IT-Sicherheit ist von essenzieller Wichtigkeit – und trotzdem machen Verantwortliche ständig Fehler, weil sie auf alte Märchen und falsche Versprechungen hereinfallen. Dabei ist es nicht unbedingt schwierig, es besser zu machen. Security-Experte Frank Ully erklärt im Interview, worauf Administratoren achten müssen und was sie getrost ignorieren können.

Frank Ully Frank Ully ist Head of Research der Oneconsult Deutschland AG in München. Er beschäftigt sich mit aktuellen Themen der offensiven IT-Sicherheit.

Updates einspielen, Security-Software aktivieren und Richtlinien durchsetzen – warum genügt das nicht, damit sich Administratoren sicher fühlen können?

Patches und die anderen genannten Maßnahmen halten Angreifer nicht auf, wenn die Umgebung unsicher konfiguriert oder generell schlecht konzipiert ist. Die Gefahr von unsicheren Standardeinstellungen und selbst verursachten Fehlkonfigurationen sollten Admins nicht unterschätzen. Für Angreifer ist es oft einfacher, sich über eine unzureichende Konfiguration Zugang oder erweiterte Rechte zu verschaffen, als eine bestimmte patchbare Schwachstelle auszunutzen. Auch müssen alle Schutzmaßnahmen durchgängig implementiert werden.

Viel hilft oft viel – und gerade bei der Sicherheit sollten Unternehmen nicht sparen, meinen Security-Anbieter. Stimmt das?

Nein. Viele Entscheider glauben den Einflüsterungen der Sicherheitsindustrie, ihr neuestes Produkt mit künstlicher Intelligenz wäre absolut unschlagbar. Damit schaffen sie sich einen Zoo an teuren Tools mit bunten Management-gerechten Grafiken, den niemand mehr überblickt und die Werkzeuge arbeiten gar nicht zusammen. Tools müssen eingerichtet, gewartet und mit anderen Maßnahmen verbunden werden. Sinnvoller wäre es, weniger Software – etwa den ohnehin vorhandenen Malwarescanner – zielgerichtet einzusetzen. Und mehr in die Weiterbildung der vorhandenen Mitarbeiter und in zusätzliche Kollegen zu investieren.

Niemand kann alles perfekt machen. Aber ist das in kleinen Unternehmen überhaupt so dramatisch? Angreifer interessieren sich doch bestimmt eher für die großen Fische.

Verantwortliche und Admins neigen dazu, die Gefahr für das eigene Unternehmen zu verdrängen. Während sie auf Heise Security von den jüngst lahmgelegten Industrieunternehmen, Stadtverwaltungen oder Hochschulen lesen, denken sie: „Uns trifft es eh nicht. Wir sind nicht wichtig und interessant genug.“ Aber diese Angriffe können jeden treffen. Jede Organisation hat IT im Einsatz, sei es eine Website, eine Kundendatenbank oder einfach ein paar vernetzte Rechner, an denen Mitarbeiter E-Mails lesen. KMU werden oft Zufallsopfer von massenhaften Eindringversuchen über Phishing oder ungesicherte, aus dem Internet erreichbare Systeme. Sie fallen solchen Angriffen wahrscheinlicher zum Opfer – denn sie haben weniger Personal und kaum Budget für kostspielige Security-Lösungen.

