Die 8 IT-Security-Mythen, die sich hartnäckig halten
Trotz der starken Medienpräsenz der neusten Hackerangriffen gibt es nach wie vor Nacholfbedarf in Sachen Security Awareness. Im Foren und Diskusionen gibt es auch vermehert IT-Security Mythen, die nur schwer aus der Welt zu räumen sind. Hierbei handelt es sich um scheinbare Wahrheiten, die oft erwähnt werden, aber nicht der Wahrheit entsprechen. Einige davon sind sehr gefährlich und können ein Einfallstor für Hacker sein.
Wir decken hier diese Mythen auf.
Mythos 1: Ein starkes Passwort allein schützt den Zugriff auf Konten
Das Verwenden von starken Passwörter ist sicherlich die Grundlage für jede IT-Security, insbesondere in Unternehmen. Die Implementierung und Durchsetzung starker Kennwortrichtlinien ist jedoch nur der Anfang, der durch weitere Maßnahmen wie etwa eine Zwei-Faktor-Authentifizierung ergänzt werden muss. Tatsächlich ist eine der Hauptfaktoren der Cybersicherheitsprävention, die oft von Unternehmen übersehen wird, nicht, wie die Menschen auf die Informationen zugreifen, sondern welche Informationen überhaupt zugänglich sind. Die Mitarbeiter des Unternehmens benötigen entsprechend nicht nur sichere Passwörter, sondern Unternehmen müssen auch besser wissen, wem sie den Zugriff auf welche Daten gestatten. Viele Unternehmen verfügen auch nicht über ein System zur Überwachung des Administratorzugriffs und wissen nicht, was ihre Nutzer mit welchen Daten anstellen.
Mythos 2: Hacker interessieren sich nicht für kleine Unternehmen
In den Medien ließt man nur von Hackerangriffen auf große Unternehmen. Dabei ist das Gegenteil der Fall: Laut dem Verizon Data Breach Investigations Report 2018 sind 58 Prozent der Opfer von Datenschutzverletzungen kleine Unternehmen. Viele Unternehmen werden nicht gezielt angegriffen, sondern sind Opfer von so genannten „Spray-and-Pray“-Angriffen. Dabei greifen Hacker wahllos Ziele an, ohne dem Wissen wer dahinter steckt. Auf diese Weise kann jedes Unternehmen zum Opfer werden. Zudem sind kleinere Unternehmen schwächer geschützt, da sie weniger Mittel für Security-Lösungen zur Verfügung haben.
Mythos 3: Nur bestimmte Branchen sind interessant für Hacker
Einige Unternehmen gehen davon aus, dass sie nichts „Wertvolles“ zu stehlen haben. Die Realität ist, dass alle sensiblen Daten, von Kreditkartennummern über Adressen bis hin zu persönlichen Daten, ein Unternehmen zu einem Ziel machen können. Und wenn die Hacker nicht direkt Geld mit den gestohlenen Daten erwirtschaften können, bieten diese die Daten im Darkweb an.
Mythos 4: Antiviren-Software schützt umfassend
Antivirensoftware ist sicherlich ein wichtiger Teil der IT-Security eines Unternehmens, aber sie schützt bei Weitem nicht vor allem. AV-Lösungen sind lediglich der Anfang einer IT-Security-Strategie. Um ein Unternehmen wirklich zu schützen, benötigt man eine umfassende Sicherheitsstrategie. Von der User Awareness Schulung über die Identifizierung, von Insider-Bedrohungen bis hin zum Notfall-Management im Ernstfall.
Mythos 5: IT-Security ist nur ein Thema für die IT-Abteilung
Das Sicherheitsniveau eines Unternehmens hängt wesentlich vom Verhalten jedes einzelnen Mitarbeiters ab. 49 Prozent der Malware wird über E-Mails installiert. Wenn die Mitarbeiter nicht in Fragen der Cybersicherheit geschult sind, könnten sie das Unternehmen für potenzielle Bedrohungen öffnen.
Mythos 6: Ein passwortgeschütztes WLAN ist sicher
Mobiles Arbeiten ist wichtiger denn je, sei es im Home-Office, auf Geschäftsreisen oder gar im Urlaub. Leider gehen viele Mitarbeiter fälschlicherweise davon aus, dass ein Passwort die Sicherheit eines WLAN-Netzwerks gewährleistet. In Wirklichkeit begrenzen Wi-Fi-Passwörter in erster Linie die Anzahl der Benutzer pro Netzwerk. Auch sollte man bei der Wahl des Zugangs vorsichtig sein, da es sich dabei auch durchaus um bestenfalls dubiose, von Hackern installierte Hotspots handeln könnte.
Mythos 7: Man kann infizierte Geräte sofort identifizieren
Mit Ransomware gibt es eine Angriffsart, die sehr laut ist und letztlich davon lebt, bemerkt zu werden. Meistens wollen Hacker aber so lange wie möglich unerkannt in den Systemen sein. Heutige Malware ist entsprechend schwer zu erkennen. Studien zeigen, dass Hacker oft bis zu vielen Monaten im Netzwerk des Opfers aktiv sind, bevor sie erkannt werden.
Mythos 8: 100% Schutz ist möglich
IT-Security ist ein Prozess und kein System. Neue Malware- und Angriffsmethoden setzen Systeme und damit die Unternehmensdaten immer wieder aufs Neue in Gefahr. Um wirklich Cybersicherheit zu gewährleisten, müssen sämtliche Systeme kontinuierlich überwacht, interne Audits durchgeführt und Notfallpläne überprüft, getestet und ausgewertet werden. Und dieser Prozess erfordert die Beteiligung aller Mitarbeiter.