73874

Sicherheitsrisiko Anwender, Folge 2

12.05.2006 | 08:37 Uhr |

Die Wiederholung eines Experiments, bei dem Anwender dazu gebracht werden sollten, die Sicherheitsrichtlinien ihrer Unternehmen zu unterlaufen, fand diesmal in München statt, mit ähnlichem Ergebnis.

Bereits im Februar dieses Jahres führte ein britisches Schulungsunternehmen ein Experiment durch, mit dem gezeigt werden sollte, wie leicht Anwender dazu gebracht werden können Sicherheitsgedanken beiseite zu schieben, wenn eine Belohnung lockt. In London wurden CD-ROMs verteilt und der Gewinn einer Reise versprochen ( wir berichteten ).

Im April wiederholte die deutsche Niederlassung von The Training Camp diesen Versuch in München. Wieder wurden hundert CD-ROMs verteilt, diesmal mit der Aussicht verbunden, es gäbe Eintrittskarten für die Fußballweltmeisterschaft zu gewinnen. Dazu müssten die verteilten CD-ROMs eingelegt werden.

Die CDs waren mit deutlichen Warnhinweisen bedruckt. Die Anwender sollten sich vor dem Einlegen der CD mit den Sicherheitsrichtlinien ihres Unternehmens vertraut machen, die das Einlegen mitgebrachter Datenträger meist untersagen. Die CDs enthielten keine schädlichen Programme und installierten auch nichts auf den Rechnern.

Die unter Windows automatisch startende CD lud lediglich eine winzige Bilddatei aus dem Internet herunter. Dabei handelte es sich um einen so genannten "Web-Bug", eine meist nur einen Pixel große Bilddatei, die nur zum Zählen der Aufrufe dient. Aus den Zugriffsprotokollen des Web-Servers lässt sich leicht ermitteln, wie viele Anwender die CD eingelegt haben. Auch die IP-Adressen der benutzten Rechner werden protokolliert und erlauben Rückschlüsse darauf, woher die Aufrufe kommen.

Bei hundert in der Münchner Innenstadt unters Volks gebrachten Datenträgern verzeichneten die Tester immerhin 72 Aufrufe des Zählpixels, in London waren es 75. Darunter waren auch Mitarbeiter großer Unternehmen, in denen zweifellos Richtlinien existieren, gegen die das Einlegen einer solchen CD verstoßen dürfte. Ein böswilliger Angreifer hätte auf diese Weise leicht Spionage-Programme in die Unternehmen einschleusen können.

Das Schulungsunternehmen Training Camp will damit demonstrieren, wie wichtig die Information und Weiterbildung von Angestellten ist. Richtlinien, Verbote und technische Maßnahmen allein genügen nicht, um die IT-Sicherheit in einem Unternehmen zu gewährleisten. Ein Schelm, wer da nur an Eigenwerbung denkt...

0 Kommentare zu diesem Artikel
73874