5 Mythen der IT-Sicherheit

In der Welt der Information Security gibt es Mythen, die Führungskräfte, Business Manager und manchmal auch Fachleute selbst beeinflussen und Missverständnisse sowie Übertreibungen über Bedrohungen für IT-Systeme und die Technologien zu ihrer Bekämpfung verursachen. Viele dieser Mythen existieren, weil Menschen in ungewohnten Situationen dazu neigen, übermäßig und emotional zu reagieren, statt objektiv zu analysieren. Das Ergebnis ist, das Problem zu überschätzen und sich auf die erste angebotene Lösung zu verlassen oder, schlimmer, Risiken zu unterschätzen, um zusätzliche Ausgaben zu vermeiden.

Mythos #1 – Mir wird das nicht passieren

Zu glauben, dass das eigene Unternehmen nie von IT-Sicherheitsproblemen betroffen sein wird. Oft wird diese Aussage von jemandem getroffen, der nicht ausgeben (oder besser: investieren) möchte und hofft, dass das Risiko nicht eintritt. Wenn ein Problem erkannt oder auch nur vermutet wird, sollte es dagegen eine Phase der Risikoanalyse geben und, falls angemessen, sollten die notwendigen Ressourcen investiert werden, um es zu mindern oder vollständig zu lösen.

Manchmal geschieht das Gegenteil: Die Auswirkungen von Schwachstellen werden übertrieben bewertet. Am besten ist es, ein Metrik-Framework zu nutzen, um dem Risiko von Schwachstellen einen objektiven Wert zu geben.

Mythos #2 – Alle Risiken können quantifiziert werden

In Unternehmen gibt es die falsche Vorstellung, dass alles mit einer Zahl verbunden werden kann. Es besteht die Illusion, dass Security Manager das benötigte Budget nur erhalten können, wenn es durch eine Excel-Tabelle gerechtfertigt ist. Stattdessen muss man der Führungsebene helfen zu verstehen, was quantifiziert werden kann und was nicht, und das notwendige Budget erhalten, um eine robuste Architektur von Basis-Sicherheitskontrollen zu implementieren.

Mythos #3 – Wir haben physische Sicherheit oder SSL, also sind die Daten sicher

Einfacher gesagt: Wir haben Antivirus und Firewall, wir sind sicher! Das stimmt nicht. Häufig wird diese Vorstellung von externen Lieferanten vermittelt, die ihre Produkte verkaufen wollen und alles auf deren Besonderheiten setzen. Bitte, hören Sie auf, Produkte und Appliances zu kaufen: Sie werden Sie nicht magisch sicher machen. Und selbst wenn das Produkt "gut" ist, wollen wir doch sicherstellen, dass es korrekt konfiguriert ist und sein Potenzial vollständig nutzt?

Tatsächlich muss Sicherheit als Architektur entwickelt werden, ausgehend von der Risikobewertung und unter Berücksichtigung dessen, was geschützt wird, um die richtigen Kontrollen umzusetzen. Dadurch lässt man sich nicht von Elementen ablenken, die für die Sicherheit nicht wesentlich sind.

Mythos #4 – Komplexe Passwörter mit Ablaufdatum reduzieren Risiken

Das stimmt nicht. Passwörter sind nicht wirksam genug, und das gesamte Schema hat große Lücken. Es ist nur ein historisch überholter Präzedenzfall, an den sich Unternehmen klammern.

Passwörter reichen nicht aus, da Cracking nicht der einzige Weg ist, diese Hürde zu überwinden: Es gibt auch Sniffing und die Wiederverwendung von Zugangsdaten zwischen Systemen mit unterschiedlichem Sicherheitsniveau. Eine gültige Alternative zu Passwörtern zu finden ist schwierig, und Zwei- oder Mehrfaktor-Authentifizierung lässt sich nicht immer leicht implementieren. In der Zwischenzeit können Unternehmen Mitarbeitenden empfehlen, keine persönlichen Passwörter bei der Arbeit zu verwenden und regelmäßige Kontrollen der Passwortstärke durchzuführen.

Mythos #5 – Der Kauf eines IT-Sicherheitsgeräts löst alle Probleme

Man hat uns gerade von einem neuen Produkt erzählt: Es löst 95% der Probleme, ist leicht zu installieren und kostet so viel wie einer der vielen Server im Unternehmen. Schön wär's. Wie gesagt: Hören wir auf, Software und "Eisen" zu kaufen, in der Hoffnung, dass sie unsere Probleme magisch lösen. Ohne ernsthafte Analyse und Auditing-Arbeit der realen Kritikalitäten, denen unser Geschäft ausgesetzt ist, geben wir unnötig Geld aus und erhöhen die Komplexität unserer Infrastruktur. Dieser Mythos stellt ein verbreitetes und falsches Verständnis des Problems "Sicherheit" insgesamt dar.

Sich auf Mythen zu verlassen ist falsch. Deshalb gibt es EasyAudit, ein professionelles und wirtschaftliches Werkzeug, um eine zweite Meinung zur IT-Sicherheit Ihres Unternehmens zu erhalten!