Mythen der Cybersicherheit

Worauf es wirklich ankommt

... von Heiko Wruck

RATGEBER

Lassahn/gc. Cyberkriminalität war einmal eine Nische, die nur wenige Akteure kannte und wenige Opfer fand. Damals hatte sie noch etwas Progressives. Zum Beispiel, wenn eine Online-Bewerbung eines Hackers unerwartet (und unerwünscht) auf dem Bildschirm des Firmenchefs auftauchte. Dann war klar, der Account des Chefs war gehackt worden und das ganze Betriebssystem des Unternehmens war kompromittiert. Glück im Unglück: Die Bewerber wollten sich nur in Szene setzen, um einen guten Job zu bekommen. Heute ist Cyberkriminalität zum Alltagsgeschäft geworden. Cyberkriminelle brauchen keine Spezialkenntnisse mehr, um Schadware einzusetzen. Die gibts kostengünstig im Darknet. Die Schäden gehen in die Milliarden.

Was ist Cybersicherheit?

Alle Maßnahmen, bei denen virtuelle Systeme und digitale Informationen vor unbefugtem Zugriff geschützt werden, werden unter dem Begriff Cybersicherheit zusammengefasst. Das betrifft Verschlüsselungstechnologien und Firewalls, aber auch Virenscanner, Mehrfaktor-Autorisierungen, Fingerabdruck-, Iris-, Stimmen- und Gesichtserkennung zu Autorisierungszwecken. Außerhalb technischer Maßnahmen sind zum Beispiel Compliance und Sicherheitsrichtlinien sowie Schulungen gemeint, wenn es um Maßnahmen zur Gewährleistung von Cybersicherheit geht.

Welche Mythen der Cybersicherheit gibt es?

● Cyberangriffe betreffen nur große Unternehmen

Dieser Mythos stammt aus der Anfangszeit der Cyberkriminalität.

Große Unternehmen versprachen große Lösegelder. Gleichzeitig

scheuten sie eine Bekanntmachung solcher Vorgänge, weil sie

Reputationsschäden fürchteten. Heute ist es komplett anders.

Auch kleine und kleinste Firmen sind im Visier Cyberkrimineller.

Zwar sind die Lösegelder kleiner, werden aber genau deswegen

auch weniger angezeigt. Außerdem hat sich die Crimeware stark

demokratisiert. Man braucht keine Spezialkenntnisse oder viel

Geld, um an technisch ausgereifte Schad- und Erpressungs-

programme zu kommen. Die gibts massenhaft für wenig Geld

im Darknet.

● Antivirensoftware reicht aus, um sicher zu sein

Antivirenprogramme laufen der kriminellen Entwicklung immer

hinterher. Ähnlich wie die Polizei: erst muss eine konkrete Be-

drohung eingetreten oder ein Schaden verursacht sein, danach

kann die Schwachstelle eliminiert werden. Trotzdem bleiben

Antivirenprogramme wichtig, um auch ältere Schwachstellen

als Bedrohungen auszuschalten. Sie bieten keinen vollständigen

Schutz vor Angriffen.

● Passwörter müssen regelmäßig geändert werden

Zuviel kann schädlich sein. Je häufiger Passwörter gewechselt

werden, um so einfacher werden sie. Das kann aus praktischen

Gründen passieren oder aus Bequemlichkeit. Tatsache ist, dass

fast jeder User nur eine begrenzte Gedankenwelt für die Entwick-

lung neuer Passwörter nutzt. Da sind schnell eigene Ressourcen

erschöpft. Zumal möglichst für jeden Account ein komplett

anderes Passwort verwendet werden soll. Ab fünf Accounts wird

das zum überragenden Problem.

● Öffentliche WLAN-Netze sind sicher

Öffentliche WLAN-Netze sind nur eines: öffentlich. Sie meistens

nur unzureichend gesichert und fast nie verschlüsselt. Sie können

leicht von Cyberkriminellen angezapft werden, um sensible Daten

aus den Geräten (Tablets, Smartphones, Laptops) zu ziehen oder

um Schadprogramme per Link einzutragen.

● Cloud-Dienste sind grundsätzlich unsicher

Das stimmt nicht. Richtig ist das Gegenteil. Moderne Cloud-Dienste

können sicherer sein als lokale Speicher. Sie verfügen im Regelfall

über hohe Sicherheitsstandards. Nutzer sollten die Anbieter und deren

Angebote genau prüfen. Zum Beispiel darauf, ob die Cloud-Dienste in

Deutschland (oder Europa) angesiedelt sind. Nur dort müssen die

Anbieter die DSGVO (Datenschutz-Grundverordnung der Europäischen

Union) einhalten.

● Social Media ist privat

Soziale Medien sind die privaten Spielplätze von Superreichen. Und sie

bestimmen maßgeblich die Regeln. Sie bestimmen auch, ob und inwieweit

sie staatliche Vorgaben gar nicht, nur teilweise oder ganz einhalten. Deren

Entscheidungen können sich buchstäblich im Sekundentakt ändern. Fakt

ist: Soziale Medien sind alles mögliche, nur nicht privat.

● Cybersicherheit ist allein Aufgabe der IT-Abteilung

Ein General ohne Soldaten ist nichts wert. So ist es auch bei der IT-Abteilung.

Ohne die Unterstützung der Geschäftsführung und (!) jedes einzelnen Mit-

arbeiters kann auch die beste IT-Abteilung nichts in Sachen Cybersicherheit

ausrichten.

Die 10 größten Bedrohungen der Cybersicherheit

● Phishing-Angriffe

E-Mails, die mit Links zu gefälschten Websites ausgestattet werden, sollen

Adressaten dazu verleiten, persönliche Daten preiszugeben. So werden starke

Reize genutzt, um die Eingabe von sensiblen Daten oder das Betätigen eines

Links zu veranlassen. Die Reize können fingierte Sicherheitsüberprüfungen,

Umfragen oder Alarme beziehungsweise fingierte Fehlermeldungen sein. In

der Folge werden dann Kreditkartenzugänge, Bankverbindungen, Passwörter

oder Geburtsdaten eingetragen oder auf falsche Links geklickt, die angeblich

die Systeme untersuchen, reparieren oder säubern. Tatsächlich wird dadurch

erst das System kompromittiert.

● Ransomware

Dabei handelt es sich um Erpressungstrojaner. Mit diesen Programmen werden

Daten verschlüsselt und Systeme blockiert. Ziel sind oft Lösegeldforderungen.

● Malware

Diese Schadprogramme sollen Daten auslesen und Systeme manipulieren. Hier

besteht ein erstes Ziel darin, dass die Malware möglichst lange unbemerkt auf

den Computern bleibt. Länge sie unbemerkt arbeitet, um tiefer kompromittiert sie

die Systeme und umso mehr Daten liest sie aus.

● Unzureichende Passwörter

Ein Passwort für alle Accounts wirkt wie ein Generalschlüssel. Ist dieser

        Generalschlüssel dann auch noch einfach konstruiert, braucht man

        praktisch kein Schloss um den Zugang zu sichern. Ein sicheres Passwort

        benötigt heute Sonderzeichen, Zahlen, Klein- und Großschreibung sowie

        mindestens acht Stellen. Auch Wörter, die sich im Duden finden oder Namen

        sind eher ungeeignet. Die Rückwärtsschreibweise macht Passwörter nicht

        sicherer.

● Unsichere Netzwerke

Schlecht oder gar nicht gesicherte Verbindungen sind offene Tore für Kriminelle.

Sie ermöglichen es Angreifern, unbemerkt auf übertragene Daten zuzugreifen,

        diese zu verändern oder zu löschen. Lauschangriffe und Malware-Infektionen

        sind ebenfalls möglich.

● Mangelnde Software-Updates

Hacker nutzen häufig Sicherheitslücken in veralteter Software. Zuerst erfolgt die

Identifizierung der Sicherheitslücke. Anschließend wird ein spezielles Programm

für die erkannte Schwachstelle geschrieben (Exploit). Dieses Exploit wird auf

        dem Zielcomputer über die Schwachstelle installiert. Daraufhin erfolgt die

        Verbreitung des Exploits über gefälschte E-Mails und Websites, aber auch über

        kompromittierte Systeme.

● Fragliche Cloud-Sicherheit

Unzureichende Cloud-Dienste sind an folgenden Kriterien zu erkennen:

► Kostenlose Cloud-Dienste

► Fehlende Verschlüsselung

► Schwache Authentifizierung

► Mangelnde Zugriffskontrolle

► Unzureichende Compliance

► Unbekannter Datenspeicherort (z. B. Ausland außerhalb der EU)

● Fehlende Sicherheitsrichtlinien

Regelmäßige Mitarbeiterschulungen, Compliance und Sicherheits-

vorschriften sind zu wenig oder gar nicht vorhanden.

● Schulungen

Mitarbeiter für Cyberrisiken zu sensibilisieren hängt von praktischen

Trainings ab. Die sollten regelmäßig erfolgen und auf das sichere

Verhalten der Mitarbeiter im Alltag und in Ausnahmesituationen ab-

gestellt werden.

● Software-Updates

Betriebssysteme und alle Software sollte immer auf dem aktuellsten

Stand gehalten werden.

● Firewalls und Virenscanner

Nutzen Sie immer aktuelle Virenscanner und Firewalls.

● Verschlüsselung

Grundsätzlich alle Daten sollten verschlüsselt werden, nicht allein

nur die vertraulichen. Schützen sie Ihre Daten vor unerlaubtem

Zugriff. Das betrifft nicht nur die Daten auf dem Computer, sondern

auch die Kommunikation.

● Zugriffskontrolle

Es ist sinnvoll, den Zugriff auf sensible Daten und Systeme zu beschränken.

Nur diejenigen Mitarbeiter, die den Zugriff wirklich benötigen, sollten ihn be-

kommen. Zugriffsberechtigungen sollten immer temporär angelegt sein.

Worauf müssen Arbeitgeber achten?

Um die Cybersicherheit im Unternehmen weitgehend zu gewährleisten, sollten

Arbeitgeber auf folgende Punkte achten:

● Sicherheitskultur

Sensibilisieren Sie Mitarbeiter durch die Förderung einer Kultur

        der Cybersicherheit. Stellen Sie bewusstes und verantwortungsvolles

        Handeln ins Zentrum dieser Kultur.

● Compliance

Gesetzliche Vorgaben und Branchenstandards zum Datenschutz und zur

        IT-Sicherheit werden in den Compliance zusammengefasst. Diese

        Compliance gilt es strikt einzuhalten.

● Risikomanagement

das Risikomanagement ist ein kontinuierlicher Prozess. Hier werden potenzielle

Schwachstellen im Unternehmen und den Netzwerken identifiziert. Sie können

Strategien entwickeln, um die Risiken auszuschließen und Schwachstellen

        zu beseitigen.

● Notfallplan

Bereiten Sie sich aktiv auf eine tiefgreifende Cyberattacke mit einem

        Notfallplan vor. Erstellen Sie klare Handlungsanweisungen und

        Verantwortlichkeiten festlegt. Ein Sicherheits-Backup, das nicht vollständig

        getestet wurde, ist praktisch nicht vorhanden.

● Externe Dienstleister

Auch externe Dienstleister müssen angemessene Sicherheitsmaßnahmen

        nachweisen, um nicht die Systeme ihrer Kunden zu kompromittieren.

Kontakt:

Heiko.Wruck@t-online.de

______________________________________