Auch ich bin bislang davon ausgegangen, dass rund 70 % aller Angriffe und Torheiten gegen die IT-Sicherheit von nachlässigen, uninformierten oder sogar böswilligen Mitarbeitern aus der IT-gestützten Organisation ausgehen (1). Eine Studie von Verizon Business widerspricht dem jetzt. Für die Untersuchung wurden Ursachen und Auswirkungen von Einbrüchen analysiert, bei denen allein 2008 insgesamt 285 Millionen Datensätze abhanden kamen. (2)

Nur bei rund 20 Prozent verursachten Mitarbeiter den Einbruch und bei 32 Prozent waren Partnerfirmen im Spiel. Dabei wurden selbst Einbrüche über Systeme von Mitarbeitern, die sich beim Surfen im Web unbeabsichtigt infiziert hatten, als interne Ursache gezählt.

Ob sich dieses Ergebnis auch bei anderen Untersuchungen bestätigt, bleibt abzuwarten. Ein falscher Schluss wäre es jedenfalls, die IT-Sicherheit in Bezug auf die eigenen Mitarbeiter zu vernachlässigen. Nach den aktuellen Prognosen wird die Zahl der gezielten Angriffe auf vertrauliche Informationen zunehmen (3) - und dazu werden alle Möglichkeiten ausgeschöpft, die die Malware und das Social Engineering zur Verfügung stellen.
 

... mit Fälschungen

Zwei Computerhändler aus Nürnberg und München sind laut vom Amtsgericht Nürnberg am 25.03.2009 - 432 Ls 503 Js 1447/06 - zu Freiheitsstrafen verurteilt worden, weil sie 8.500 in Russland gefälschte CD-ROMs mit Microsoft Windows XP Professional sowie die entsprechenden Handbücher für den fünffachen Einkaufspreis vermarktet haben (4). Dazu habe einer der beiden Verurteilten die Echtheitszertifikate (so genannte Certificate of Authenticity Label, "CoA Label") von gebrauchten Computern mit Fön und Messer abgelöst und den Datenträgern beigelegt.

Das ist in der Tat dreist.
 

(1) zuletzt: Social Engineering, Risikofaktor Mensch

(2) Studie läutet das Ende der Legende vom internen Angreifer ein, Heise online 17.04.2009

(3) ebenda (1), rechte Spalte am Ende
 

 
(4) Gericht bestraft Handel mit gefälschten Windows-CDs, Heise online 15.04.2009;
Microsoft, Raubkopien im großen Stil gewerbsmäßig vertrieben, Presseerklärung vom 15.04.2009