Tipp: 5 fundamentale Security-Fehler vermeiden

Achtung. Wir zeigen Ihnen, wie Sie mit wenig Aufwand Fehler bei der Umsetzung von IT-Security-Massnahmen vermeiden.

Nov 5, 2021 - 3 Min.
Picture of: Sonja Spaccarotella
Sonja Spaccarotella

Schäden in Höhe von rund 223 Milliarden Euro entstehen der deutschen Wirtschaft laut einer aktuellen Bitkom-Studie 2020 und 2021 durch Datendiebstahl und Online-Sabotage. Gegenüber dem Erhebungszeitraum 2018/2019 mit 103 Milliarden Euro hat sich die Schadenssumme damit mehr als verdoppelt. Für den Anstieg verantwortlich ist vor allem die stark erhöhte Zahl von Ransomware-Angriffen, bei denen die Verschlüsselung von Unternehmensdaten für Produktionsausfälle sorgt und ein zeitraubendes Zurücksetzen kompromittierter Systeme notwendig macht. Unternehmen sind angesichts dieser Bedrohungslage auf eine solide Security-Infrastruktur angewiesen, um mit den immer raffinierteren Angriffsstrategien von Cyberkriminellen Schritt halten zu können. Doch nicht immer gehen die Security-Verantwortlichen bei der Planung und Umsetzung von Massnahmen optimal vor. Als Spezialist für sichere Logins benennt Nevis die häufigsten Fehler und gibt Tipps, wie sich Verbesserungen am besten umsetzen lassen.

1. Falsche Grundannahmen

„Unsere Firma ist für Hacker doch uninteressant!“ Eine fatale Fehleinschätzung, wie ein Blick auf die Cyber-Attacken der jüngsten Vergangenheit zeigt: Weder bestimmte Branchen noch Unternehmen einer bestimmten Grössenordnung sind davor gefeit, ins Visier von Hackern zu geraten. Eine flächendeckende Phishing-Attacke kann an Empfänger in internationalen Konzernen genauso ausgespielt werden wie an Mitarbeiter in kleinen und mittleren Unternehmen. Der Aufwand ist für Online-Kriminelle relativ gering und lohnt sich sogar schon, wenn nur in zwei oder drei Unternehmen ein Mitarbeiter einen unbedachten Klick tätigt und ihnen damit Zugang zum Firmen-Netzwerk verschafft.

2. Fehlendes Sicherheitskonzept

In vielen Unternehmen gibt es zwar einen punktuellen Schutz etwa durch Firewalls oder Spamfilter, aber kein umfassendes Sicherheitskonzept, das neben technischen Lösungen auch organisatorische Massnahmen umfasst. Grundsätzlich sollten die IT-Verantwortlichen im Rahmen einer Bestandsanalyse ermitteln, welche Assets – Daten, Dokumente oder Zugriffsrechte – geschützt werden müssen. Im Zuge dessen wird auch festgelegt, wie hoch der Schutzbedarf der einzelnen Assets ist. So hat zum Beispiel der Schutz innovativer Fertigungsverfahren eine höhere Priorität als der von Kontaktdaten. Erforderlich ist auch ein Threat Modelling: Dabei werden das Bedrohungspotenzial für die einzelnen Systeme oder Applikationen sowie mögliche Angriffsvektoren analysiert. Darauf aufbauend können Unternehmen die erforderlichen Massnahmen wie Investitionen in Sicherheitslösungen oder das Identity Management konkretisieren.

3. Betriebssysteme und Software up to date halten

Für die Sicherheit der Unternehmens-IT ist es essentiell, wichtige Aktualisierungen oder Upgrades zeitnah vorzunehmen. Da dies mit Aufwand und teils auch Kosten verbunden ist, tun dies aber noch immer nicht alle Unternehmen – ein Fehler, der im Falle eines Angriffs teuer werden kann: Denn wie die Hardware altern auch Betriebssysteme, Software-Anwendungen oder Server-Lösungen. Damit sie weiter die gewohnte Leistung erbringen und aktuellen Sicherheitsstandards entsprechen, müssen sie regelmässig mit Patches und Updates versorgt werden. Auf den Einsatz von nicht mehr vom Hersteller unterstützten Betriebssystemen und Anwendungen sollten Unternehmen gleich ganz verzichten, da hier die regelmässigen Sicherheitsupdates entfallen und dadurch das Risiko erfolgreicher Angriffe stark ansteigt.

4. Fehlende Multi-Faktor-Authentifizierung

Immer noch verwenden viele User leicht zu knackende Passwörter oder sie machen den Fehler, ein Passwort für mehrere Konten zu nutzen. Mit Methoden wie Brute Force oder Credential Stuffing gelingt es Kriminellen jedoch leicht, Nutzername-Passwort-Kombinationen herauszufinden und so in das Unternehmensnetzwerk einzudringen. Egal, ob Kunden- oder Mitarbeiter-Login: Eine Zwei- oder sogar Multi-Faktor-Authentifizierung verbessert die Sicherheit aller Konten. Bei der Multi-Faktor-Authentifizierung (MFA) ist für die Identitätsprüfung beim Login jedoch nicht nur ein Passwort, sondern mindestens ein zweiter Faktor wie ein per SMS versandter oder mittels Authenticator App generierter Zahlencode erforderlich. Da ein Hacker hierauf in der Regel keinen Zugriff hat, ist der Angriff durch ein so konfiguriertes Identity Management bereits vereitelt.

5. Sicherheitsrisiko Mensch wird unterschätzt

Da das wachsende Bedrohungsrisiko bekannt ist, ergreifen bereits viele Institutionen technische Massnahmen. Was jedoch oft unterschätzt wird, ist der menschliche Faktor. Zwar werden die Methoden der Cyber-Kriminellen immer raffinierter, doch bauen sie nach wie vor darauf, dass Menschen Fehler machen. In der Kette aller Cyber-Security-Massnahmen, die ein Unternehmen ergreifen kann, ist der Mensch das schwächste Glied. So kalkulieren etwa die Versender von Phishing-Mails immer damit, dass die Empfänger aufgrund der vermeintlichen Wichtigkeit ohne Nachdenken auf die enthaltenen schädlichen Links klicken. Für Unternehmen ist es also wichtig, bei ihren Mitarbeitern ein Bewusstsein dafür zu wecken, welche Cyber-Gefahren ihnen im Arbeitsalltag begegnen können. Dafür eignen sich zum Beispiel stetige Schulungen und Sicherheits-Trainings.

Die Aufzählung zeigt: Ein gut geplantes Vorgehen hilft, die Weichen für eine optimale Security-Policy zu stellen. Dazu gehört auch, sich bewusst zu machen, dass es für Cyberkriminelle kaum „uninteressante“ Ziele gibt. Insbesondere gross angelegte Angriffe sind breit gestreut und betreffen Unternehmen aller Grössen und Branchen. Bei der konkreten Umsetzung von Sicherheitsmassnahmen sind es dann insbesondere die grundlegenden Massnahmen, etwa das regelmässige Einspielen von Software-Patches, die ein Mindestmass an Sicherheit garantieren. Um den unternehmensweiten Sicherheitsstandard weiter zu heben, sollten zusätzliche Massnahmen wie eine verpflichtende Multi-Faktor-Authentifizierung im Rahmen des Identity Management implementiert werden. Und nicht zuletzt gilt es, bei den Mitarbeitern durch kontinuierliche Schulungen ein Bewusstsein für die angespannte Sicherheitslage zu schaffen. Erst, wenn jeder einzelne sich über seine Mitverantwortung für die IT-Security im Klaren ist und entsprechend handelt, wird aus dem „Risikofaktor Mensch“ der „Sicherheitsfaktor Mensch“.

 

Was ist CIAM?