Vorsicht Falle! Die 14 gefährlichsten Irrtümer in der IT-Security!

Die Bedrohungskulisse durch Hacker wird zusehends komplexer und erfordert neue Denkweisen und Strategien. Vor welchen tückischen Denkfallen sollten sich CISOs, Security-Teams und Nutzer von IT-Security-Lösungen hüten?

Anbieter zum Thema

Viele Unternehmen konzentrieren sich zu sehr auf die Erfüllung von Compliance-Anforderungen und nicht genug darauf, wirklich Sicherheit herzustellen.
Viele Unternehmen konzentrieren sich zu sehr auf die Erfüllung von Compliance-Anforderungen und nicht genug darauf, wirklich Sicherheit herzustellen.
(Bild: BillionPhotos.com - stock.adobe.com)

Die zunehmende Zahl von Hacker-Angriffen sowie eine rasante Digitalisierung haben die Sicherheitslandschaft extrem verändert und damit die Aufgaben der CISOs komplexer denn je gemacht. Dies hat zur Folge, dass Ansätze und Lösungen, die in der Vergangenheit vielleicht noch gegolten haben, heute möglicherweise nicht mehr sinnvoll sind. Hier eine Reihe von Mythen, die von den IT-Teams in den Unternehmen endlich aus dem Verkehr gezogen werden sollten.

Irrtum Nummer 1: Möglichst viele Tools erhöhen den Schutz vor Hacker-Angriffen

Eine der größten Fallen, ist die Annahme, dass Anwender möglichst viele Tools und Plattformen benötigen, um sich zu schützen. Der Kauf von immer mehr Tools verbessert nicht unbedingt den Status der Sicherheit, da es sich oft nicht um ein Tool-Problem, sondern um ein betriebliches Problem handelt. Deshalb ist es besser, Prioritäten zu setzen und sich auf relevante Sicherheitszielsetzungen zu konzentrieren, bei denen der Anwender ein Optimum aus den bestehenden Investitionen ziehen kann.

Irrtum Nummer 2: Daten sind in der Cloud sicherer

Etwa die Hälfte aller Unternehmensdaten wird in der Cloud vorgehalten. Oftmals vertrauen Unternehmen fast blind darauf, dass diese Daten perfekt gesichert sind. Fakt ist: Viele Cloud-Anbieter geben jedoch keine Garantien für ihre Sicherheit. In der Regel sind in den Geschäftsbedingungen Modelle der geteilten Verantwortung vorgesehen, die deutlich machen, dass der Kunde für den Schutz seiner Daten selbst verantwortlich ist.

Irrtum Nummer 3: Compliance durch Log-Files

Viele Unternehmen führen akribisch Log-Files, aber nur wenige analysieren sie richtig. Wenn Unternehmen Log-Files nicht proaktiv überprüfen und automatisch nach bekannten Bedrohungen durchsuchen, haben sie die Cyber-Bedrohungen nicht verstanden! Konkurrenzfähige Unternehmen brauchen heute Einblicke auf Abruf - in jeder Größenordnung und an jedem Standort. Das heißt, Daten müssen von jeder Edge-Umgebung bis hin zu mehreren Clouds sicher verarbeitet und analysiert werden können. Die besten Log-Files sind daher einfach und klar strukturiert, enthalten aber genügend Informationen, um die Untersuchung eines Vorfalls zu unterstützen.

Irrtum Nummer 4: IT-Versicherungen reduzieren Risiken

Theoretisch können Unternehmen mit einer IT-Versicherung die Kosten eines Hacker-Angriffs neutralisieren oder reduzieren. Doch das Problem ist oftmals vielschichtiger. Beispielsweise können die Kosten eines Ransomware-Vorfalls weit über die direkten finanziellen Auswirkungen hinausgehen, da auch mit Konsequenzen wie viele verärgerte Kunden und somit einer Rufschädigung zu rechnen ist. Eine IT-Versicherung sollte immer nur ein Teil, aber nicht der wesentliche Baustein einer IT-Resilienz-Strategie sein.

Irrtum Nummer 5: Compliance ist Sicherheit

Viele Unternehmen konzentrieren sich zu sehr auf die Erfüllung von Compliance-Anforderungen und nicht genug darauf, ihr Unternehmen wirklich sicher zu machen. Denn es reicht bei weitem nicht aus, alle Compliance-Kästchen abzuhaken, denn Compliance bedeutet in erster Linie nur, die Mindeststandards zu erfüllen. Heute bedarf es eines umfassenderen und individuelleren Programms, um einen fortgeschrittenen Stand der Cyber-Reife zu erreichen.

Irrtum Nummer 6: Sicherheit ist die Aufgabe des Security-Teams

Die Tugenden Sorgfaltspflicht bzw. Verantwortungsbewusstsein sollten im Hinblick auf Daten idealerweise im gesamten Unternehmen gelebt werden. Dahingehend weniger alerte Mitarbeiter jenseits der IT-Abteilungen müssen dagegen angemessene Schulungen erhalten, um sicherzustellen, dass sie die Risiken verstehen und wissen, wie sie einige der häufigsten Probleme angehen können.

Irrtum Nummer 7: Softwaretests verhindern Angriffe

Das Testen von Software ist natürlich immer eine gute Idee, und eine sorgfältige Durchführung erweist sich ebenfalls als hilfreich. Doch dies alles bietet nur trügerische Sicherheiten. Denn Angreifer können immer noch eine Vielzahl an möglichen Schwachstellen entdecken.

Irrtum Nummer 8: Mensch als schwächstes Glied

Es ist richtig, dass die meisten Angriffe durch Menschen ausgelöst werden. Trotzdem sollten die Unternehmen damit aufhören, stets den Menschen die alleinige Schuld zu geben. Besser wäre es, einen ganzheitlichen Ansatz zu verfolgen, indem beispielsweise die entsprechenden Richtlinien und Verfahren angewendet und die Menschen ausreichend dabei unterstützt werden, die Sicherheit einer Organisation zu erhöhen.

Irrtum Nummer 9: Alles kann automatisiert werden

Die Automatisierung von sicherheitsrelevanten Prozessen kann für ein Unternehmen Zeit und Geld sparen. Dennoch sollte sie in Maßen eingesetzt werden. Wenn sich Unternehmen blind auf die Automatisierung verlassen, kann dies zu Lücken in der Qualität und Genauigkeit einer Sicherheitsbewertung führen. Insbesondere komplexe Aufgaben, die Intuition und Instinkt erfordern, sollten nach wie vor dem Menschen überlassen bleiben.

Irrtum Nummer 10: Der letzte Angriff zählt

Unternehmen tendieren oftmals dazu, sich immer auf den letzten Angriff zu konzentrieren und vernachlässigen dabei andere wichtige Gefahren, um zukünftige Vorfälle zu verhindern. Bedrohungen und Angriffe ändern sich ständig. Unternehmen brauchen Programme, die sich flexibel anpassen können und jederzeit auf das Unbekannte vorbereitet sind.

Irrtum Nummer 11: Daten sind hinter einer Firewall sicher

Mitarbeiter arbeiten heute auch extern und damit ist das Unternehmensnetzwerk nicht mehr die Sicherheitsgrenze. Jetzt müssen sich Unternehmen auf die Anwendung von Zero-Trust-Techniken konzentrieren und verstehen, dass die Identität - unabhängig vom Standort - die neue Sicherheitsgrenze bildet.

Irrtum Nummer 12: Sicherheit erhöht sich, wenn Passwörter alle 90 Tage geändert werden

Wenn Unternehmen von ihren Usern fordern, ihre Passwörter nach einem bestimmten Zeitplan zu ändern, stellen sie meist nur sicher, dass sie kurze und einfache Passwörter wie „Urlaubsreif2022“ wählen. Statt der Häufigkeit der Änderung sollten die User stattdessen dazu angehalten werden, lange Passwörter zu wählen und die Multi-Faktor-Authentifizierung zu aktivieren.

Irrtum Nummer 13: Verschlüsselung von sensiblen Daten ist ausreichend

Oftmals denken Unternehmen bei der Verschlüsselung von Daten nicht genug darüber nach, wo der Schlüssel gespeichert werden soll oder wer der Angreifer in bestimmten Szenarien sein könnte. Kryptografie ist ein kompliziertes Thema. Viele Unternehmen wähnen sich in falscher Sicherheit, weil sie glauben, dass ihre Daten "verschlüsselt" und damit sicher sind.

Irrtum Nummer 14: Zu klein, um ein Ziel zu sein

Hartnäckig hält sich leider immer noch der Glaube in vielen Unternehmen, dass sie als Ziel nicht relevant genug sind, um Opfer eines Cyberangriffs zu werden. Ganz im Gegenteil: Wenn man angreifbar ist, ist man auch ein Ziel! Entweder starten Hacker gezielte Angriffe auf ein Unternehmen oder sie streuen allgemeine Angriffe, um zu sehen, wer sich als ungeschützte Opfer in ihrem Netz verfängt.

Dieser Beitrag stammt von unserem Partnerportal Security-Insider.de.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48285882)