Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Cybersecurity Binaercode 1092100238 700

Mittlerweile gibt es kaum mehr jemanden, der nicht in irgendeiner Weise mit IT-Sicherheit konfrontiert wäre – sei es beim morgentlichen Login in den Arbeitsrechner, beim Installieren eines smarten Haushaltsgerätes oder beim Lesen über den nächsten großen Hack eines Unternehmens. 

Trotz des verstärkten Fokus auf die Cybersicherheit von Unternehmen, etwa durch Schulungen, gibt es nach wie vor mehrere gängige Missverständnisse und Mythen, die anscheinend nur schwer aus der Welt zu räumen sind. Dabei handelt es sich um viele scheinbare Wahrheiten, die zwar oft wiederholt werden, aber dadurch nicht richtig werden. Das Problem ist dabei: Folgt und glaubt man ihnen, wird es schnell gefährlich.

Mythos 1: Ein starkes Passwort schützt den Zugriff auf sensible Konten

Starke Passwörter sind sicherlich eine wesentliche Grundlage für Cybersicherheit, insbesondere in Unternehmen. Die Implementierung und Durchsetzung starker Kennwortrichtlinien ist jedoch nur der Anfang, der durch weitere Maßnahmen wie etwa eine Zwei-Faktor-Authentifizierung und effektives Monitoring ergänzt werden muss. Tatsächlich ist eine der Hauptkomponenten der Cybersicherheitsprävention, die oft von Unternehmen übersehen wird, nicht, wie die Menschen auf die Informationen zugreifen, sondern welche Informationen überhaupt zugänglich sind. Mitarbeiter benötigen entsprechend nicht nur sichere Passwörter, sondern Unternehmen müssen auch besser wissen, wem sie den Zugriff auf welche Daten gestatten. So zeigt der Datenrisiko-Report 2018, dass in 41 Prozent der Unternehmen sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien – wie personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – haben. Darüber hinaus verfügen viele Unternehmen auch nicht über ein System zur Überwachung des Administratorzugriffs und haben keinerlei Einblick, was ihre Nutzer mit welchen Daten anstellen.

Mythos 2: Hacker interessieren sich nicht für KMUs

Betrachtet man die Berichterstattung über Cyberangriffe, könnte man zu dem Schluss kommen, dass diese in erster Linie auf Großkonzerne gerichtet sind. Dabei ist das Gegenteil der Fall: Laut dem Verizon Data Breach Investigations Report 2018 sind 58 Prozent der Opfer von Datenschutzverletzungen kleine Unternehmen. Dies hat mehrere Gründe: Viele Unternehmen werden nicht gezielt ausgewählt, sondern sind Opfer von so genannten „Spray-and-Pray“-Angriffen. Dabei richten Hacker automatisierte Systeme ein, um Unternehmen zufällig zu infiltrieren. Sie schießen sozusagen mit einer Schrotflinte und schauen, wen sie dabei treffen. Auf diese Weise kann jedes Unternehmen, unabhängig von seiner Größe, zum Opfer werden. Zudem sind kleinere Unternehmen in der Regel „weichere“ Ziele, da sie weniger Mittel für fortschrittliche Security-Lösungen zur Verfügung haben und oft keine qualifizierten Sicherheitsteams haben. Auch dies erhöht die Wahrscheinlichkeit, dass sie Opfer von Angriffen werden. 

Mythos 3: Nur bestimmte Branchen sind anfällig für Cyberangriffe

So wie einige Unternehmen glauben, dass sie wegen ihrer Größe nicht angegriffen werden, gehen andere fälschlicherweise davon aus, dass ihre Branche für Cyberkriminelle uninteressant sei. Dieser Mythos geht auch Hand in Hand mit dem Glauben, dass einige Unternehmen nichts „Wertvolles“ zu stehlen haben. Die Realität ist, dass alle sensiblen Daten, von Kreditkartennummern über Adressen bis hin zu persönlichen Daten, ein Unternehmen zu einem Ziel machen können. Und selbst wenn tatsächlich keinerlei Daten vorhanden sind, die sich im Darknet verkaufen lassen, können sie dennoch für die eigene Geschäftskontinuität wichtig sein und die Unternehmen so für Ransomware-Angriffe anfällig machen. 

Mythos 4: AV-Software schützt mich umfassend

Zugegeben, dieser Mythos verblasst in der letzten Zeit ein wenig, ist aber immer noch weit verbreitet. Antivirensoftware ist sicherlich ein wichtiger Teil der Sicherheit eines Unternehmens, aber sie schützt bei Weitem nicht vor allem. AV-Lösungen sind lediglich der Anfang eines umfassenden Cybersicherheitsplans. Um ein Unternehmen wirklich zu schützen, benötigt man eine umfassende Sicherheitsstrategie, die alles umfasst – von der Mitarbeiterschulung über die Identifizierung, von Insider-Bedrohungen bis hin zum Notfall-Management.

Mythos 5: Die Bedrohung kommt von außen

Während Bedrohungen von außen sicherlich ein Problem darstellen und umfassend überwacht werden sollten, sind Insider-Bedrohungen mindestens genauso gefährlich und sollten entsprechend ebenfalls genau beobachtet werden. Untersuchungen deuten sogar darauf hin, dass Insider-Bedrohungen bis zu 75 Prozent der Datenschutzverletzungen ausmachen. Und diese Bedrohungen können von jedem im Unternehmen ausgehen – von verärgerten oder unzufriedenen Mitarbeitern, die auf Rache aus sind, bis hin zu ganz normalen Mitarbeitern ohne entsprechende Cybersicherheitsschulung, die auf eine Phishing-Mail hereinfallen. Daher ist es wichtig, über ein System zur Verhinderung und Überwachung von Insiderbedrohungen, etwa durch intelligente Nutzerverhaltensanalyse (UBA), zu verfügen.

Mythos 6: Cybersecurity ist in erster Linie ein Thema für die IT-Abteilung

Selbstverständlich trägt die IT eine große Verantwortung bei der Umsetzung und Überprüfung von Richtlinien, um die Cybersicherheit von Unternehmen zu gewährleisten, sowie bei der Implementierung entsprechender Schutzmaßnahmen und Lösungen. Das Sicherheitsniveau eines Unternehmens hängt jedoch wesentlich vom Verhalten jedes einzelnen Mitarbeiters ab. Oder um ein oft gebrauchtes Bild zu verwenden: Eine Kette ist nur so stark wie ihr schwächstes Glied. Laut Verizon werden 49 Prozent der Malware über E-Mails installiert. Wenn die Mitarbeiter nicht in Fragen der Cybersicherheit geschult sind, etwa wie man Phishing-Betrug erkennt und unsichere Links vermeidet, könnten sie das Unternehmen für potenzielle Bedrohungen öffnen.

Mythos 7: Ein passwortgeschütztes Wi-Fi-Netzwerk ist sicher

Mobiles Arbeiten ist mittlerweile schon fast zum Standard geworden, sei es in der Mittagspause in der Filiale einer Kaffeekette, auf Geschäftsreisen oder gar im Urlaub. Leider gehen viele Mitarbeiter fälschlicherweise davon aus, dass ein Passwort die Sicherheit eines WLAN-Netzwerks gewährleistet. In Wirklichkeit begrenzen Wi-Fi-Passwörter in erster Linie die Anzahl der Benutzer pro Netzwerk. Andere Benutzer, die das gleiche Passwort verwenden, können möglicherweise die sensiblen Daten einsehen, die übertragen werden. Auch sollte man bei der Wahl des Wi-Fi-Zugangspunktes Vorsicht walten lassen, da es sich dabei auch durchaus um bestenfalls dubiose, von Hackern installierte Hotspots handeln könnte. Mobile Mitarbeiter sollten deshalb in VPNs investieren, um ihre Daten sicherer zu machen.

Mythos 8: Man kann infizierte Rechner und Systeme sofort identifizieren

Vor etwa einem Jahrzehnt mag es wahr gewesen sein, dass man sofort erkennen konnte, ob sein Computer mit einem Virus infiziert war – verräterische Zeichen waren Popup-Werbung, langsam ladende Browser und im Extremfall Systemabstürze. Und auch heute gibt es mit Ransomware eine Angriffsart, die sehr laut ist und letztlich davon lebt, bemerkt zu werden. In aller Regel wollen Cyberkriminelle aber so lange wie möglich unerkannt in den Systemen ihr Unwesen treiben. Moderne Malware ist entsprechend schwer zu erkennen. Studien zeigen, dass Hacker oft tagelang, teilweise sogar monatelang im Netzwerk des Opfers aktiv sind, bevor sie erkannt werden.

Mythos 9: 100prozentiger Schutz ist möglich

Cybersecurity ist ein andauernder Prozess und keine (einmalige) Aufgabe, die erledigt und dann abgehakt werden kann. Neue Malware- und Angriffsmethoden setzen Systeme und damit die Unternehmensdaten immer wieder aufs Neue in Gefahr. Um wirklich Cybersicherheit zu gewährleisten, müssen sämtliche Systeme kontinuierlich überwacht, interne Audits durchgeführt und Notfallpläne überprüft, getestet und ausgewertet werden. Und dieser Prozess erfordert die Beteiligung aller Mitarbeiter. Ein wesentlicher Schritt dabei ist – wie bereits erwähnt – die Sensibilisierung der Mitarbeiter und das Aufräumen mit den genannten Mythen.

Thomas Ehrlich 160Thomas Ehrlich, Country Manager DACH, Varonis Systems

 

GRID LIST
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Elmar Albinger

Politiker-Hack: Passwort "Schwachstelle Mensch"

Der Hackerangriff auf deutsche Mandatsträger und Prominente hat das politische Berlin in…
Hacker mit Tastatur

Zwischen Spaß und Verbrechen - Cybercrime als gesellschaftliches Phänomen

Er ist 20 Jahre alt, Schüler und wohnt noch bei seinen Eltern. So sieht das Profil des…
Smarte News aus der IT-Welt