Weltweit steigen die Ausgaben für IT-Sicherheit. Laut den Analysten von Cybersecurity Ventures wird die Investitionssumme in diesem Bereich in den nächsten fünf Jahren die Marke von einer Billion Dollar knacken.
Aber trotzdem gibt es mehr Datenschutzverletzungen, Datendiebstähle, Leaks und Hacks als je zuvor. Wie lässt sich diese Diskrepanz erklären? Ausschlaggebend sind diese drei grundsätzlichen Fehler, die einige IT-Verantwortliche, aber auch Geschäftsführung und Vorstand regelmäßig begehen.
1. Die falsche Sichtweise
Traditionell konzentrieren sich Unternehmen und Anwender beim Thema IT-Sicherheit auf ihre Netzwerke, Systeme und Infrastrukturen und besinnen sich nicht (ausreichend) darauf, was eigentlich schützenswert ist: ihre Daten. Das ist ungefähr so, als würde man Straßen immer sicherer machen, gleichzeitig aber die Sicherheit der Fahrzeuge vernachlässigen. Und niemand würde heute wohl in ein Auto ohne Sicherheitsgurte steigen - auch wenn die Straßen über Leitplanken verfügen.
2. Der falsche Fokus
"Vorsorgen ist besser als heilen" weiß der Volksmund. Entsprechend fokussieren Unternehmen stark auf Präventiv-Technologien. Auf den ersten Blick mag dies vernünftig erscheinen, allerdings werden sie so angreifbar durch Bedrohungen, an die sie nicht gedacht haben oder vor denen sie die eingesetzten Technologien nicht schützen können. Eine zu starke oder gar einseitige Fokussierung auf solche Technologien hat zur Folge, dass Unternehmen nicht in der Lage sind zu erkennen, wann ein Insider am Werk ist oder ihre Präventiv-Kontrollen versagen.
Ein Blick in Verizons Data Breach Investigations Report 2017 bestätigt das: Demnach dauert es in 70 Prozent aller Security-Vorfälle mehrere Monate oder gar Jahre, bis eine Datenschutzverletzung bemerkt wird. So wie eine Grippe-Impfung gut vor Grippe schützt, aber eben nicht vor einem Herzinfarkt, braucht es auch in Sachen IT-Sicherheit einen mehrschichtigen Ansatz (etwa wenn der Perimeter überwunden wurde) und eine bessere Überwachung. Nur so können neue Bedrohungen und Schäden, die ein Angreifer von innen oder außen verursacht, schnell erkannt und zuverlässig bekämpft werden.
- Splash Screens
Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht. - Antivirus Software
Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance. - Perimeter Security
Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen. - Alarm-Ermüdung
Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden. - Ignoranz
Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus. - Passwort-wechsel-dich
Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss? - Security Training
Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt. - Harte Worte
Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen. - Mauer-Fetisch
Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei. - Sharing
Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken. - Schadens-PR
"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?
3. Der falsche Ansatz
Oft fehlt eine echte Strategie, wenn es darum geht, die sensiblen Unternehmensdaten zu schützen. Für jede neue Bedrohung, jeden neuen Angriffsvektor und jede neue Compliance-Anforderung wird ein neues Tool eingesetzt. Die Folge: Mangelnde Übersicht, fehlende Kommunikation zwischen den Lösungen und hohe Kosten. Bei gleichzeitig geringer Wirkung.
Laut einer aktuellen Studie von Forrester wünschen sich die meisten IT-Verantwortlichen statt dieser fragmentierten und meist nur reaktiven Herangehensweise eine einheitliche Oberfläche, in der ihre Datensicherheit gebündelt wird. Die Absenz einer Strategie macht sich auch dadurch bemerkbar, dass nur 34 Prozent der Unternehmen wissen, wo ihre sensiblen Daten gespeichert sind und lediglich 41 Prozent einen "need-to-know"-Ansatz bei der Zugriffsrechte-Vergabe anwenden. Gerade im Vorfeld der nahenden EU-Datenschutzgrundverordnung (DSGVO) stellt das ein ernsthaftes Problem dar.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Fazit: Datensicherheit first!
Es sind diese Fehler, die uns Woche für Woche über erfolgreiche Hackerangriffe auf Unternehmen lesen lassen. Die Kosten, die den Unternehmen hierdurch entstehen, sind enorm. So büßte etwa das US-Handelsunternehmen Target in Folge eines Datenlecks 46 Prozent des Umsatzes ein.
Wenn Unternehmendaten in falsche Hände oder gar an die Öffentlichkeit geraten, kann daraus nicht nur eine Bedrohung für die Reputation erwachsen, sondern auch für den Umsatz und (je nach Falllage) auch die nationale Sicherheit. Es ist an der Zeit, umzudenken und endlich die Daten ins Zentrum der IT-Security-Strategie zu rücken. (fm)