Moderne IT-Sicherheitsmythen und die Realität 

Angesichts der zunehmenden Cyberangriffe wird der Schutz digitaler Ressourcen immer komplexer. Doch ein oft unterschätzter Faktor bleibt der Mensch. Mitarbeiter:innen werden gezielt durch Social-Engineering-Taktiken manipuliert, um Sicherheitsmechanismen zu umgehen.

Veraltete Sicherheitspraktiken und Fehlannahmen über Cybersecurity erhöhen das Risiko zusätzlich.

Für eine gute Cybersecurity braucht nicht nur die Software regelmäßig ein Update, sondern auch ihre Anwender:innen. Ein Überblick über sieben weitverbreitete, aber überholte Sicherheitsmythen und effektive Alternativen:

Mythos #1 Regelmäßiger Passwortwechsel erhöht die Sicherheit

Passwörter regelmäßig zu ändern, führt oft zu noch unsichereren Praktiken. Nutzer:innen notieren sie sich oder erstellen vorhersehbare Varianten. Zudem sind moderne Angriffstechniken in der Lage, Passwörter schnell zu knacken – egal wann sie zuletzt geändert wurden. Ein weiteres Problem entsteht durch die Wiederverwendung von Passwörtern auf mehreren Plattformen, wodurch Angreifer:innen durch ein Datenleck Zugang zu vielen Konten erhalten können. Häufig wechseln Nutzer:innen nur einzelne Zeichen aus oder hängen Ziffern an, was Angriffe durch Brute-Force-Methoden erleichtert.

Die sichere Alternative: Passwortrichtlinien mit Multifaktor-Authentifizierung (MFA) und passwortlose Authentifizierung durch biometrische Verfahren oder Hardware-Token erhöhen die Sicherheit nachhaltig. Identity Threat Protection and Response (ITDR) hilft, kompromittierte Zugangsdaten zu erkennen. Zudem sollten Unternehmen regelmäßig prüfen, ob Zugangsdaten in Datenlecks aufgetaucht sind und ihre Mitarbeiter:innen über sie informieren. 

Mythos #2 Verschlüsselte E-Mail-Anhänge sind sicher

Verschlüsselung bedeutet nicht automatisch Sicherheit. Cyberkriminelle nutzen zunehmend ausgefeilte Phishing-Techniken, um Malware zu verbreiten, selbst in verschlüsselten Anhängen. Mitarbeiter können leicht dazu verleitet werden, etwas für legitim zu halten, obwohl es das nicht ist. Denn Moderne Phishing-Methoden werden immer besser.

Viele Unternehmen kennzeichnen zwar externe E-Mails mit Etiketten wie [EXTERN], um die Mitarbeiter:innen vor möglichen Risiken zu warnen. Mit der Zeit neigen diese jedoch dazu, die Kennzeichnung zu ignorieren oder übersehen Unregelmäßigkeiten. ATO-Angriffe (Account Takeover Attacks) umgehen außerdem solche Maßnahmen, indem Cyberkriminelle sich Zugriff auf das Konto eines legitimen Benutzers verschaffen – oft durch Phishing oder gestohlene Anmeldedaten.

Die sichere Alternative: Eine essenzielle Maßnahme sind Mitarbeiterschulungen, damit sie verdächtige Mails und Anhänge erkennen. E-Mail-Filter und Anomalie-Erkennung reduzieren das Phishing-Risiko, können aber gezielte Angriffe nicht vollständig verhindern. Deshalb sollten Unternehmen zudem sicherstellen, dass ihre E-Mail-Systeme modernste Sicherheitsstandards wie DMARC, SPF und DKIM unterstützen. Auch das Verifizieren von Anhängen durch IT-Sicherheitsteams kann helfen, Risiken zu minimieren.

Mythos #3 HTTPS garantiert sichere Webseiten

SSL-Zertifikate schützen lediglich die Datenübertragung zwischen Nutzer:in und Webseite, nicht jedoch vor betrügerischen Websites. Cyberkriminelle nutzen HTTPS, um gefälschte Webseiten seriös erscheinen zu lassen. Besonders tückisch sind Webseiten mit minimalen Variationen der Original-URL, die Nutzer:innen leicht übersehen. Angreifer:innen nutzen häufig internationale Zeichen oder vertauschte Buchstaben, um Nutzer:innen in die Irre zu führen.

Die sichere Alternative: Unternehmen sollten ihre Mitarbeiter:innen sensibilisieren, insbesondere für subtile URL-Manipulationen. Die Validierung von URLs durch Sicherheitstools und eine bewusste Prüfung der Website helfen, Betrugsversuche zu erkennen. Zudem können Browser-Plugins helfen, bösartige Websites automatisch zu erkennen. Die Implementierung von DNS-Filtern kann ebenfalls verhindern, dass Mitarbeiter:innen auf schädliche Seiten zugreifen.

Mythos #4 Jeder Klick auf einen verdächtigen Link installiert Malware

Misstrauen bei unbekannten Links ist angebracht. Aber keine Links anzuklicken ist in der heutigen Zeit keine adäquate Lösung mehr – und ein Klick auf einen korrumpierten Link bedeutet auch noch nicht, dass der Computer gehackt wurde. Doch Vorsicht ist noch immer geboten: Cyberkriminelle nutzen inzwischen Taktiken wie gefälschte Kalendereinladungen, die sehr überzeugend aussehen können.

Die sichere Alternative: Wichtig ist, das Sicherheitsbewusstsein im Umgang mit Links zu stärken. Webfilter und automatische Sicherheitsprüfungen minimieren weitere Risiken. Mitarbeiter:innen sollten Links vor dem Anklicken überprüfen. Mit dem Mauszeiger über Links zu fahren, ist eine einfache Möglichkeit, um deren Legitimität vorher zu prüfen.

Mythos #5 Öffentliches Wi-Fi ist grundsätzlich unsicher

Die Nutzung von öffentlichem WiFi ist oft notwendig, sollte aber mit Vorsicht genossen werden. Das Risiko, dass jemand Daten über ein öffentliches WiFi abfängt, ist ähnlich hoch wie das Risiko in einem GSM-(Mobil-)Netz. Es braucht spezialisierte, teure Tools, um Daten aus einem öffentlichen Netz abzufangen, was es zu einer komplexen und ressourcenintensiven Angriffsmethode macht. 

Die sichere Alternative: Die Nutzung eines sicheren Unternehmens-VPNs oder Zero Trust Network Access (ZTNA) sowie Sicherheitsrichtlinien für die Nutzung öffentlicher Netzwerke minimieren das Risiko. Unternehmen sollten zudem eine starke Endpunkt-Sicherheit gewährleisten, um das Risiko von Angriffen auf mobil Arbeitende zu minimieren. So können sie auch sicherstellen, dass ihr Gäste-WiFi für Besucher:innen sicher ist. Unterwegs kann es sicherer sein Mobilfunknetze oder dedizierte Hotspots zu verwenden. 

Mythos #6 Kommerzielle VPNs sind sicher

Viele kommerzielle VPN-Dienste protokollieren Nutzerdaten oder bieten unzureichende Verschlüsselung. In einigen extremen Fällen können VPNs auch dazu verwendet werden, Malware auf einem Gerät zu installieren. Außerdem können VPN-Leaks dazu führen, dass die tatsächliche IP-Adresse eines Nutzers offengelegt wird.

Die sichere Alternative: Unternehmen sollten auf eigene VPN-Infrastrukturen mit starker Verschlüsselung und Protokollierungsrichtlinien setzen. Zero-Trust-Ansätze und Split-Tunneling erhöhen die Sicherheit zusätzlich. Auch eine Zwei-Faktor-Authentifizierung für VPN-Zugriffe kann die Sicherheit erheblich verbessern.

Mythos #7 Übermäßige Vorsicht schützt besser

Zu viel Misstrauen kann Sicherheitsmüdigkeit fördern und zu Fehlentscheidungen führen. Eine ständige Alarmbereitschaft mindert die Produktivität und erschwert den Alltag der Angestellten. Zudem kann es zu „Alert Fatigue“ führen, bei der Sicherheitswarnungen ignoriert werden. 

Die sichere Alternative: Entscheidend ist der Fokus auf tatsächliche Risiken wie Phishing, Ransomware und Zero-Day-Angriffe sowie auf neue Angriffsarten wie KI-gestützte Cyberangriffe und die entsprechende Weiterbildung der Teams. Echte Bedrohungen zu erkennen, kann eine gezieltere und effektivere Sicherheitskultur fördern. Die Mitarbeiter:innen sollten lernen, ihr persönliches Risiko realistisch einzuschätzen. So ist es beispielsweise wahrscheinlicher, dass sie persönlich ins Visier genommen werden, wenn sie in einer sensiblen Branche arbeiten oder Zugang zu den oberen Ebenen eines Unternehmens haben. Ausgeklügelte Zero-Click-Exploits, bei denen das bloße Öffnen einer Nachricht ein Gerät beschädigen kann, zielen in der Regel auf hochrangige Personen oder solche mit Zugang zu hoch sensiblen Informationen.

Fazit:

Unternehmen müssen nicht nur technologische Schutzmaßnahmen implementieren, sondern auch das Bewusstsein ihrer Mitarbeiter:innen für reale Bedrohungen schärfen. Moderne Sicherheitsstrategien setzen auf eine Kombination aus Zero-Trust-Architektur, KI-gestützten Bedrohungsanalysen und gezielten Schulungen. Nur so lässt sich das Risiko menschlicher Fehler reduzieren und die digitale Sicherheit nachhaltig gewährleistet werden.