Panik ist ein schlechter Berater

Sicherheitsanalyse ohne Hysterie

Kommentar von Sergej Schlotthauer, CEO von Egosecure, über die Lehren aus Bad-USB und anderen IT-Attacken

  • Sergej Schlotthauer, CEO von Egosecure, erklärt anhand des „PAIN“-Phänomens die Reaktionen auf neue Sicherheitslücken im Unternehmenssystem.

Im Sommer 2014 ging ein Aufschrei durch die Republik – eine neue, ­ex­trem gefährliche Spezies wurde entdeckt: der Bad-USB-Stick. Die Gefahren, die von USB-Speichermedien ausgehen, sind jedoch nicht neu. Immer wieder werden Fälle bekannt, in denen Daten gestohlen oder genutzt werden, um Viren und Trojaner einzuschleppen. Ende 2014 traf es sogar das Bundeskanzleramt, das sich über den privaten USB-Stick einer Mitarbeiterin einen Trojaner einfing. Ein sogenannter Bad-USB verschärft diese Problematik, da er sich als Maus oder Tastatur ausgibt und vom Computer nicht erkannt wird.

Also ist mal wieder Hysterie angesagt und der „PAIN-Effekt“ setzt ein. PAIN steht für die Anfangsbuchstaben der Worte „Panik“, „Ausnutzen“, „Ignorieren“ und „Nichtstun“ – ein Phänomen, das immer wieder zu beobachten ist, wenn eine potentielle Gefahr durch die Medien geistert. Am Beispiel Bad-USB sieht das wie folgt aus:

Punkt 1 – Panik: Was ist passiert? Zwei Sicherheitsspezialisten haben einen USB-Stick mit einem hohen Aufwand manipuliert. Dadurch konnten sie über einen Rechner, der nur durch eine Antivirus-Lösung geschützt war, eine Verbindung nach außen aufbauen und die Kontrolle übernehmen. In den Medien waren daraufhin folgende Sätze zu lesen: „Nicht kontrollierbare Viren“, „kein Schutz möglich“, „jeder Rechner ist zum Abschuss freigegeben“. Wer nur die Überschriften liest, hat schnell das Gefühl, einem übermächtigen Gegner gegenüberzustehen – in einer Welt, die für viele mittlerweile nur noch aus Smartphones und Rechnern besteht.

Punkt 2 – Ausnutzen: Aufklärung steht in einer solchen Situation nicht im Fokus. Im Gegenteil, manche selbsternannten Sicherheitsexperten nutzen die Situation, die sie zum Teil selbst geschaffen haben, für eigene Interessen aus. Plötzlich melden sich in Unternehmen gefühlt tausende IT-Firmen, die alle behaupten, dass ein solcher Vorfall mit ihren Lösungen nicht möglich gewesen wäre. Geschäftstüchtige IT-Unternehmen haben natürlich ein Interesse daran, ein noch düsteres Bild zu malen. Da der Nutzer aufgrund der verbreiteten Panik jedoch gar nicht weiß, wie groß die Bedrohung wirklich ist und ob man überhaupt zu den Betroffenen zählt, versucht jeder Hersteller sein Lösungskonzept als das Ultimative zu verkaufen. Im Fall der Bad-USB´s boten sich sogar Hersteller an, die nichts weiter können, als USB-Sticks zu blocken. Eine solche Lösung führt natürlich am eigentlichen Problem vorbei.

Punkt 3 – Ignorieren: Um die Panik nicht abzuschwächen, werden ganz bestimmte Fakten einfach vergessen. So wurde im allgemeinen Bewusstsein unterschlagen, dass jeder USB-Stick für einen Angriff aufwändig präpariert werden muss. Es ist zudem nicht geklärt, ob überhaupt jeder USB-Stick für eine solche Attacke geeignet ist. Verschwiegen wird auch die Problematik, dass der Täter es organisieren muss, dass der präparierte Stick auch tatsächlich benutzt wird und vor allem, dass der Rechner nicht über eine Software verfügt, die ihn schützt.

Punkt 4 – Nichtstun: Nachdem genügend Panik verbreitet, alle Fakten zur Abschwächung zurückgehalten und Unternehmen ununterbrochen von allen möglichen Lösungsanbietern malträtiert wurden, passiert üblicherweise Folgendes: Die Sicherheitsverantwortlichen sind derart verwirrt und frustriert, dass sie nicht wissen, was sie machen sollen. Es kommt zum typischen Nichtstun. Eine Haltung, die man sehr gut verstehen kann und budgetschonender ist, als panisch irgendwelche Lösungen einzukaufen, die man eigentlich gar nicht benötigt. Jedoch führt dieses Nichtstun leider auch dazu, dass IT-Verantwortliche die richtigen Dinge verschlafen.

Im Falle von Bad-USB war die Grundbotschaft  recht einfach: Antivirenlösungen alleine reichen nicht aus, um ein Unternehmen umfassend zu schützen. Es gilt also für jedes Unternehmen, nüchtern und abseits jeder Hypehysterien, proaktiv den Sicherheitsbedarf zu analysieren und die Wege, die die Daten im Arbeitsprozess nehmen, abzusichern. 

 

Bildquelle: Thinkstock/ iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok