommunikative und soziale Kompetenzen“ bzw. „Persönlichkeitsentwicklung“ verteilt, die den AbsolventInnen den oben bereits angesprochenen und so wichtigen Blick „über den Tellerrand hinaus“ auf ein gesamtheitliches Bild der IT-Sicherheit in einem Unternehmen ermöglichen sollen.

 

 

Wie sieht das Verhältnis von Theorie und Praxis aus?

Gerade in einem so schnellebigen Bereich wie der IT hilft die beste Praxis nicht, wenn sie nicht durch fundiertes Verständnis der grundlegenden Mechanismen untermauert wird. Auf der anderen Seite schult nichts so sehr das Verständnis für theoretische Betrachtungen wie ein gut gewähltes praktisches Beispiel.

 

Unter dieser Prämisse versuchen wir auch im Studium, ein gesundes Verhältnis zwischen - durch praktische Übungen aufgelockerte - Grundlagenvorlesungen und, teilweise umfangreichen, Laborexperimenten zu schaffen. 

 

 

[1] http://www.schneier.com/blog/archives/2011/06/yet_another_peo.html

[2] http://www.bloomberg.com/news/2011-06-27/human-errors-fuel-hacking-as-test-shows-nothing-prevents-idiocy.html

 

Mehr Infos:

Kompetenzzentrum für IT-Security

Masterstudium IT-Security

 

News Archive
2007
2006