Zurück zu den Grundlagen der Cybersicherheit

Keeping IT-Security simple Zurück zu den Grundlagen der Cybersicherheit

15.10.2020 Von Thomas LaRock

Anbieter zum Thema

Um den gewohnten Betrieb im Unternehmen auch in Krisenzeiten aufrechtzuerhalten, ist es für Technikexperten von entscheidender Bedeutung, die Cybersicherheit als oberste Priorität anzusehen und dafür zu sorgen, dass die Daten der Mitarbeiter und die IT-Systeme sicher bleiben.

Unternehmen müssen sich auf die Grundlagen der Cybersicherheit besinnen und neu überdenken, wie sie ihre Daten schützen.
(Bild: gemeinfrei / Pixabay)

Dabei versuchen IT-Führungskräfte und Cyberteams ihre Sicherheitsbedenken oft mit den unterschiedlichsten vermeintlichen Wundermitteln von KI bis Blockchain zu bekämpfen. Aber meiner Ansicht nach ist die beste Verteidigung sehr viel einfacher als oft gedacht.

Es wird Zeit, sich auf die Grundlagen der Cybersicherheit zu besinnen und neu zu überdenken, auf welcher Basis wir unsere Daten schützen und böswilliges Eindringen in unsere Systeme verhindern. Ansonsten riskieren wir, wieder und wieder dieselben Fehler zu machen, die letztendlich zu Sicherheitsverletzungen führen. Ich habe drei grundlegende Annahmen zur Cybersicherheit identifiziert, die mittlerweile überholt sind und dringend ersetzt werden sollten.

Annahme 1: Ihr Kennwort schützt Sie

Wenn wir aus den zahlreichen Phishing-, Social Engineering- und Backdoor-Angriffen des letzten Jahrzehnts eines gelernt haben, dann dieses: Kennwörter bieten keinen sicheren Schutz vor Cyberkriminellen. Im Gegenteil, Kennwortrichtlinien machen Unternehmen häufig angreifbarer, als sie es ohne sie wären. Richtlinien zur Kennwortrotation führen zu kontraproduktivem Benutzerverhalten, vom zyklischen Wiederverwenden von Kennwörtern bis zum Speichern von Kennwörtern an Orten, die alles andere als sicher sind. Genauso sieht es bei Anforderungen an Kennwörter aus, egal wie kompliziert sie sind (mindestens ein Großbuchstabe, ein Sonderzeichen, ein Emoji usw.). Und trotzdem betrachten wir diese veralteten Strategien noch heute als unsere Grundlage für den Schutz von Systemen und Daten in Unternehmen.

Die Ironie daran ist: Wir verfügen bereits über die benötigten Systeme, um Kennwörter wieder wirkungsvoll zu machen. Die meisten Banken setzen bereits die zweistufige Authentifizierung ein, um die Finanzen ihrer Kunden zu schützen. Wachsame IT-Mitarbeiter nutzen schon seit Jahren, wenn nicht gar Jahrzehnten Kennwort-Manager. Allein die Einführung dieser zwei Mechanismen würde die Sicherheit fast jedes Unternehmens vervielfachen und bewährte Kennwortpraktiken, wie das Nutzen komplexer Kennwörter und das Vermeiden einer mehrfachen Verwendung, deutlich weniger anfällig für menschliche Fehler machen.

Annahme 2: Mitarbeiter brauchen mehr Cybersicherheitsschulungen

Verstehen Sie mich nicht falsch: Schulungen sind ein wesentlicher Bestandteil einer guten Cybersicherheitshygiene. Allerdings habe ich in den letzten Jahren beobachtet, dass viele Unternehmen sich allein auf Schulungen als die vermeintliche Lösung ihrer Cybersicherheitsprobleme stützen, statt die zugrunde liegenden Schwachstellen im Unternehmen zu beheben. Man sollte sich jedoch nicht darauf verlassen, dass die Angestellten so perfekt geschult sind, um mit jedem nur erdenklichen Angriffsvektor umgehen zu wissen – genau wie man sich nicht darauf verlassen sollte, dass die am besten ausgebildeten Leute für immer im Unternehmen bleiben.

IT-Führungskräfte täten gut daran, ihren Fokus von der Anzahl der Schulungen auf deren Konsistenz zu verlagern. Grundlegende Cybersicherheitspraktiken für E-Mail-Sicherheit, Datenschutz und den Schutz der Privatsphäre sollten fester Bestandteil des Onboarding-Prozesses aller neuen Angestellten sein, ohne zu sehr in die Tiefe zu gehen, dass sie gleich überfordert sind. Besser ist es, häufig und präzise über die neuesten Bedrohungen und Trends zu informieren, um auch langfristig das Bewusstsein aller Mitarbeiter aufrechtzuerhalten.

IT-Führungskräfte könnten auch erwägen, mit der Abteilung für interne Kommunikation zusammenzuarbeiten, damit die Cybersicherheit regelmäßiger Bestandteil der Mitarbeiterkommunikation wird. Gleichzeitig sollten Cybersicherheitsteams von der Netzwerküberwachung bis zum Filtern verdächtiger Inhalte umfassende Back-End-Abwehrmaßnahmen ausbauen, anstatt sich einfach auf ihre Kollegen zu verlassen – diese haben schließlich auch noch ihre eigenen Jobs zu erledigen. Auch wenn es stimmen mag, dass die Mitarbeiter die erste Verteidigungslinie der Cybersicherheit sind, darf keinesfalls von ihnen erwartet werden, die einzige zu sein.

Annahme 3: Wir tun genug für die Sicherheit

Die Cybersicherheit steht zwar mittlerweile ganz oben auf der Agenda fast aller IT-Führungskräfte, doch sie leidet noch immer unter einem Wahrnehmungsproblem – nämlich dem, dass Unternehmen denken, sie hätten das Thema ein für allemal erledigt. Ich bin schon lange ein Verfechter der „vermuteten Kompromittierung“: Gehen Sie davon aus, dass es bei Ihnen bereits eine Sicherheitsverletzung gibt und dass dies immer wieder eintreten wird. Die Annahme einer bereits eingetretenen Sicherheitsverletzung ist nebenbei ein gutes Mittel gegen die Selbstgefälligkeit und Selbstüberschätzung, die jahrelang ein Problem der Cybersicherheitsstrategien und -richtlinien waren.

Auf praktischer Ebene bedeutet das, Notfallmaßnahmen ernst zu nehmen und grundlegende Prozesse wie die 3-2-1-Backup-Regel nicht nur einzuführen, sondern auch durchzusetzen. Und es bedeutet eben auch, sich weniger darauf zu verlassen, dass Menschen „das Richtige tun“ werden, sondern davon auszugehen, dass sie unvermeidbar Fehler machen. Dafür sollte man IT-Sicherheitslösungen wie Kennwort-Manager oder Webfilter installieren, die bei Fehlern als Sicherheitsnetz dienen können.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

IT-Führungskräfte müssen sich ständig die Frage stellen: Was kommt als Nächstes? Welche neuen Bedrohungen entstehen, an welchen Stellen ist unser Unternehmen angreifbar und wo könnten sich diese beiden Variablen zukünftig oder bereits jetzt überschneiden? Es ist kein Hexenwerk, aber mich erinnert es an eine Gehirnoperation: Wir müssen die Art und Weise, wie wir über Cybersicherheit denken, neu vernetzen – und der Rest folgt dann von selbst.

Über den Autor

Thomas LaRock ist Head Geek bei SolarWinds.

(ID:46895699)