Irrtümer in der IT-Security

Sie sind CISO, gehören einem IT-Security-Team an oder sind Nutzer von IT-Security-Lösungen? Dann sollten Sie sich unsere „Irrtümer in der IT-Security“ nicht entgehen lassen. Im folgenden Beitrag stellen wir tückische Fallen in Bezug auf Denkweisen zur IT-Sicherheit vor.

Teasergrafik Irrtümer in der IT-Security

Chemnitz, 19.07.2022

Headergrafik Irrtümer in der IT-Security

 

Viele Unternehmen ergreifen in Anbetracht der aktuell hohen Bedrohungslage hinsichtlich Cyberattacken Maßnahmen, die zu mehr IT-Sicherheit beitragen sollen. Von der Einführung von Compliance-Vorgaben bis hin zum Abschluss einer IT-Versicherung – Möglichkeiten für vermeintlich mehr IT-Sicherheit gibt es viele. Aber welche der Maßnahmen sind auch wirklich erfolgversprechend und wo lohnt es sich, genauer hinzuschauen, um Stolperfallen zu vermeiden? Wir haben 5 Irrtümer in der IT-Security zusammengefasst und verraten, worauf Sie achten sollten:

Irrtum Nr. 1: „IT-Versicherungen schützen vor finanziellen Schäden durch Hackerangriffe“

Die Bedrohungslage durch Hacker wird immer ernster. Viele Unternehmen erwägen deshalb die Möglichkeit, eine IT-Versicherung abzuschließen. Diese soll im Ernstfall den entstandenen finanziellen Schaden ausgleichen. Soweit so gut. Dass man vor Abschluss der Versicherung bestimmte Mindestvoraussetzungen erfüllen muss, wird von den Versicherungen meist schon transparent dargelegt. So sind z.B. die folgenden Punkte ein klares MUSS, um überhaupt eine Cyberversicherung abschließen zu können:

  • Fortlaufender und aktueller Virenschutz
  • Firewall
  • Regelmäßige Datensicherung auf externe Systeme
  • Konzept mit fest definierten und abgestuften Zugriffsrechten

Vor allem Letzteres hat es jedoch in sich. Denn hier fordern einige Versicherungen im Kleingedruckten sogar schon eine unabhängige 2-Faktor-Authentifizierungslösung. Es lohnt sich also, im Vorfeld genau hinzuschauen, um im Schadensfall auch den nötigen Anspruch geltend machen zu können.

Ein unabhängiges Tool für eine starke 2-Faktor-Authentifizierung ist z.B. SmartLogon™ von digitronic. Die Software bietet umfassenden Schutz bei der Anmeldung an PC oder Anwendungen bei maximalem Komfort für den Nutzer.

Irrtum Nr. 2: „Compliance ist gleich Sicherheit“

In vielen Branchen herrschen mittlerweile strenge Compliance-Vorgaben, auch über den reinen Datenschutz hinaus. Die Erfüllung dieser Vorgaben bedeutet allerdings nur, den Mindeststandard zu erfüllen. D.h. auch wenn Sie alle Compliance-Kästchen angekreuzt haben, so heißt das noch längst nicht, dass Ihr Unternehmen vor Cyberattacken geschützt ist. Hier bedarf es eines umfassenden Sicherheitskonzeptes – nicht nur in der Theorie, sondern auch mit praxisorientierten Lösungsmöglichkeiten.

Gern unterstützen wir Sie mit unseren 30 Jahren Erfahrung im Bereich IT-Security bei der Erstellung eines IT-Sicherheitskonzeptes auf Basis der drei Säulen der IT-Sicherheit:

  • Verfügbarkeit
  • Vertraulichkeit
  • Integrität

Buchen Sie gleich ein unverbindliches Beratungsgespräch mit einem unserer netten Kollegen.

Irrtum Nr. 3: „Der Mensch ist das schwächste Glied in der IT-Security-Kette“

Passwortfrust bei Anmeldung am PCDiese immer noch weit verbreitete These entspricht zumindest nur teilweise der Wahrheit. Auch wenn es statistisch richtig ist, dass die meisten Angriffe durch menschliches Fehlverhalten verursacht werden, so sollten zwingend die Hintergründe, etwa zur Passwortkultur betrachtet, werden. Gibt es in einem Unternehmen z.B. keine klaren Festlegungen zu Passwortlänge oder -komplexität, kann man den Mitarbeitern keinen Vorwurf machen, wenn diese „1234“ wählen. Auch der umgekehrte Fall, also Vorgaben für hoch komplexe Passwörter, die regelmäßig geändert werden müssen, ist nicht gerade förderlich für die IT-Sicherheit. Denn Passwörter wie „Qjf7%l?_5öy8§zh“ kann sich kein Mensch merken, was dazu führt, dass diese abgespeichert oder auf Post-its geschrieben werden.

Was also tun, um den Mitarbeitern möglichst hohen Komfort bei der Anmeldung zu bieten und dennoch die Systeme zuverlässig vor unautorisierten Zugriffen zu schützen?

Eine Möglichkeit ist der Einsatz einer 2-Faktor-Authentifizierungslösung. SmartLogon™ von digitronic etwa vereint die Vorteile von komplexen Passwörtern mit hohem Nutzerkomfort. Das komplizierte aber sichere Passwort wird verschlüsselt auf einem Security Token abgespeichert. Der Nutzer benötigt zur Anmeldung dann lediglich den Token und eine kurze, einfache PIN. Weitere Vorteile, wie das automatische Sperren bei Verlassen des PCs oder die Single Sign-On Funktion für Webportale und Fachanwendungen, machen die Lösung noch sicherer und nutzerfreundlicher.

Irrtum Nr. 4: „Mein Unternehmen ist zu klein, um Ziel eines Angriffs zu sein“

Auch dieser Irrtum hält sich leider immer noch hartnäckig. Die Vergangenheit hat jedoch gezeigt, dass die Größe des Unternehmens keine Rolle spielt. Vielleicht starten Hacker nicht unbedingt gezielte Angriffe auf kleinere Unternehmen, aber sie streuen allgemeine Angriffe und sehen dann, wer sich als ungeschütztes Opfer in ihren Netzen verfängt.

Genau diese Erfahrung musste auch das Stuckateur Unternehmen Franz Sauter GmbH & Co. KG im vergangenen Jahr machen. Die Passwortstruktur für die sechs Büroangestellten war bisher sehr einfach gehalten. Die Mitarbeiter meldeten sich morgens mit Benutzername und Passwort an ihren Arbeitsplatz-PCs an. Nach dem Hackerangriff sollten die unternehmensinternen IT-Sicherheits-Richtlinien verschärft werden. Einer der Bausteine hierzu war es, die Passwortstruktur zu stärken, bei maximalem Komfort für die Mitarbeiter. Das Unternehmen entschied sich, hierfür die 2-Faktor-Authentifizierungslösung SmartLogon™ von digitronic einzusetzen. Den gesamten Anwenderbericht und was Geschäftsführer Martin Sauter zur Lösung sagt, lesen Sie → hier.

Irrtum Nr. 5: „Verschlüsselung von sensiblen Daten ist ausreichend“

Allzu oft wird das Thema Verschlüsselung sensibler Daten in Unternehmen nicht oder nicht ausreichend beleuchtet. Dabei ist Datenverschlüsselung ein wichtiger Bestandteil zur Herstellung von Vertraulichkeit – wenn man es denn richtig angeht. Klar, Windows bringt bereits einige Tools mit, um Dokumente mit einem Passwortschutz zu versehen oder zu verschlüsseln. Leider hängt der erzeugte Schlüssel an der Konto-ID des Windows-Benutzerkontos. Im Falle eines Hackerangriffs mit Accountübernahme sind damit auch die verschlüsselten Daten im Klartext lesbar. Mehr dazu haben wir in unserem Beitrag „Verschlüsselung als zentraler Bestandteil der IT-Security“ zusammengefasst.

Um einen adäquaten Schutz Ihrer sensiblen Daten herzustellen empfiehlt Verschlüsselung und 2-Faktor-Authentifizierung in einem sich daher der Einsatz von Zusatztools zur Verschlüsselung, welche nicht mit dem Windows-Konto verknüpft sind. Die parallele Einführung einer 2-Faktor-Authentifizierung zum Schutz vor Accountübernahmen bietet zusätzliche Sicherheit. Beides bieten wir mit unseren Lösungen HiCrypt™ und SmartLogon™ auf Wunsch auch im attraktiven Bundle. In Verbindung mit dem YubiKey als Security Token für die 2-Faktor-Authentifizierung können Sie darüber hinaus gleich zwei Fliegen mit einer Klappe schlagen: Sichere Anmeldung am Betriebssystem und Fachanwendungen sowie Freischaltung von verschlüsselten Daten – und das dank unserer Software ganz ohne PKI oder Zertifikate.

Doch das ist noch nicht alles! Alle sonstigen Merkmale des Yubikey5 wie FIDOII-Portal-Authentifizierung, Signaturen etc. bleiben erhalten. Mehr dazu → hier.

Für weitere Fragen rund um das Thema IT-Security stehen wir Ihnen gern zur Verfügung.

Diese Artikel könnten Sie interessieren: