Das sind die typischen Fehler in der IT-Sicherheit
Sicherheit im Unternehmen ist ein zentrales Thema. Aber dennoch machen viele Unternehmen schwerwiegende Fehler bei der Umsetzung. Dieser Artikel untersucht typische Fehler, dazu zählen beispielsweise unklare Passwortrichtlinien oder kein nachhaltiges Berechtigungsmanagement. Sechs IT-Sicherheits-Experten geben Einblicke, welche Fehlgriffe zu vermeiden sind, damit sich nachhaltige Erfolge einstellen.
Inhaltsverzeichnis
- Kein nachhaltiges Berechtigungsmanagement + unklare Passwortrichtlinien
- Single-Sign-On-Lösungen + Unwissenheit über Gefahrenquellen im Unternehmen
- Oft fehlt proaktive Vorgehensweise + schwache Passwörter + ungepatchte Software
- Fehlende Sensibilisierung von Mitarbeitenden + Verwenden von unsicheren Passwörtern
- Fehlende Risikobewertungen und Risikofolgeabschätzungen
- Predictive Analytics wird zu wenig Bedeutung geschenkt
Kein nachhaltiges Berechtigungsmanagement + unklare Passwortrichtlinien
Svenja Winkler, BAYOOSOFT GmbH
Vergessen Sie niemals das Banale in Ihrem Unternehmensalltag. Eine globale Strategie für IT-Sicherheit ist selbstverständlich enorm wichtig. Dennoch dürfen dadurch nicht die Risiken, die nun mal auch das Tagesgeschäft bergen, in Vergessenheit geraten. Ein Aspekt, der immer wieder herunter priorisiert wird, ist ein nachhaltiges Berechtigungsmanagement. Berechtigungen manuell zu vergeben oder zu entziehen, gehört mit zu den großen IT-Sicherheitslücken – ebenso wie unklare Passwortrichtlinien und Account Sharing, beispielsweise in Krankenhäusern.
Gleichzeitig ist IT-Sicherheit aus meiner Sicht nicht das Thema einzelner Beauftragter, es ist wichtiger Bestandteil aller Mitarbeitenden eines Unternehmens. Ein typischer Fehler liegt darin, Mitarbeitende und Fachbereiche in Prozesse zur Erhöhung der IT-Sicherheit nicht miteinzubeziehen. Schaffen Sie stattdessen Awareness durch Trainings und fördern Sie das Denken in Prozessen, statt in Systemen. Denn nur, wenn jede und jeder ein Vorgehen klar versteht, kann Sicherheit auch umgesetzt werden.
Single-Sign-On-Lösungen + Unwissenheit über Gefahrenquellen im Unternehmen
Sascha Häckel, Aagon GmbH
Authentisierung hat sich mittlerweile als State-of-the-Art bei Zugangsberechtigungen etabliert. Das heißt im Umkehrschluss: Single-Sign-On-Lösungen sind auf dem absteigenden Ast. Die Eingabe eines Passwortes war bislang der übliche Weg zur Authentisierung, und dies bereits in der Advanced-Variante Single-Sign-On (das bedeutet nur noch ein Passwort für alle Applikationen).
Auch dies ändert aber nichts daran: Passwörter als Authentisierungsmechanismus sind zwar einfach umsetzbar, haben aber eine Reihe von Nachteilen. So reicht bereits die Kenntnis des einen Faktors „Wissen“, um den Mechanismus zu überwinden. So betrachtet, können Single-Sign-On-Lösungen inzwischen fast als IT-Sicherheitsfehler betrachtet werden.
Ein weiterer Fehler ist das schlichte Unwissen darüber, was überhaupt im Unternehmen an Gefahrenquellen vorhanden ist. Nicht gemanagte Clients in der IT-Infrastruktur erhalten keine Updates, und Patch-Mechanismen können nicht greifen, wenn die Clients nicht inventarisiert sind: Dies sind eklatante Sicherheitsfehler, die es – etwa über den Einsatz einer UEM-Lösung – zu vermeiden gilt.
Oft fehlt proaktive Vorgehensweise + schwache Passwörter + ungepatchte Software
Amir Hosh, DriveByte GmbH
Für Unternehmen ist es unerlässlich, proaktiv gegen Cyberangriffe vorzugehen und sie zu verhindern. Bei der Vielzahl von Sicherheitsproblemen, mit denen Unternehmen konfrontiert sind, kann es jedoch schwierig sein, herauszufinden, wo man anfangen soll.
Eines der einfachsten, aber häufigsten Sicherheitsfehler, mit denen Unternehmen konfrontiert werden, ist die Verwendung schwacher Passwörter. Leicht zu erratende Passwörter wie „123456“ oder „password“ machen Unternehmensdaten und -systeme anfällig für Cyberangriffe. Viele Menschen neigen dazu, Passwörter für mehrere Konten wiederzuverwenden, was bedeutet, dass ein einziges gefährdetes Passwort zu einem Dominoeffekt von Sicherheitsverletzungen führen kann.
Ein weiterer großer Sicherheitsfehler, den Unternehmen vermeiden müssen, ist die Verwendung von „ungepatchter“ Software. Darunter versteht man Software, die nicht mit den neuesten Sicherheitsupdates und Patches aktualisiert wurde. In vielen Fällen nutzen Cyberkriminelle bekannte Schwachstellen in der Software aus, um sich Zugang zu den Systemen und Daten des Unternehmens zu verschaffen.
Fehlende Sensibilisierung von Mitarbeitenden + Verwenden von unsicheren Passwörtern
Ulrich Heun, CARMAO GmbH
Ein großer IT-Sicherheitsfehler ist, die Notwendigkeit der Weiterbildung und Sensibilisierung von Mitarbeitenden hinsichtlich Cyber-Gefahren zu unterschätzen. Vielen Unternehmen ist immer noch nicht bewusst, welche Gefahren durch den Faktor „Mensch“ drohen. Wenn Mitarbeitende nicht ausreichend geschult oder sensibilisiert sind, ergeben sich durch Unwissenheit oder Unachtsamkeit die größten Einfallstore.
Ein Beispiel, das banal erscheint, aber nach wie zu den größten Sicherheitsrisiken zählt, ist das Verwenden von unsicheren Passwörtern. Auch die Gefahr durch Ransomware, die sich in der Regel durch das Öffnen von verdächtigen E-Mails oder Anhängen einschleicht, wächst stetig. So musste ein bekannter E-Bike-Hersteller jüngst auf Grund eines Ransomware-Angriffs Insolvenz anmelden.
Ein weiterer Fehler ist die Annahme, dass Privatpersonen oder kleine Unternehmen für Cyber-Angriffe uninteressant sind. Die Realität beweist täglich eindrucksvoll, dass Cyber-Kriminelle auch KMU sowie einzelne Personen ins Visier nehmen. Angreifer haben bei kleinen Betrieben häufig sogar leichteres Spiel, da diese oft weniger gut geschützt sind und aufgrund der begrenzten Ressourcen und des meist geringeren IT-Sicherheits-Know-hows besonders anfällig für Angriffe sind.
Fehlende Risikobewertungen und Risikofolgeabschätzungen
Dirk Lieder, CONET Solutions GmbH
Zwei Kardinalfehler sind aus unserer Erfahrung: Erstens unvorbereitet zu sein, und zweitens unvorbereitet zu bleiben. Redundanzen sind bei vielen betriebswirtschaftlich geprägten Unternehmenslenkern ein rotes Tuch. Fallbacks, Resilienz, Elastizität und Hochverfügbarkeit mögen als Buzzwords verschrien sein. Ist der Schadensfall aber erst einmal eingetreten, werden sie schmerzlich vermisst. Nachher ist man sicherlich immer schlauer, aber bereits im Vorfeld kann viel bewirkt werden: Risikobewertungen und Risikofolgeabschätzungen schaffen ein Bewusstsein darüber, was passieren kann, und helfen dabei, nicht am falschen Ende zu sparen. Notfallkonzepte bündeln ein jederzeit verfügbares Basiswissen und Maßnahmenpakete, damit klar ist, was bei einem Sicherheitsvorfall von wem zu welcher Zeit getan und unterlassen werden muss. Gut gemeinte aber falsch umgesetzte Maßnahmen verschlimmern mitunter den Schaden von Angriffen, die mit der richtigen Reaktion erfolgreich hätten eingedämmt werden können.
Predictive Analytics wird zu wenig Bedeutung geschenkt
Holger Dörnemann, Nexthink
Korrelation, Feedback-Analysen und Automatisierung sind hier zentrale Anforderungen. Das heißt zum einen, dass Performance- und Monitoring-Daten mit Rückmeldungen der Anwender – sogenannten Sentiment-Daten – korreliert werden müssen. Denn erst daraus entsteht eine realistische Gesamtsicht. Dann greift auch Predictive Analytics, um neben akuten Bedrohungen auch potenzielle Sicherheitslücken vorausschauend zu erkennen und zu beheben. Ansonsten bleibt zu viel Raum für Interpretationen in der Sicherheit.
Dann das Thema Automatisierung: Für eine schnelle und zielgerichtete Reaktion auf Sicherheitsproblematiken auf Endanwenderseite sollten geeignete Prozesse hinterlegt und automatisiert abgearbeitet werden können. Die Zeiten nachlässiger Updates und verzögerter Installationen von Sicherheits-Patches sind vorbei. Endgeräte und die darauf installierte Software müssen kontinuierlich auf dem aktuellen Stand gehalten und auf Funktionalität der Security- und Compliance-Tools geprüft werden können – manuell ist das nicht zu leisten.
Bildnachweis: ©Depositphotos.com
Kommentare