Drei Fragen und Antworten: Auf welche Sicherheitsmythen viele Firmen reinfallen
Heute schon viel in die IT-Security investiert? Falls ja, dann ist das wahrscheinlich kontraproduktiv, wie Sicherheitsexperte Frank Ully deutlich macht.
(Bild: iX)
IT-Sicherheit ist von essenzieller Wichtigkeit – und trotzdem machen Verantwortliche ständig Fehler, weil sie auf alte Märchen und falsche Versprechungen hereinfallen. Dabei ist es nicht unbedingt schwierig, es besser zu machen. Security-Experte Frank Ully erklärt im Interview, worauf Administratoren achten müssen und was sie getrost ignorieren können.
Updates einspielen, Security-Software aktivieren und Richtlinien durchsetzen – warum genügt das nicht, damit sich Administratoren sicher fühlen können?
Patches und die anderen genannten Maßnahmen halten Angreifer nicht auf, wenn die Umgebung unsicher konfiguriert oder generell schlecht konzipiert ist. Die Gefahr von unsicheren Standardeinstellungen und selbst verursachten Fehlkonfigurationen sollten Admins nicht unterschätzen. Für Angreifer ist es oft einfacher, sich über eine unzureichende Konfiguration Zugang oder erweiterte Rechte zu verschaffen, als eine bestimmte patchbare Schwachstelle auszunutzen. Auch müssen alle Schutzmaßnahmen durchgängig implementiert werden.
Viel hilft oft viel – und gerade bei der Sicherheit sollten Unternehmen nicht sparen, meinen Security-Anbieter. Stimmt das?
Nein. Viele Entscheider glauben den Einflüsterungen der Sicherheitsindustrie, ihr neuestes Produkt mit künstlicher Intelligenz wäre absolut unschlagbar. Damit schaffen sie sich einen Zoo an teuren Tools mit bunten Management-gerechten Grafiken, den niemand mehr überblickt und die Werkzeuge arbeiten gar nicht zusammen. Tools müssen eingerichtet, gewartet und mit anderen Maßnahmen verbunden werden. Sinnvoller wäre es, weniger Software – etwa den ohnehin vorhandenen Malwarescanner – zielgerichtet einzusetzen. Und mehr in die Weiterbildung der vorhandenen Mitarbeiter und in zusätzliche Kollegen zu investieren.
Niemand kann alles perfekt machen. Aber ist das in kleinen Unternehmen überhaupt so dramatisch? Angreifer interessieren sich doch bestimmt eher für die großen Fische.
Verantwortliche und Admins neigen dazu, die Gefahr für das eigene Unternehmen zu verdrängen. Während sie auf Heise Security von den jüngst lahmgelegten Industrieunternehmen, Stadtverwaltungen oder Hochschulen lesen, denken sie: „Uns trifft es eh nicht. Wir sind nicht wichtig und interessant genug.“ Aber diese Angriffe können jeden treffen. Jede Organisation hat IT im Einsatz, sei es eine Website, eine Kundendatenbank oder einfach ein paar vernetzte Rechner, an denen Mitarbeiter E-Mails lesen. KMU werden oft Zufallsopfer von massenhaften Eindringversuchen über Phishing oder ungesicherte, aus dem Internet erreichbare Systeme. Sie fallen solchen Angriffen wahrscheinlicher zum Opfer – denn sie haben weniger Personal und kaum Budget für kostspielige Security-Lösungen.
Herr Ully, vielen Dank für die Antworten! Auf welche Sicherheitsmythen zu viele Unternehmen hereinfallen und wie Administratoren trotzdem die richtigen Security-Maßnahmen gezielt umsetzen, erfahren Leser in den Titelartikeln auf heise+ und in der neuen iX 6/2023.
In der Serie „Drei Fragen und Antworten“ will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vorm PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.
(fo)