Suchen

Keeping IT-Security simple Zurück zu den Grundlagen der Cybersicherheit

| Autor / Redakteur: Thomas LaRock / Peter Schmitz

Um den gewohnten Betrieb im Unternehmen auch in Krisenzeiten aufrechtzuerhalten, ist es für Technikexperten von entscheidender Bedeutung, die Cybersicherheit als oberste Priorität anzusehen und dafür zu sorgen, dass die Daten der Mitarbeiter und die IT-Systeme sicher bleiben.

Firmen zum Thema

Unternehmen müssen sich auf die Grundlagen der Cybersicherheit besinnen und neu überdenken, wie sie ihre Daten schützen.
Unternehmen müssen sich auf die Grundlagen der Cybersicherheit besinnen und neu überdenken, wie sie ihre Daten schützen.
(Bild: gemeinfrei / Pixabay )

Dabei versuchen IT-Führungskräfte und Cyberteams ihre Sicherheitsbedenken oft mit den unterschiedlichsten vermeintlichen Wundermitteln von KI bis Blockchain zu bekämpfen. Aber meiner Ansicht nach ist die beste Verteidigung sehr viel einfacher als oft gedacht.

Es wird Zeit, sich auf die Grundlagen der Cybersicherheit zu besinnen und neu zu überdenken, auf welcher Basis wir unsere Daten schützen und böswilliges Eindringen in unsere Systeme verhindern. Ansonsten riskieren wir, wieder und wieder dieselben Fehler zu machen, die letztendlich zu Sicherheitsverletzungen führen. Ich habe drei grundlegende Annahmen zur Cybersicherheit identifiziert, die mittlerweile überholt sind und dringend ersetzt werden sollten.

Annahme 1: Ihr Kennwort schützt Sie

Wenn wir aus den zahlreichen Phishing-, Social Engineering- und Backdoor-Angriffen des letzten Jahrzehnts eines gelernt haben, dann dieses: Kennwörter bieten keinen sicheren Schutz vor Cyberkriminellen. Im Gegenteil, Kennwortrichtlinien machen Unternehmen häufig angreifbarer, als sie es ohne sie wären. Richtlinien zur Kennwortrotation führen zu kontraproduktivem Benutzerverhalten, vom zyklischen Wiederverwenden von Kennwörtern bis zum Speichern von Kennwörtern an Orten, die alles andere als sicher sind. Genauso sieht es bei Anforderungen an Kennwörter aus, egal wie kompliziert sie sind (mindestens ein Großbuchstabe, ein Sonderzeichen, ein Emoji usw.). Und trotzdem betrachten wir diese veralteten Strategien noch heute als unsere Grundlage für den Schutz von Systemen und Daten in Unternehmen.

Die Ironie daran ist: Wir verfügen bereits über die benötigten Systeme, um Kennwörter wieder wirkungsvoll zu machen. Die meisten Banken setzen bereits die zweistufige Authentifizierung ein, um die Finanzen ihrer Kunden zu schützen. Wachsame IT-Mitarbeiter nutzen schon seit Jahren, wenn nicht gar Jahrzehnten Kennwort-Manager. Allein die Einführung dieser zwei Mechanismen würde die Sicherheit fast jedes Unternehmens vervielfachen und bewährte Kennwortpraktiken, wie das Nutzen komplexer Kennwörter und das Vermeiden einer mehrfachen Verwendung, deutlich weniger anfällig für menschliche Fehler machen.

Annahme 2: Mitarbeiter brauchen mehr Cybersicherheitsschulungen

Verstehen Sie mich nicht falsch: Schulungen sind ein wesentlicher Bestandteil einer guten Cybersicherheitshygiene. Allerdings habe ich in den letzten Jahren beobachtet, dass viele Unternehmen sich allein auf Schulungen als die vermeintliche Lösung ihrer Cybersicherheitsprobleme stützen, statt die zugrunde liegenden Schwachstellen im Unternehmen zu beheben. Man sollte sich jedoch nicht darauf verlassen, dass die Angestellten so perfekt geschult sind, um mit jedem nur erdenklichen Angriffsvektor umgehen zu wissen – genau wie man sich nicht darauf verlassen sollte, dass die am besten ausgebildeten Leute für immer im Unternehmen bleiben.

IT-Führungskräfte täten gut daran, ihren Fokus von der Anzahl der Schulungen auf deren Konsistenz zu verlagern. Grundlegende Cybersicherheitspraktiken für E-Mail-Sicherheit, Datenschutz und den Schutz der Privatsphäre sollten fester Bestandteil des Onboarding-Prozesses aller neuen Angestellten sein, ohne zu sehr in die Tiefe zu gehen, dass sie gleich überfordert sind. Besser ist es, häufig und präzise über die neuesten Bedrohungen und Trends zu informieren, um auch langfristig das Bewusstsein aller Mitarbeiter aufrechtzuerhalten.

IT-Führungskräfte könnten auch erwägen, mit der Abteilung für interne Kommunikation zusammenzuarbeiten, damit die Cybersicherheit regelmäßiger Bestandteil der Mitarbeiterkommunikation wird. Gleichzeitig sollten Cybersicherheitsteams von der Netzwerküberwachung bis zum Filtern verdächtiger Inhalte umfassende Back-End-Abwehrmaßnahmen ausbauen, anstatt sich einfach auf ihre Kollegen zu verlassen – diese haben schließlich auch noch ihre eigenen Jobs zu erledigen. Auch wenn es stimmen mag, dass die Mitarbeiter die erste Verteidigungslinie der Cybersicherheit sind, darf keinesfalls von ihnen erwartet werden, die einzige zu sein.

Annahme 3: Wir tun genug für die Sicherheit

Die Cybersicherheit steht zwar mittlerweile ganz oben auf der Agenda fast aller IT-Führungskräfte, doch sie leidet noch immer unter einem Wahrnehmungsproblem – nämlich dem, dass Unternehmen denken, sie hätten das Thema ein für allemal erledigt. Ich bin schon lange ein Verfechter der „vermuteten Kompromittierung“: Gehen Sie davon aus, dass es bei Ihnen bereits eine Sicherheitsverletzung gibt und dass dies immer wieder eintreten wird. Die Annahme einer bereits eingetretenen Sicherheitsverletzung ist nebenbei ein gutes Mittel gegen die Selbstgefälligkeit und Selbstüberschätzung, die jahrelang ein Problem der Cybersicherheitsstrategien und -richtlinien waren.

Auf praktischer Ebene bedeutet das, Notfallmaßnahmen ernst zu nehmen und grundlegende Prozesse wie die 3-2-1-Backup-Regel nicht nur einzuführen, sondern auch durchzusetzen. Und es bedeutet eben auch, sich weniger darauf zu verlassen, dass Menschen „das Richtige tun“ werden, sondern davon auszugehen, dass sie unvermeidbar Fehler machen. Dafür sollte man IT-Sicherheitslösungen wie Kennwort-Manager oder Webfilter installieren, die bei Fehlern als Sicherheitsnetz dienen können.

Thomas LaRock.
Thomas LaRock.
(Bild: SolarWinds)

IT-Führungskräfte müssen sich ständig die Frage stellen: Was kommt als Nächstes? Welche neuen Bedrohungen entstehen, an welchen Stellen ist unser Unternehmen angreifbar und wo könnten sich diese beiden Variablen zukünftig oder bereits jetzt überschneiden? Es ist kein Hexenwerk, aber mich erinnert es an eine Gehirnoperation: Wir müssen die Art und Weise, wie wir über Cybersicherheit denken, neu vernetzen – und der Rest folgt dann von selbst.

Über den Autor

Thomas LaRock ist Head Geek bei SolarWinds.

(ID:46895699)