Kann IT-Security Sünde sein?

Fast täglich berichten Medien von Schreckensnachrichten im IT-Umfeld. Das ganze geht sogar so weit, das es zu diesem Thema eine brandneue Amazon Serie gibt: In „The Blackout“ bricht durch ein weltweites Phänomen die gesamte Stromversorgung zusammen. Die Geschichte basiert auf dem gleichnamigen Buch von Marc Elsberg welches auch in IT-Kreisen sehr bekannt ist.

Dies hat mich zu der Überlegung geführt, wie man durch einfache Maßnahmen seine IT-Sicherheit verbessern kann. Speziell bei den Themen welche stärker in den Bereich der Endanwender geht, bekomme ich bei meiner täglichen Arbeit immer wieder das Feedback, dass ich jetzt einer der sieben Totsünden begangen habe wenn ich zum Passwortwechsel auffordere. Aus diesem Grund möchte ich hier über meine persönlichen sieben IT-Security Totsünden aufklären. Denn… IT-Security darf keine Sünde sein!

1. Passwörter

Unangefochten auf Platz eins stehen schlechte oder mangelhafte Passwörter. Alles über den Umgang mit Passwörter erfährst du in dem Blogbeitrag Passwort: 12345 – Mit Sicherheit nicht sicher.

2. Updates bzw. Patchmanagement

Im ewigen Wettrennen zwischen Hacker und Programmierer werden auftretende Sicherheitslücken durch Patches und Updates geschlossen. Somit wird die Möglichkeit minimiert zum kompromittieren einer Software (wie Anwendungsprogramme oder Betriebssysteme). Daher ist es aus Sicht der IT-Security sehr wichtig in diesem Bereich immer auf einen aktuellen Stand zu sein.

3. Im Dschungel der Benutzerrechte

Im Bereich der Benutzerrechte bilden sich im Alltag eine IT-Admins nur all zu gerne Insellösungen und abweichende Zugriffsrechte auf Dateiserver oder Zugriffe auf die Infrastruktur. Sofern einer solcher Accounts kompromittiert wird, stehen dem Angreifer auch alle diese Ressourcen zur Verfügung. Daher sollte man die Zugriffe auf das nötige Maß reduzieren. Des weiteren sollten Benutzer-Accounts von administrativen Accounts getrennt und mit einem eigenen Sicherheitskonzept behandelt werden.

4. „Ich habe auf die Datei geklickt… jetzt ist mein Bildschirm schwarz“

Alle technischen Maßnahmen haben nur noch wenig Wert, wenn ausgerechnet ein Mitarbeiter auf das „süße Katzenvideo“ klickt welches gerade per E-Mail rein kam und damit Tür und Tor für jeden Angreifer öffnet. Die Rede ist von Sensibilisierung der Mitarbeiter (Awareness). Hier sollte in regelmäßigen Schulungen für die Mitarbeiter ein Bewusstsein für die Gefahren im Risiken im Cyberspace geschaffen werden.

5. Kein Backup, keine Gnade

Egal ob durch versehentliche Lösung, Hardware- bzw. Softwarevorfälle oder durch gezielte Angriffe. Ein Datenverlust wird einem früher oder später ereilen. Daher sollte man eine Datensicherung nach dem 3-2-1 Prinzip vorhalten. Dies steht für 3 Sicherungen an 2 verschiedenen Orten und 1 davon extern (sprich außerhalb des Unternehmens). Durch den Verlust von Daten kann ein erheblicher wirtschaftlicher Schaden entstehen. Daher ist ein Backup-Konzept ein essentieller Teil der IT-Security Strategie.

6. Mobiles – die Gefahr aus der Hosentaschen

Ungeschützte Smartphones, Laptops, Tablets oder IoT-Geräte (IoT = Internet of Things) bieten eine hervorragende Möglichkeit Schädlinge in ein Unternehmen einzuschleusen. Ein viel gesehener Klassiker ist das per USB-Kabel angesteckte Smartphones, um dieses zu Aufzuladen. Nur was wenigen bewusst ist, dass auch mit dem Host/PC eine Datenverbindung eingeht. Diese kann von Ransomware genutzt werden, um sich im Netzwerk des Unternehmens zu platzieren. Durch ein MDM (= Mobile Device Management) sowie einer USB-Gerätekontrolle kann diesem Szenario entgegengewirkt werden.

7. Im Sumpf der E-Mails

Einer der größten Einfallsvektoren für Schadsoftware ist und bleibt das Kommunikationsmittel der E-Mails. Von F wie Fake bis P wie Phishing bietet E-Mail die ganze bunte Bandbreite der Hacking-Welt. Hier kann man nur empfehlen ein Security-Produkt vor seinem E-Mail Server zu stellen und dem Unternehmen und der aktuellen Bedrohungslage angemessene Schutzeinstellungen zu treffen.