03.11.2005, 17:57 Uhr
Schwachstelle ist der Mensch
Als relativ junges Thema prägte die soziale Komponente der IT-Sicherheit diverse Vorträge der diesjährigen Tagung Swiss Infosec.
Social Engineering hält nun auch bei den Security-Spezialisten Einzug. Der Riskofaktor Mensch war Schwerpunktthema an der Swiss Infosec 2005.
Als fünfte Dimension der IT-Sicherheit müsse der Schutz der Privatsphäre der Mitarbeiter in den Unternehmen eingeführt und zu den etablierten Faktoren Vertraulichkeit, Verbindlichkeit, Verfügbarkeit und Integrität hinzugezählt werden. Das jedenfalls betonte Hannes Lubich, Sicherheitsstratege bei Computer Associates (CA), in seinem Vortrag an der diesjährigen Swiss Infosec, die kürzlich im Zürcher Airport Conference Center über die Bühne ging. Der Einsatz von Sicherheits-Tools müsse entsprechend optimiert werden, forderte Lubich. Dass eine «sichere IT» am Ende immer mit dem letztlich unberechenbaren Faktor Mensch konfrontiert wird, verlor allerdings keiner der 21 Referenten an der dreitägigen Veranstaltung in Kloten aus den Augen.
Am ersten Tag standen Konzepte ganzheitlicher Sicherheitsbetrachtungen im Zentrum der Vorträge, die keinen Zweifel daran liessen, dass es die eine Lösung mit einem einzigen Gerät für alle Probleme schlicht nicht gibt und auch nicht geben wird. Dass nicht alles gut ist, was technisch gemacht werden kann, zeigten dann die Erfahrungsberichte am zweiten Tag. Der letzte Swiss-Infosec-Tag schliesslich fokussierte das junge Thema Social-Engineering. In den diversen Beiträgen ging es nicht nur um die Gegenüberstellung des «gläsernen» und des loyalen Mitarbeiters mit seinen Rechten. Vielmehr fragten die Spezialisten nach dem Umgang mit dem sich inzwischen sukzessive herausbildenden neuen Typ von Angreifer. Social Engineering heisst für diesen das Ausnutzen menschlicher Schwächen, um sich vertrauliche Daten erschleichen zu können.
Am ersten Tag standen Konzepte ganzheitlicher Sicherheitsbetrachtungen im Zentrum der Vorträge, die keinen Zweifel daran liessen, dass es die eine Lösung mit einem einzigen Gerät für alle Probleme schlicht nicht gibt und auch nicht geben wird. Dass nicht alles gut ist, was technisch gemacht werden kann, zeigten dann die Erfahrungsberichte am zweiten Tag. Der letzte Swiss-Infosec-Tag schliesslich fokussierte das junge Thema Social-Engineering. In den diversen Beiträgen ging es nicht nur um die Gegenüberstellung des «gläsernen» und des loyalen Mitarbeiters mit seinen Rechten. Vielmehr fragten die Spezialisten nach dem Umgang mit dem sich inzwischen sukzessive herausbildenden neuen Typ von Angreifer. Social Engineering heisst für diesen das Ausnutzen menschlicher Schwächen, um sich vertrauliche Daten erschleichen zu können.
