Das schwächste Glied einer jeden Kette...

Jedem Menschen, der wenigstens halbwegs mit geöffneten Augen durch’s Leben geht, muß eigentlich klar sein, daß nicht alle Mitmenschen um uns herum Anwärter auf den nächsten Nobelpreis sind - um es “zahm” auszudrücken. Heute z.B. stand ich, einen leicht lädierten Anzug unter’m Arm, in einer Reinigung. Vor mir eine junge, blonde (ich liebe ja Klischees!) Frau, die wohl den Anzug ihres Freundes (ich nehme das jetzt nur mal an, es soll ja auch Frauen geben, die sich darin wohl fühlen) abholen wollte. Die Angestellte überreicht ihr also den Kassenzettel und meint, das ganze kostet 11,78€. Die Frau sucht eine halbe Ewigkeit in ihrem Geldbeutel herum und drückt der Dame schließlich einen 5€-Schein sowie einen erkleckliche Zahl an Kleingeld in die Hand. Die Kassiererin zählt nach und meint sodann: “Das sind ja nur 5,78€, da fehlen noch sechs.” Die Blondine junge Frau greift in ihren Geldbeutel, zieht einen weiteren 5€-Schein hervor und meint lächelnd: “Oh, das tut mir leid. Jetzt stimmt es aber!” Unnötig zu sagen, daß es mir wirklich schwer gefallen ist, nicht zu lachen.

Aber die Menschen sind auch leichtgäubig - man nehme nur das Paradebespiel eBay. Ich will hier nicht zum 1000sten Mal alte Kamellen ausbreiten, aber selbst wenn man Google nur wenig kreativ befragt, dann wird man mehr als fündig. Und ich kann mich noch dunkel an ein Format der öffentlich-rechtlichen Sender erinnern, daß den Titel Vorsicht Falle! trug. Potential dafür, sich treudoof und ohne allzuviel Überlegung in die Irre führen zu lassen, scheint es also genug zu geben.

Jetzt mag sich manch einer Fragen, warum das alles in der Kategorie Technikzu suchen hat. Die Antwort ist einfach: Bereits im März hat die Firma MessageLabs in einem Bericht vor einer Zunahme von gezielten Angriffen auf einzelne Anwender in Unternehmen gewarnt. Mittlerweile sind mehr als drei Monate vergangen, und der neueste Report deckt noch mehr auf: Anstatt nur gezielt die betreffenden Mitarbeiter mit diversen Angriffen durch mit Malware verseuchte Anhänge in eMails u.ä. auf’s Korn zu nehmen, werden mittlerweile auch ganz gezielt Familienmitglieder angegriffen. Bei heise online gibt es den Bericht zusammengefasst und auf Deutsch: Die Aufstellung, welche Zielgruppen dort die beliebtesten Opfer sind, spricht Bände: 30% Chief Investment Officer, 11% Vorstandsvorsitzende, 7% Leiter der Unternehmenskommunikation und 6% Finanzvorstände. Verwunderlich ist das nicht, die wenigstens Menschen auf diesen Posten dürften explizit sensibilisiert für solche Attacken sein, und die Möglichkeit, sie auszuspionieren, eröffnet kriminellen Elementen sicher ein lukratives Betätigungsfeld. Der Fairness halber möchte ich hier aber zu Protokoll geben, daß auch die Mitglieder der diversen IT-Ressorts in allen Firmen, die ich bisher erleben durfte, nicht immer genug auf die Sicherheitsaspekte ihrer Arbeit achten - und wenn doch, dann meistens nur für die Zeit, wenn Audits nach Richtlinien wie ISO27001 o.Ä. entweder gerade bevorstehen oder noch nicht lange zurückliegen.

Somit bestätigt die aktuelle Entwicklung - wenn man die ausgenuckelte Diskussion um Sicherheitslücken und Software-Monokulturen beiseite lässt - mal wieder eine alte Binsenweisheit der Informatik: “Make something foolproof, and someone will invent a better fool” - oder anders gesagt, das schwächste Glied in der Kette der IT-Sicherheit war schon immer, ist derzeit und wird auch stets der Mensch bleiben.