Bundesamt für Sicherheit in der Informationstechnik

G 2.141 Nicht erkannte Sicherheitsvorfälle

Im täglichen IT -Betrieb einer Behörde oder eines Unternehmens können eine hohe Anzahl von Störungen und Fehlern auftreten. Dabei besteht die Gefahr, dass Sicherheitsvorfälle durch das Personal nicht als solche identifiziert werden und ein Angriff bzw. Angriffsversuch unerkannt bleibt. Auch wenn die Benutzer und Administratoren ausreichend für die Belange der Informationssicherheit sensibilisiert bzw. geschult sind, kann es dazu kommen, dass sie Sicherheitsvorfälle nicht erkennen.

Beispiele hierfür sind:

  • Die Beeinträchtigung der Kapazität der Internetanbindung wird auf die mangelnde Leistung des Internet Service Providers geschoben, ohne eine genaue Verkehrsanalyse durchzuführen. Die wirkliche Ursache für die Kapazitätseinbußen ist aber ein kompromittierter Server im LAN , der als illegaler Dateiserver benutzt wird und dadurch Bandbreite konsumiert.
  • Ein Benutzer bekommt bei der Anmeldung an einer IT-Anwendung den Hinweis, dass er das letzte Mal am Sonntagmorgen angemeldet war, obwohl er am Wochenende nicht gearbeitet hat. Der Benutzer schöpft keinen Verdacht und meldet diesen Vorfall nicht dem Sicherheitsverantwortlichen. Dadurch bleibt die Tatsache verborgen, dass ein Angreifer Zugang zum Benutzerprofil des Benutzers oder dessen Passwort ermittelt hat.
  • Ein Notebook-Benutzer, der seit längerer Zeit nicht im lokalen Netz seiner Firma oder Behörde angemeldet war, hält die seit einer Woche auftretende extreme Verlangsamung seines Notebooks während des Internetzugangs für normales Verhalten und bemerkt nicht, dass ein trojanisches Pferd aktiv ist. Er wurde nicht geschult, bei verdächtigen Auffälligkeiten den Sicherheitsverantwortlichen zu informieren.
  • Ein Geschäftsreisender bemerkt nicht, dass die Daten seines Notebooks während eines Auslandsaufenthalts heimlich ausgespäht wurden. Er schöpft keinen Verdacht, als sein Notebook in seinem Hotelzimmer für kurze Zeit verschwunden ist und plötzlich wieder auftaucht.
  • Ein Einbruchsdiebstahl in einer Filiale wird für einen Fall von Beschaffungskriminalität gehalten, da Notebooks und Flachbildschirme entwendet wurden. Der Tatsache, dass sich auf den Notebooks vertrauliche Informationen und Zugangsdaten für Systeme im Intranet befunden haben, wird keine größere Bedeutung beigemessen und der Sicherheitsverantwortliche nicht informiert. Auf die nachfolgenden Angriffe auf die IT-Systeme anderer Standorte und der Firmenzentrale ist das Unternehmen daher nicht vorbereitet. Für die Planung und Durchführung des Angriffs werden die auf den gestohlenen Notebooks gefundenen Daten verwendet.

Stand: 11. EL Stand 2009