Mittlerweile gibt es kaum mehr jemanden, der nicht in irgendeiner Weise mit IT-Sicherheit konfrontiert wäre – sei es beim morgentlichen Login in den Arbeitsrechner, beim Installieren eines smarten Haushaltsgerätes oder beim Lesen über den nächsten großen Hack eines Unternehmens.
Trotz des verstärkten Fokus auf die Cybersicherheit von Unternehmen, etwa durch Schulungen, gibt es nach wie vor mehrere gängige Missverständnisse und Mythen, die anscheinend nur schwer aus der Welt zu räumen sind. Dabei handelt es sich um viele scheinbare Wahrheiten, die zwar oft wiederholt werden, aber dadurch nicht richtig werden. Das Problem ist dabei: Folgt und glaubt man ihnen, wird es schnell gefährlich.
Mythos 1: Ein starkes Passwort schützt den Zugriff auf sensible Konten
Starke Passwörter sind sicherlich eine wesentliche Grundlage für Cybersicherheit, insbesondere in Unternehmen. Die Implementierung und Durchsetzung starker Kennwortrichtlinien ist jedoch nur der Anfang, der durch weitere Maßnahmen wie etwa eine Zwei-Faktor-Authentifizierung und effektives Monitoring ergänzt werden muss. Tatsächlich ist eine der Hauptkomponenten der Cybersicherheitsprävention, die oft von Unternehmen übersehen wird, nicht, wie die Menschen auf die Informationen zugreifen, sondern welche Informationen überhaupt zugänglich sind. Mitarbeiter benötigen entsprechend nicht nur sichere Passwörter, sondern Unternehmen müssen auch besser wissen, wem sie den Zugriff auf welche Daten gestatten. So zeigt der Datenrisiko-Report 2018, dass in 41 Prozent der Unternehmen sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien – wie personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – haben. Darüber hinaus verfügen viele Unternehmen auch nicht über ein System zur Überwachung des Administratorzugriffs und haben keinerlei Einblick, was ihre Nutzer mit welchen Daten anstellen.
Mythos 2: Hacker interessieren sich nicht für KMUs
Betrachtet man die Berichterstattung über Cyberangriffe, könnte man zu dem Schluss kommen, dass diese in erster Linie auf Großkonzerne gerichtet sind. Dabei ist das Gegenteil der Fall: Laut dem Verizon Data Breach Investigations Report 2018 sind 58 Prozent der Opfer von Datenschutzverletzungen kleine Unternehmen. Dies hat mehrere Gründe: Viele Unternehmen werden nicht gezielt ausgewählt, sondern sind Opfer von so genannten „Spray-and-Pray“-Angriffen. Dabei richten Hacker automatisierte Systeme ein, um Unternehmen zufällig zu infiltrieren. Sie schießen sozusagen mit einer Schrotflinte und schauen, wen sie dabei treffen. Auf diese Weise kann jedes Unternehmen, unabhängig von seiner Größe, zum Opfer werden. Zudem sind kleinere Unternehmen in der Regel „weichere“ Ziele, da sie weniger Mittel für fortschrittliche Security-Lösungen zur Verfügung haben und oft keine qualifizierten Sicherheitsteams haben. Auch dies erhöht die Wahrscheinlichkeit, dass sie Opfer von Angriffen werden.
Mythos 3: Nur bestimmte Branchen sind anfällig für Cyberangriffe
So wie einige Unternehmen glauben, dass sie wegen ihrer Größe nicht angegriffen werden, gehen andere fälschlicherweise davon aus, dass ihre Branche für Cyberkriminelle uninteressant sei. Dieser Mythos geht auch Hand in Hand mit dem Glauben, dass einige Unternehmen nichts „Wertvolles“ zu stehlen haben. Die Realität ist, dass alle sensiblen Daten, von Kreditkartennummern über Adressen bis hin zu persönlichen Daten, ein Unternehmen zu einem Ziel machen können. Und selbst wenn tatsächlich keinerlei Daten vorhanden sind, die sich im Darknet verkaufen lassen, können sie dennoch für die eigene Geschäftskontinuität wichtig sein und die Unternehmen so für Ransomware-Angriffe anfällig machen.
Mythos 4: AV-Software schützt mich umfassend
Zugegeben, dieser Mythos verblasst in der letzten Zeit ein wenig, ist aber immer noch weit verbreitet. Antivirensoftware ist sicherlich ein wichtiger Teil der Sicherheit eines Unternehmens, aber sie schützt bei Weitem nicht vor allem. AV-Lösungen sind lediglich der Anfang eines umfassenden Cybersicherheitsplans. Um ein Unternehmen wirklich zu schützen, benötigt man eine umfassende Sicherheitsstrategie, die alles umfasst – von der Mitarbeiterschulung über die Identifizierung, von Insider-Bedrohungen bis hin zum Notfall-Management.
Mythos 5: Die Bedrohung kommt von außen
Während Bedrohungen von außen sicherlich ein Problem darstellen und umfassend überwacht werden sollten, sind Insider-Bedrohungen mindestens genauso gefährlich und sollten entsprechend ebenfalls genau beobachtet werden. Untersuchungen deuten sogar darauf hin, dass Insider-Bedrohungen bis zu 75 Prozent der Datenschutzverletzungen ausmachen. Und diese Bedrohungen können von jedem im Unternehmen ausgehen – von verärgerten oder unzufriedenen Mitarbeitern, die auf Rache aus sind, bis hin zu ganz normalen Mitarbeitern ohne entsprechende Cybersicherheitsschulung, die auf eine Phishing-Mail hereinfallen. Daher ist es wichtig, über ein System zur Verhinderung und Überwachung von Insiderbedrohungen, etwa durch intelligente Nutzerverhaltensanalyse (UBA), zu verfügen.
Mythos 6: Cybersecurity ist in erster Linie ein Thema für die IT-Abteilung
Selbstverständlich trägt die IT eine große Verantwortung bei der Umsetzung und Überprüfung von Richtlinien, um die Cybersicherheit von Unternehmen zu gewährleisten, sowie bei der Implementierung entsprechender Schutzmaßnahmen und Lösungen. Das Sicherheitsniveau eines Unternehmens hängt jedoch wesentlich vom Verhalten jedes einzelnen Mitarbeiters ab. Oder um ein oft gebrauchtes Bild zu verwenden: Eine Kette ist nur so stark wie ihr schwächstes Glied. Laut Verizon werden 49 Prozent der Malware über E-Mails installiert. Wenn die Mitarbeiter nicht in Fragen der Cybersicherheit geschult sind, etwa wie man Phishing-Betrug erkennt und unsichere Links vermeidet, könnten sie das Unternehmen für potenzielle Bedrohungen öffnen.
Mythos 7: Ein passwortgeschütztes Wi-Fi-Netzwerk ist sicher
Mobiles Arbeiten ist mittlerweile schon fast zum Standard geworden, sei es in der Mittagspause in der Filiale einer Kaffeekette, auf Geschäftsreisen oder gar im Urlaub. Leider gehen viele Mitarbeiter fälschlicherweise davon aus, dass ein Passwort die Sicherheit eines WLAN-Netzwerks gewährleistet. In Wirklichkeit begrenzen Wi-Fi-Passwörter in erster Linie die Anzahl der Benutzer pro Netzwerk. Andere Benutzer, die das gleiche Passwort verwenden, können möglicherweise die sensiblen Daten einsehen, die übertragen werden. Auch sollte man bei der Wahl des Wi-Fi-Zugangspunktes Vorsicht walten lassen, da es sich dabei auch durchaus um bestenfalls dubiose, von Hackern installierte Hotspots handeln könnte. Mobile Mitarbeiter sollten deshalb in VPNs investieren, um ihre Daten sicherer zu machen.
Mythos 8: Man kann infizierte Rechner und Systeme sofort identifizieren
Vor etwa einem Jahrzehnt mag es wahr gewesen sein, dass man sofort erkennen konnte, ob sein Computer mit einem Virus infiziert war – verräterische Zeichen waren Popup-Werbung, langsam ladende Browser und im Extremfall Systemabstürze. Und auch heute gibt es mit Ransomware eine Angriffsart, die sehr laut ist und letztlich davon lebt, bemerkt zu werden. In aller Regel wollen Cyberkriminelle aber so lange wie möglich unerkannt in den Systemen ihr Unwesen treiben. Moderne Malware ist entsprechend schwer zu erkennen. Studien zeigen, dass Hacker oft tagelang, teilweise sogar monatelang im Netzwerk des Opfers aktiv sind, bevor sie erkannt werden.
Mythos 9: 100prozentiger Schutz ist möglich
Cybersecurity ist ein andauernder Prozess und keine (einmalige) Aufgabe, die erledigt und dann abgehakt werden kann. Neue Malware- und Angriffsmethoden setzen Systeme und damit die Unternehmensdaten immer wieder aufs Neue in Gefahr. Um wirklich Cybersicherheit zu gewährleisten, müssen sämtliche Systeme kontinuierlich überwacht, interne Audits durchgeführt und Notfallpläne überprüft, getestet und ausgewertet werden. Und dieser Prozess erfordert die Beteiligung aller Mitarbeiter. Ein wesentlicher Schritt dabei ist – wie bereits erwähnt – die Sensibilisierung der Mitarbeiter und das Aufräumen mit den genannten Mythen.
Thomas Ehrlich, Country Manager DACH, Varonis Systems