{"id":50575,"date":"2024-01-24T18:20:52","date_gmt":"2024-01-24T17:20:52","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=50575"},"modified":"2024-06-03T11:42:01","modified_gmt":"2024-06-03T09:42:01","slug":"fuenf-gefaehrliche-mythen-zur-it-sicherheit","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/fuenf-gefaehrliche-mythen-zur-it-sicherheit\/","title":{"rendered":"F\u00fcnf gef\u00e4hrliche Mythen zur IT-Sicherheit"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/fuenf-gefaehrliche-mythen-zur-it-sicherheit\/#Mythos_1_Unser_Unternehmen_ist_zu_klein_und_unbedeutend\" >Mythos 1: Unser Unternehmen ist zu klein und unbedeutend<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/fuenf-gefaehrliche-mythen-zur-it-sicherheit\/#Mythos_2_Wir_haben_keine_wertvollen_Daten\" >Mythos 2: Wir haben keine wertvollen Daten<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/fuenf-gefaehrliche-mythen-zur-it-sicherheit\/#Mythos_3_Unsere_Compliance_macht_uns_sicher\" >Mythos 3: Unsere Compliance macht uns sicher<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/fuenf-gefaehrliche-mythen-zur-it-sicherheit\/#Mythos_4_Cloud_und_regelmaessige_Patches_bieten_ausreichend_Datensicherheit\" >Mythos 4: Cloud und regelm\u00e4\u00dfige Patches bieten ausreichend Datensicherheit<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/fuenf-gefaehrliche-mythen-zur-it-sicherheit\/#Mythos_5_Alle_Angriffe_kommen_von_aussen\" >Mythos 5: Alle Angriffe kommen von au\u00dfen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/fuenf-gefaehrliche-mythen-zur-it-sicherheit\/#Fazit_Lieber_Fakten_statt_Mythen\" >Fazit: Lieber Fakten statt Mythen<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\"wp-block-paragraph\">Es gibt \u2013 nicht nur in der IT \u2013 einige Glaubenss\u00e4tze, Halbwahrheiten und Mythen, die sich erstaunlich lange halten. Betreffen sie die Sicherheit eines Unternehmens, wird es gef\u00e4hrlich. Denn gerade im Bereich Cybersecurity sollte man sich lieber auf Evidenz verlassen als auf Meinungen und veralteten Weisheiten. Ansonsten kann ein tr\u00fcgerisches Gef\u00fchl der Sicherheit schnell zu einem b\u00f6sen Erwachen f\u00fchren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wir haben an dieser Stelle einige Mythen zusammengestellt, die uns w\u00e4hrend unserer Arbeit als einem der f\u00fchrenden Cybersecurity-Anbieter Deutschlands immer wieder begegnen. Die Liste reicht von falschen Annahmen \u00fcber die potenziellen Ziele von Hackern bis hin zur \u00dcbersch\u00e4tzung der eigenen Unverwundbarkeit. Schlie\u00dflich investiert nahezu jedes Unternehmen einiges in die Gefahrenabwehr. Ob dadurch aber tats\u00e4chlich alle Risiken gebannt sind, steht auf einem ganz anderen Blatt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mythos_1_Unser_Unternehmen_ist_zu_klein_und_unbedeutend\"><\/span>Mythos 1: Unser Unternehmen ist zu klein und unbedeutend<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Es gibt immer noch einige Firmen, die glauben, aufgrund ihrer Branche, ihrer Gr\u00f6\u00dfe oder ihres konventionellen Gesch\u00e4ftsmodells erst gar nicht in den Fokus von Hackern zu geraten. Dieser Eindruck mag durch die Berichterstattung in den Medien verst\u00e4rkt werden, in der es haupts\u00e4chlich um Gro\u00dfkonzerne geht. Tats\u00e4chlich ist aber genau das Gegenteil der Fall: Nahezu alle Studien gehen davon aus, dass kleine und mittlere Unternehmen (KMUs) deutlich h\u00e4ufiger betroffen sind. Zum gleichen Ergebnis kommt auch der aktuelle <a  href=\"https:\/\/www.bsi.bund.de\/DE\/Service-Navi\/Publikationen\/Lagebericht\/lagebericht_node.html\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Lagebericht<\/a> des Bundesamtes f\u00fcr Sicherheit in der Informationstechnologie (BSI). Das BSI zeichnet dabei ein d\u00fcsteres Bild: \u201eViele Unternehmen besitzen auch im Jahr 2023 weder eine ausreichende Kenntnis \u00fcber die allgemeine Cyberbedrohungslage noch \u00fcber das eigene Risikoprofil.\u201c<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Folge dieser Fehleinsch\u00e4tzung sind, dass laut BSI nur 62 Prozent der Kleinstunternehmen regelm\u00e4\u00dfig Sicherheitsupdates fahren. Lediglich 46 Prozent \u00fcberlassen ihre IT-Sicherheit einem externen Dienstleister, und einen Notfallplan besitzen sogar nur 18 Prozent. Au\u00dferdem verf\u00fcgen sie selbst h\u00e4ufig nicht \u00fcber ausreichend Ressourcen und Personal. Eine solche Situation ist ideal f\u00fcr Hacker. Viele Unternehmen werden oft Zufallsopfer, etwa durch massenhafte Phishing-Mails oder nicht ausreichend gesicherte Systeme, die \u00fcber das Internet erreichbar sind.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mythos_2_Wir_haben_keine_wertvollen_Daten\"><\/span>Mythos 2: Wir haben keine wertvollen Daten<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Es mag sein, dass dies auf den ersten Blick zutrifft, auf den zweiten Blick aber kaum. Denn nahezu alle Gesch\u00e4ftsprozesse sind heute digital. Dementsprechend sind es auch alle damit verbunden Daten. Hacker k\u00f6nnten beispielsweise sensible Daten nicht nur stehlen, sondern auch l\u00f6schen oder besch\u00e4digen. Hierzu geh\u00f6ren etwa Kundeninformationen, Finanztransaktionen, Mitarbeiterdaten und geistiges Eigentum. Der Verlust solcher Daten kann gravierende Auswirkungen haben \u2013 f\u00fcr jedes Unternehmen. Gerade bei Ransomware-Attacken kann es zu einem Gro\u00dfschadensfall kommen. Einerseits stehen hohe L\u00f6segeldforderungen im Raum, andererseits kann ein solcher Angriff die komplette Gesch\u00e4ftst\u00e4tigkeit blockieren. Es gibt wohl nur wenige Firmen, die einen Stillstand ihres Gesch\u00e4ftsbetriebs \u00fcber einen l\u00e4ngeren Zeitraum verkraften w\u00fcrden. Insolvenzen aufgrund von Cyberattacken sind daher nicht ungew\u00f6hnlich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Doch selbst wenn es nicht so weit kommt, kann der Schaden gro\u00df sein. So w\u00e4re es etwa sehr sch\u00e4dlich, wenn auf dem Schwarzmarkt ein Handel mit sensiblen Zahlungsdaten, Personalakten oder Gesch\u00e4ftskontakten stattfinden w\u00fcrde. Der Reputationsschaden w\u00e4re zudem enorm und k\u00f6nnte das Vertrauen von Kunden, Partnern oder Investoren untergraben. Dar\u00fcber hinaus kann sich der finanzielle Schaden beispielsweise durch den Verlust von Passw\u00f6rtern von anderen Diensten zus\u00e4tzlich vergr\u00f6\u00dfern.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mythos_3_Unsere_Compliance_macht_uns_sicher\"><\/span>Mythos 3: Unsere Compliance macht uns sicher<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">In Unternehmen werden viele Sicherheitsl\u00f6sungen eingesetzt und die Compliance, also die Einhaltung von gesetzlichen Vorschriften und Branchenstandards, ist nahezu \u00fcberall ein wichtiger Bestandteil der Sicherheitsstrategie. Allerdings kann auch hier das Gef\u00fchl der Sicherheit tr\u00fcgerisch sein. Denn viele Compliance-Richtlinien setzen lediglich Mindeststandards f\u00fcr die IT Security fest. Sie gew\u00e4hrleisten also einen grundlegengenden Schutz, k\u00f6nnen aber mit den schnell wechselnden Cyberbedrohungen nicht Schritt halten. Zudem decken Compliance-Regelungen nicht unbedingt alle Sicherheitsaspekte ab. Es kann daher vorkommen, dass einige Bereiche von den Vorschriften nicht erfasst werden. Auch eine schlecht umgesetzte Compliance kann zu einem falschen Sicherheitsgef\u00fchl f\u00fchren. Hier gilt es immer wieder, die eigene Strategie zu hinterfragen, anstatt sich ausschlie\u00dflich auf die Einhaltung der Compliance zu fokussieren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mythos_4_Cloud_und_regelmaessige_Patches_bieten_ausreichend_Datensicherheit\"><\/span>Mythos 4: Cloud und regelm\u00e4\u00dfige Patches bieten ausreichend Datensicherheit<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das Regelm\u00e4\u00dfige Einspielen von Patches f\u00fcr die im Unternehmen eingesetzte Software sollte selbstverst\u00e4ndlich sein. Doch oft vergehen Tage oder sogar Wochen, bis ein offizieller Patch erscheint. Angreifer warten heute allerdings nicht mehr so lange, im Gegenteil. So hat sich die durchschnittliche Zeitspanne vom Bekanntwerden einer Sicherheitsl\u00fccke bis zu deren Ausnutzung in den letzten Jahren dramatisch verringert. Oft vergehen nur wenige Tage oder sogar nur ein einziger Tag, bis eine L\u00fccke ausgenutzt wird. Dementsprechend schnell sollte die eigene IT handeln und keineswegs die Behebung der Sicherheitsl\u00fccken verschieben, um etwa l\u00e4stige Ausfallzeiten zu vermeiden. Schwieriger wird es bei Zero-Day-Schwachstellen, die dem Entwickler selbst noch nicht bekannt sind oder f\u00fcr die es noch keine Patches gibt. Auch hier kann man sich zumindest stetig informieren und sollte ebenfalls nicht darauf warten, bis der Hersteller einen \u201eperfekten\u201c Patch ausliefert. Unter Umst\u00e4nden muss man hier zu einem Workaround greifen. Das ist immer noch besser, als gar nicht zu handeln.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Problem der Software-Patches besteht f\u00fcr Cloudservices zwar nicht, dennoch bedeutet das nicht, dass man hier per se auf der sicheren Seite ist. Ein Blick in Online-Datenbanken wie die <a  href=\"https:\/\/www.cloudvulndb.org\/\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Open Cloud Vulnerability &amp; Security Issue Database<\/a> zeigt, dass es hier sehr wohl Sicherheitsl\u00fccken gibt. Abgesehen davon kommt es immer auf die Konfiguration an. Sofern diese unzureichend ist oder etwa Standardeinstellungen nicht angepasst wurden, kann es hier zu kritischen Sicherheitsl\u00fccken kommen. Last but not least gilt die alte Wahrheit: Auch bei einer Lagerung in der Cloud ist f\u00fcr die Sicherheit und Sicherung von Daten nach wie vor jedes Unternehmen selbst zust\u00e4ndig \u2013 und niemand anderes sonst.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mythos_5_Alle_Angriffe_kommen_von_aussen\"><\/span>Mythos 5: Alle Angriffe kommen von au\u00dfen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Bei Systemen, die nur intern oder via VPN erreichbar sind, gehen viele davon aus, dass alle Zugriffe automatisch vertrauensw\u00fcrdig sind. Das ist eine gef\u00e4hrliche Fehlannahme. Das interne Netzwerk ist n\u00e4mlich l\u00e4ngst nicht so vertrauensw\u00fcrdig wie man meint. M\u00f6glicherweise ist ein Insider bereits drin und verf\u00fcgt etwa durch einen kompromittierten Rechner \u00fcber einen Zugang. Fehlt dann noch eine Netzsegmentierung, h\u00e4tte dieser Angreifer Zugriff auf das gesamte Unternehmensnetzwerk. Er k\u00f6nnte dann beispielsweise alle internen Dienste auf Schwachstellen scannen und etwa \u00fcber eine ungepatchte Active-Directory-L\u00fccke Zugriff auf alle wichtigen Daten erhalten. Um dies zu verhindern, m\u00fcssen Unternehmen ihre internen Dienste daher ebenso sch\u00fctzen und permanent aktualisieren wie extern erreichbare. Ans\u00e4tze wie Zero Trust k\u00f6nnen dabei das Bewusstsein sch\u00e4rfen, dass nicht alles, was innerhalb des eigenen Netzwerks geschieht, automatisch vertrauensw\u00fcrdig ist. In diesem Sinne sollte die \u00dcberwachung und Filterung des Datenverkehrs auch die ausgehenden Verbindungen umfassen. Nur so l\u00e4sst sich beispielsweise die Kommunikation einer Schadsoftware mit einem Kontrollserver im Internet aufsp\u00fcren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fazit_Lieber_Fakten_statt_Mythen\"><\/span>Fazit: Lieber Fakten statt Mythen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Liste der Mythen zur IT-Sicherheit ist lang \u2013 wir k\u00f6nnen an dieser Stelle nur einen kleinen Ausschnitt zeigen. Man sieht, dass sich bestimmte Annahmen hartn\u00e4ckig halten, obwohl sie durch die Praxis l\u00e4ngst widerlegt sind. Das macht es Angreifern in vielen F\u00e4llen leicht \u2013 zu leicht. Dagegen hilft, sich ein paar Fakten bewusst zu machen. Der wichtigste ist sicherlich, dass jedes Unternehmen Opfer eines Angriffs sein k\u00f6nnte, wirklich jedes. Angriffsversuche finden \u00fcberall statt \u2013 und zwar t\u00e4glich. Es ist daher gut, dass sich Firmen sch\u00fctzen und in den meisten F\u00e4llen auch in ihre IT Security investieren. Denn selbstverst\u00e4ndlich sind Unternehmen den Bedrohungen nicht hilflos ausgeliefert, sondern k\u00f6nnen zumindest die Risiken minimieren. Absolut sicher zu sein, ist jedoch ein weiterer Mythos, der unter Umst\u00e4nden zum exakten Gegenteil f\u00fchrt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es gibt \u2013 nicht nur in der IT \u2013 einige Glaubenss\u00e4tze, Halbwahrheiten und Mythen, die sich erstaunlich lange halten. Betreffen sie die Sicherheit eines Unternehmens, wird es gef\u00e4hrlich.<\/p>\n","protected":false},"author":2,"featured_media":50573,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[302,66],"tags":[9],"dpc_coauthors":[],"class_list":["post-50575","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-sicherheitsbedrohungen","category-techtalk","tag-it-security"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/50575","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=50575"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/50575\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/50573"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=50575"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=50575"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=50575"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=50575"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}