Seit Jahren plädieren wir IT-Techniker auf mehr Schulung und Sensibilität im Bereich der IT-Sicherheit in Unternehmen und zu Hause. In vielen Firmen finden inzwischen regelmässig Kurse und Workshops statt, in denen der Umgang mit Phishing-Mails und Viren geschult wird. Allerdings scheint dies noch nicht bei allen angekommen zu sein, was man auch an einigen Social Media Profilen sehr gut erkennen kann. Als Informatiker jedoch, sollte man schon eine gewisse Kompetenz im Bereich der IT-Sicherheit mitbringen. Die folgende Geschichte zeigt jedoch, dass dies wohl immer noch Wunschdenken ist.
In Einzelunternehmen und kleinen KMU ist es gängige Praxis, die IT von einem entsprechenden Dienstleister erledigen zu lassen. Eine entsprechende Stelle zu schaffen ist erstens für viele zu teuer, zweitens fehlen wie so häufig die Fachkräfte. Ein solcher Dienstleister kümmert sich dann um das Einrichten neuer Geräte, die E-Mail Services und alle Art von IT-Supportanfragen.
Im vorliegenden Fall kam es genau zu einer solchen Situation, dass ein neues Gerät eingerichtet und für den Benutzer vorbereitet werden sollte. Dies bedeutet zum einen eine Einbindung in die Active Directory Domäne, die im gesamten Unternehmen genutzt wird. Zum anderen mussten speziellere Software-Pakete installiert werden, die teilweise tief ins System eingreifen, da eine Hardware Verbindung hergestellt werden musste. Dies könnte man professionell erledigen, indem auf dem entsprechenden Gerät die benötigten Pakete mit einem Administrator installiert werden, wenn man schon keine Software-Verteilung bemühen möchte.
Die schnellere Variante ist aber, den entsprechenden Benutzer per E-Mail anzufragen und nach dem persönlichen Passwort zu fragen, da man die Software gerade bei ihm installieren könne. Der Mitarbeiter fand dies komisch und leitete die E-Mail an die interne Spam-Meldestelle weiter. Von dieser bekam er den folgenden Rat:
Ändere dein Passwort einfach und gib ihnen dieses per Telefon durch.
Spam Meldestelle
Meiner Meinung nach haben in diesem Fall mehrere Stellen versagt. Das persönliche Passwort, ob nun geändert oder nicht, ist geheim und darf nicht an Dritte kommuniziert werden. Wenn ein IT-Dienstleister solche Forderungen stellt, weiss man eigentlich schon, dass der nichts taugt. So haben es Betrüger sehr einfach an Passwörter zu kommen, wenn die Anfrage dafür augenscheinlich vom Dienstleister stammt. Da nützen alle Social Engineering Trainings, Spam Workshops und andere Sinnlosigkeiten nichts, wenn man so einfach an ein Passwort kommt. Die Spam Meldestelle muss aus meiner Sich dem Dienstleister klar machen, dass Passwörter nicht herausgegeben werden.
Tipps am Ende
Liebe Mitarbeiter, Abteilungsleiter und CEOs: Sendet bitte niemals, aber auch wirklich niemals euer Passwort an irgendjemanden. Ihr wisst nicht, was getan wird, wenn sich der Dienstleister mit eurem Profil auf eurem Gerät anmeldet und ihr nicht dabei seit. Ausserdem ist dies in den meisten Fällen nicht zwingend notwendig sondern einfach nur der schnellere Weg, der aber nicht auf Kosten der Sicherheit beschritten werden darf. Bitte bedenkt ausserdem, dass auch bei einem betrieblichen Profil persönliche Daten auf eurem System existieren, die niemanden was angehen. Sollte wirklich einmal der Zugang zum Profil notwendig sein, besteht darauf zuschauen zu dürfen, egal ob physisch oder per Fernwartung.
Ein professioneller und seriöser Informatiker würde von euch niemals Zugangsdaten für einen Account anfragen, sondern immer das Angebot der Fernwartung oder direkten Support unterbreiten. Nehmt das dann auch bitte an, auch wenn dies mit Kosten verbunden ist – Für eure und die Sicherheit des Unternehmens.
