Inhalt
Es gibt – nicht nur in der IT – einige Glaubenssätze, Halbwahrheiten und Mythen, die sich erstaunlich lange halten. Betreffen sie die Sicherheit eines Unternehmens, wird es gefährlich. Denn gerade im Bereich Cybersecurity sollte man sich lieber auf Evidenz verlassen als auf Meinungen und veralteten Weisheiten. Ansonsten kann ein trügerisches Gefühl der Sicherheit schnell zu einem bösen Erwachen führen.
Wir haben an dieser Stelle einige Mythen zusammengestellt, die uns während unserer Arbeit als einem der führenden Cybersecurity-Anbieter Deutschlands immer wieder begegnen. Die Liste reicht von falschen Annahmen über die potenziellen Ziele von Hackern bis hin zur Überschätzung der eigenen Unverwundbarkeit. Schließlich investiert nahezu jedes Unternehmen einiges in die Gefahrenabwehr. Ob dadurch aber tatsächlich alle Risiken gebannt sind, steht auf einem ganz anderen Blatt.
Mythos 1: Unser Unternehmen ist zu klein und unbedeutend
Es gibt immer noch einige Firmen, die glauben, aufgrund ihrer Branche, ihrer Größe oder ihres konventionellen Geschäftsmodells erst gar nicht in den Fokus von Hackern zu geraten. Dieser Eindruck mag durch die Berichterstattung in den Medien verstärkt werden, in der es hauptsächlich um Großkonzerne geht. Tatsächlich ist aber genau das Gegenteil der Fall: Nahezu alle Studien gehen davon aus, dass kleine und mittlere Unternehmen (KMUs) deutlich häufiger betroffen sind. Zum gleichen Ergebnis kommt auch der aktuelle Lagebericht des Bundesamtes für Sicherheit in der Informationstechnologie (BSI). Das BSI zeichnet dabei ein düsteres Bild: „Viele Unternehmen besitzen auch im Jahr 2023 weder eine ausreichende Kenntnis über die allgemeine Cyberbedrohungslage noch über das eigene Risikoprofil.“
Die Folge dieser Fehleinschätzung sind, dass laut BSI nur 62 Prozent der Kleinstunternehmen regelmäßig Sicherheitsupdates fahren. Lediglich 46 Prozent überlassen ihre IT-Sicherheit einem externen Dienstleister, und einen Notfallplan besitzen sogar nur 18 Prozent. Außerdem verfügen sie selbst häufig nicht über ausreichend Ressourcen und Personal. Eine solche Situation ist ideal für Hacker. Viele Unternehmen werden oft Zufallsopfer, etwa durch massenhafte Phishing-Mails oder nicht ausreichend gesicherte Systeme, die über das Internet erreichbar sind.
Mythos 2: Wir haben keine wertvollen Daten
Es mag sein, dass dies auf den ersten Blick zutrifft, auf den zweiten Blick aber kaum. Denn nahezu alle Geschäftsprozesse sind heute digital. Dementsprechend sind es auch alle damit verbunden Daten. Hacker könnten beispielsweise sensible Daten nicht nur stehlen, sondern auch löschen oder beschädigen. Hierzu gehören etwa Kundeninformationen, Finanztransaktionen, Mitarbeiterdaten und geistiges Eigentum. Der Verlust solcher Daten kann gravierende Auswirkungen haben – für jedes Unternehmen. Gerade bei Ransomware-Attacken kann es zu einem Großschadensfall kommen. Einerseits stehen hohe Lösegeldforderungen im Raum, andererseits kann ein solcher Angriff die komplette Geschäftstätigkeit blockieren. Es gibt wohl nur wenige Firmen, die einen Stillstand ihres Geschäftsbetriebs über einen längeren Zeitraum verkraften würden. Insolvenzen aufgrund von Cyberattacken sind daher nicht ungewöhnlich.
Doch selbst wenn es nicht so weit kommt, kann der Schaden groß sein. So wäre es etwa sehr schädlich, wenn auf dem Schwarzmarkt ein Handel mit sensiblen Zahlungsdaten, Personalakten oder Geschäftskontakten stattfinden würde. Der Reputationsschaden wäre zudem enorm und könnte das Vertrauen von Kunden, Partnern oder Investoren untergraben. Darüber hinaus kann sich der finanzielle Schaden beispielsweise durch den Verlust von Passwörtern von anderen Diensten zusätzlich vergrößern.
Mythos 3: Unsere Compliance macht uns sicher
In Unternehmen werden viele Sicherheitslösungen eingesetzt und die Compliance, also die Einhaltung von gesetzlichen Vorschriften und Branchenstandards, ist nahezu überall ein wichtiger Bestandteil der Sicherheitsstrategie. Allerdings kann auch hier das Gefühl der Sicherheit trügerisch sein. Denn viele Compliance-Richtlinien setzen lediglich Mindeststandards für die IT Security fest. Sie gewährleisten also einen grundlegengenden Schutz, können aber mit den schnell wechselnden Cyberbedrohungen nicht Schritt halten. Zudem decken Compliance-Regelungen nicht unbedingt alle Sicherheitsaspekte ab. Es kann daher vorkommen, dass einige Bereiche von den Vorschriften nicht erfasst werden. Auch eine schlecht umgesetzte Compliance kann zu einem falschen Sicherheitsgefühl führen. Hier gilt es immer wieder, die eigene Strategie zu hinterfragen, anstatt sich ausschließlich auf die Einhaltung der Compliance zu fokussieren.
Mythos 4: Cloud und regelmäßige Patches bieten ausreichend Datensicherheit
Das Regelmäßige Einspielen von Patches für die im Unternehmen eingesetzte Software sollte selbstverständlich sein. Doch oft vergehen Tage oder sogar Wochen, bis ein offizieller Patch erscheint. Angreifer warten heute allerdings nicht mehr so lange, im Gegenteil. So hat sich die durchschnittliche Zeitspanne vom Bekanntwerden einer Sicherheitslücke bis zu deren Ausnutzung in den letzten Jahren dramatisch verringert. Oft vergehen nur wenige Tage oder sogar nur ein einziger Tag, bis eine Lücke ausgenutzt wird. Dementsprechend schnell sollte die eigene IT handeln und keineswegs die Behebung der Sicherheitslücken verschieben, um etwa lästige Ausfallzeiten zu vermeiden. Schwieriger wird es bei Zero-Day-Schwachstellen, die dem Entwickler selbst noch nicht bekannt sind oder für die es noch keine Patches gibt. Auch hier kann man sich zumindest stetig informieren und sollte ebenfalls nicht darauf warten, bis der Hersteller einen „perfekten“ Patch ausliefert. Unter Umständen muss man hier zu einem Workaround greifen. Das ist immer noch besser, als gar nicht zu handeln.
Das Problem der Software-Patches besteht für Cloudservices zwar nicht, dennoch bedeutet das nicht, dass man hier per se auf der sicheren Seite ist. Ein Blick in Online-Datenbanken wie die Open Cloud Vulnerability & Security Issue Database zeigt, dass es hier sehr wohl Sicherheitslücken gibt. Abgesehen davon kommt es immer auf die Konfiguration an. Sofern diese unzureichend ist oder etwa Standardeinstellungen nicht angepasst wurden, kann es hier zu kritischen Sicherheitslücken kommen. Last but not least gilt die alte Wahrheit: Auch bei einer Lagerung in der Cloud ist für die Sicherheit und Sicherung von Daten nach wie vor jedes Unternehmen selbst zuständig – und niemand anderes sonst.
Mythos 5: Alle Angriffe kommen von außen
Bei Systemen, die nur intern oder via VPN erreichbar sind, gehen viele davon aus, dass alle Zugriffe automatisch vertrauenswürdig sind. Das ist eine gefährliche Fehlannahme. Das interne Netzwerk ist nämlich längst nicht so vertrauenswürdig wie man meint. Möglicherweise ist ein Insider bereits drin und verfügt etwa durch einen kompromittierten Rechner über einen Zugang. Fehlt dann noch eine Netzsegmentierung, hätte dieser Angreifer Zugriff auf das gesamte Unternehmensnetzwerk. Er könnte dann beispielsweise alle internen Dienste auf Schwachstellen scannen und etwa über eine ungepatchte Active-Directory-Lücke Zugriff auf alle wichtigen Daten erhalten. Um dies zu verhindern, müssen Unternehmen ihre internen Dienste daher ebenso schützen und permanent aktualisieren wie extern erreichbare. Ansätze wie Zero Trust können dabei das Bewusstsein schärfen, dass nicht alles, was innerhalb des eigenen Netzwerks geschieht, automatisch vertrauenswürdig ist. In diesem Sinne sollte die Überwachung und Filterung des Datenverkehrs auch die ausgehenden Verbindungen umfassen. Nur so lässt sich beispielsweise die Kommunikation einer Schadsoftware mit einem Kontrollserver im Internet aufspüren.
Fazit: Lieber Fakten statt Mythen
Die Liste der Mythen zur IT-Sicherheit ist lang – wir können an dieser Stelle nur einen kleinen Ausschnitt zeigen. Man sieht, dass sich bestimmte Annahmen hartnäckig halten, obwohl sie durch die Praxis längst widerlegt sind. Das macht es Angreifern in vielen Fällen leicht – zu leicht. Dagegen hilft, sich ein paar Fakten bewusst zu machen. Der wichtigste ist sicherlich, dass jedes Unternehmen Opfer eines Angriffs sein könnte, wirklich jedes. Angriffsversuche finden überall statt – und zwar täglich. Es ist daher gut, dass sich Firmen schützen und in den meisten Fällen auch in ihre IT Security investieren. Denn selbstverständlich sind Unternehmen den Bedrohungen nicht hilflos ausgeliefert, sondern können zumindest die Risiken minimieren. Absolut sicher zu sein, ist jedoch ein weiterer Mythos, der unter Umständen zum exakten Gegenteil führt.