Hack me if you can: Die Top 5 Sicherheitssünden

Wir rollen die Augen, wenn wieder mal ein Großer Opfer einer Hacker-Attacke wurde. Und denken uns klammheimlich: Lernen die das denn nie? Dabei laufen wir alle Gefahr, das Schicksal der Geschädigten zu teilen. Hier die fünf gravierendsten Versäumnisse und Fallstricke beim Absichern der Unternehmens-IT.

Sicherheitsteams kämpfen seit Jahren mit immer komplexeren Angriffen aus dem Internet. Die schlechte Nachricht: Ein Ende ist nicht abzusehen. Im Gegenteil, die Kombination aus der zunehmenden Mobilität, Cloud Computing und dem allzu sorglosen Umgang mit Daten erhöht die Sicherheitsrisiken weiter.

Man muss kein Prophet sein, um zu prognostizieren, dass die meisten Organisationen im Jahr 2018 mit gravierenden Security-Verletzungen konfrontiert werden – unabhängig davon, ob von externen Cyber-Kriminellen oder den eigenen Mitarbeitern verursacht. Sind Sie darauf vorbereitet?

Die gute Nachricht: Auch wenn es keine Rundum-Lösung für das Risikomanagement in Unternehmen gibt – gravierende Sicherheitsfehler kann jede Organisation vermeiden. Werden etablierte Grundprinzipien bei den Sicherheitsmaßnahmen eingehalten, kann jedes Unternehmen mit gutem Gewissen seinem Business nachgehen.
Lesen Sie, was die fünf größten Security-Fehler sind – und wie sie sich verhindern lassen.

Fehler 1: Keine Sicherheitsrichtlinien und kaum Mitarbeiterschulung
In vielen Unternehmen fehlen schriftlich dokumentierte Sicherheitsrichtlinien, oder sie sind den Mitarbeitern nicht bekannt. Solche Security Policys definieren den Umgang mit sensiblen Daten, die Handhabung von Datensicherung und Datenbevorratung oder die Einrichtung und Nutzung von Spamfilter, Webfilter und Virenschutz. Sie legen auch den Umgang mit Mobilgeräten fest und was zu tun ist, wenn ein Smartphone oder Tablet abhandenkommt.

Mit Hilfe von Security Audits lässt sich regelmäßig überprüfen, ob diese Richtlinien eingehalten werden. Teil dieser Maßnahmen sollten auch Mitarbeiterschulungen sein. Dabei werden verbindliche Richtlinien vorgestellt und die Teilnehmer verpflichtet, diese auch einzuhalten. Unabhängig davon empfehlen sich regelmäßige Vorträge, Schulungen, Rundschreiben, Plakate oder anschauliche Beispiele, um das Sicherheitsbewusstsein der Mitarbeiter zu erhöhen.

Fehler 2: Ungeschützte kritische Daten und Endgeräte
In vielen Unternehmen sind Daten und Endgeräte wie Smartphones nicht oder nur unzureichend geschützt und damit für jedermann zugänglich. Es besteht die Gefahr, dass Unbefugte sensible Daten einsehen oder gar entwenden. Für Hacker sind ungeschützte Zugänge willkommene Einfallstore für Attacken.

Passwörter schützen vor unbefugtem Zugang, stehen auf der Hitliste der Sicherheitsdefizite allerdings ganz weit oben. Wenn es Mitarbeitern erlaubt ist, das gleiche Passwort dauerhaft zu verwenden, oder wenn jeder mit der gleichen Passwort-Kombination Zugang zu wichtigen Systemen erhält, ist Gefahr in Verzug. Hacker können solche Codes leicht knacken. Um das zu verhindern, muss ein Passwort bestimmten Qualitätsanforderungen genügen, wie zum Beispiel, dass es regelmäßig geändert wird.

Doch selbst solche Maßnahmen sind für manche sensiblen Bereiche zu wenig. Einen größeren Schutz bieten Zwei-Faktor-Authentifizierungssystem. Token- oder Einmal-Zugriffscodesysteme können für zusätzliche Sicherheit in Ihrem Netzwerk sorgen. Mobilgeräte sollten nach Möglichkeit komplett verschlüsselt werden, weil sie besonders einfach gestohlen werden können.

Fehler 3: Mangelhafte Systemhygiene und Wartung
Der Schutz der Daten und Endgeräte ist das eine, der Schutz der operativen IT-Systeme das andere. Hier gibt es eine ganze Reihe von Sicherheitsrisiken. Oft wird beispielsweise das Need-to-Know-Prinzip verletzt, nach dem jeder Nutzer nur auf die Datenbestände und Programme Zugriff haben sollte, die er für seine tägliche Arbeit braucht. In der Praxis jedoch haben Mitarbeiter Zugang zu vielen Daten und Programmen, die sie nicht benötigen.
Durch Fehler in der IT-Administration und Server-Konfiguration entstehen die meisten Sicherheitslücken. So erfordert die sichere Internet-Anbindung spezifisches Know-how, ohne das sich Konfigurationsfehler etwa bei der Einrichtung von Firewalls kaum vermeiden lassen.

Publik gewordene Sicherheitslücken sind ein Schlupfloch für Hacker, wenn Administratoren aus vorgeblichem Zeitmangel – oder da sie befürchten, die gewohnte Funktionalität zu verlieren – Updates und Sicherheits-Patches gar nicht oder viel zu spät einspielen. Dieses Versäumnis kommt einer Zeitbombe gleich. Hier sind Disziplin und festgelegte Routinen erforderlich und gerade bei Viren-Schutzprogrammen von enormer Relevanz.

Fehler 4: Keine Datensicherung und Backups
Gegen Verschlüsselungstrojaner wie WannaCry können Virenschutzprogramme allerdings nicht viel ausrichten. Die einzig wirksamen Maßnahmen sind hier Mitarbeiteraufklärung und Backups. Leider nehmen viele Unternehmen Datensicherung und Backups nicht Ernst und reagieren erst, wenn es zu spät ist. Dann kann der Schaden allerdings groß sein und im schlimmsten Fall den Totalverlust der Daten bedeuten.

Wie wichtig es ist, funktionierende Backup-Strategien etabliert zu haben und zu befolgen, haben die Ransomware-Angriffe in den vergangenen Monaten deutlich gezeigt: Je nach Gattung löschen die erpresserischen Trojaner nämlich auch die Sicherungskopien, die Windows automatisch erzeugt. Diese Art von Schädlingen verschlüsselt nicht nur alle im Benutzerzugriff befindlichen Dokumente, sondern löscht auch die Schattenkopien. Dann ist eine Wiederherstellung oft nur noch von einem Backup möglich.

Fehler 5: Ungesicherte Serverräume und Rechenzentren
Der physische Schutz von Servern und Rechenzentren wird bei all der Aufregung um Hacker- und Cyberangriffe gern übersehen. Nicht selten fallen IT-Systeme auch wegen gravierender Schäden aus, die durch Feuer, Wasser oder Strom verursacht werden. Für den Betrieb einer ausfallsicheren Unternehmens-IT sind daher Brandschutzmaßnahmen, Schutz vor Wasserschäden und die Sicherstellung der Stromversorgung wichtig.
Unterschätzt wird auch die Gefahr, dass sich Unbefugte Zugang zum Rechenzentrum oder zu den Serverräumen verschaffen. Immer wieder kommt es zu Einbrüchen in sensible Unternehmensbereiche, nicht selten in der Absicht, hochwertiges IT-Equipment zu rauben. Mitunter aber auch, um genau das vorzutäuschen – in Wahrheit jedoch, um Daten zu stehlen oder eine Man-in-the-Middle-Infrastruktur zu implementieren.

Schludereien beim Schutz des Rechenzentrums können aber auch ernste Gesetzesverstöße bedeuten: Viele IT-Leiter wissen nicht, dass beispielsweise das Bundesdatenschutzgesetz im Bereich der Zugangskontrollen klare Richtlinien vorgibt. Einfache Maßnahmen bringen hier bereits ein beträchtliches Plus an Sicherheit. Beispielsweise, indem sich die Verantwortlichen überlegen, wo sich Besucher und Betriebsfremde in der Regel aufhalten und auf welche IT-Systeme sie dabei zugreifen könnten.