Die 7 Todsünden der IT-Sicherheit
… und was Sie dagegen tun können.
Ein ITQ-Artikel von Dennis Joist | Egal ob gehackte Benutzerkonten oder Datendiebstahl in der Wirtschaft – tagtäglich berichten die Medien über Schreckensszenarien im Bereich der IT-Sicherheit. Oftmals denkt der Betrachter zwar darüber nach, wie sich ein solcher Vorfall auf das eigene Unternehmen auswirken würde, eine Verhaltensänderung findet jedoch selten statt.
Dabei sind es meistens einfachste Maßnahmen, die den Widerstand und den Schutz vor solchen Angriffen erheblich erhöhen. Wir haben die häufigsten und gravierendsten Nachlässigkeiten von Unternehmen zusammengefasst und Empfehlungen beigefügt, um Abhilfe zu schaffen.
1. Mangelhafte Passwörter
Der Fehler wird bereits bei der Auswahl der Passwörter gemacht, indem diese nicht der erforderlichen Komplexität entsprechen. Zudem gehen Mitarbeiter zu sorglos mit Passwörtern um und schreiben diese auf Zettel oder notieren sie anderweitig.
Tipp: Verwendung eines Passwort-Managers zur Verwaltung der Kennwörter und automatischen Generierung.
2. Unzureichendes Patchmanagement
Cyber-Kriminelle nutzen gerne Schwachstellen in Software und Anwendungen aus, um in das Informationssystem des Unternehmens einzudringen. Aber auch veraltete Versionen von Virenschutzprogrammen sind ein Risiko, wenn diesen nicht die neuesten Bedrohungen aus dem Netz bekannt sind.
Tipp: Implementieren sie eine Software-Lösung, die automatisiert die Verfügbarkeit von Sicherheitsupdates und Patches steuert. Daneben sollten die IT-Verantwortlichen immer auf den aktuellsten Stand sein, welche Sicherheitslücken Hersteller veröffentlichen.
3. Ausuferung von Zugriffsrechten
Die Möglichkeit der Mitarbeiter auf unternehmenseigene Daten zu zugreifen ist in der Regel viel zu weitgefasst. Obwohl die Informationen nicht für die Aufgabenerledigung erforderlich sind, können viel zu viele Personen diese einsehen. Wird nun das Passwort des Benutzers geknackt, kann der Angreifer plötzlich nahezu alle Ordner und Anwendungen öffnen bzw. bedienen. Besonders kritisch wird es, wenn ein Administratorkonto betroffen ist, das nicht entsprechend eingeschränkt wurde.
Tipp: Die Benutzerrechte sollten auf ein Mindestmaß eingeschränkt werden. Alle Rechte, die nicht zur Aufgabenerledigung notwendig sind, müssen deaktiviert werden.
4. Fehlende Mitarbeitersensibilisierung
Knapp die Hälfte aller Sicherheitsvorfälle sind auf die eigenen Mitarbeiter zurückzuführen. Es ist weniger böswilliges Verhalten als vielmehr die Unwissenheit oder mangelndes Gefahrenbewusstsein, welches für Schäden verantwortlich ist.
Tipp: Mitarbeiter müssen in geeigneter Weise auf die Gefahren im Umgang mit IT-Systemen hingewiesen und geschult werden. Allein die Übergabe einer Arbeitsanweisung und eine Unterschrift zur Einhaltung sind nicht ausreichend! Sensibilisierungsmaßnahmen müssen kontinuierlich und spezifisch stattfinden, um einen Effekt erzielen zu können.
5. Defizite im Datensicherungskonzept
Egal ob durch Hardwareverschleiß, Unachtsamkeit oder einen Sicherheitsvorfall, Daten gehen früher oder später verloren. Hat das Unternehmen keine angemessene Vorsorge getroffen, kann der Datenverlust katastrophale Folgen haben, wenn bspw. Entwicklungspläne oder die Kundendatenbank nicht mehr verfügbar sind.
Tipp: Erarbeitung eines Datensicherungskonzept unter Beachtung der Schutzbedürftigkeit der Informationen. Legen sie ein Sicherungsintervall fest und führen sie regelmäßig Tests durch, ob die gesicherten Daten sich wiederherstellen lassen können.
6. Vernachlässigung mobiler Endgeräte
Laptops, Smartphones, Tablets und andere IoT-Geräte (‘Internet of Things’) sind entweder nur unzureichend geschützt oder wurden gar nicht im Sicherheitskonzept berücksichtigt. Schwachstellen dieser Geräte sind beliebtes Einfallstor für Hacker, um Zugriff auf die IT-Systeme des Unternehmens zu erhalten.
Tipp: Auch mobile Endgeräte müssen dringend in das Patchmanagement miteinbezogen und mit den gängigen Virenschutzprogrammen ausgestattet werden.
7. Keine Reglementierung von E-Mails
E-Mails sind wahre Virenschleudern und für jeden zweiten Sicherheitsvorfall verantwortlich. Teilweise werden elementare Sicherheitseinstellung – wie die Deaktivierung von verdächtigen Anhängen oder aktiven Inhalten – ausgelassen. Aber auch der korrekte Umgang mit E-Mails und das Erkennen gefälschter Nachrichten ist nicht jedem Mitarbeiter bekannt.
Tipp: Abgesehen von PDF-Dokumenten sollten keine E-Mail-Anhänge ohne weitere Prüfung zu öffnen sein. Aktive Inhalt, wie Bilder oder Videos in Nachrichten müssen deaktiviert werden, da andernfalls bereits beim Anschauen der E-Mail im Hintergrund Schadprogramme installiert werden können. Es muss allen Mitarbeiter bekannt sein, was charakteristisch für eine gefälschte Nachricht ist.
Die Umsetzungen der beschriebenen Maßnahmen sind allesamt wenig aufwendig und auch mit geringem Budget durchsetzbar. Frühzeitiges Handeln verhindert kostspielige Gegenmaßnahmen. Kontaktieren Sie uns zu diesem Thema gerne kostenfrei unter der Nummer 0800 4883 338.
