Eine korrekte Verwaltung der IT-Systeme eines Unternehmens muss hunderte Variablen berücksichtigen, und es ist wichtig, für jede davon die richtigen Entscheidungen zu treffen.

Nachfolgend finden Sie eine Liste der häufigsten Fehler im Bereich IT-Sicherheit.

Sicherheitsrichtlinien und Vorschriften:

  • Anforderungen der regulatorischen Compliance ignorieren;
  • Davon ausgehen, dass Mitarbeitende und Manager Vorschriften, Policies und Memos lesen, nur weil man sie darum gebeten hat;
  • Schutzmodelle verwenden, ohne sie anzupassen;
  • Frameworks wie ISO 27001/27002 einführen, ohne für die erforderlichen Änderungen bereit zu sein;
  • Sicherheitsrichtlinien erstellen, die nicht durchsetzbar sind;
  • Richtlinien anwenden, die noch nicht genehmigt wurden;
  • Sicherheitsrichtlinien nur erstellen, um eine Check-Box unter den “Dingen, die das Unternehmen erledigen muss” abzuhaken;
  • Jemanden mit der Erstellung von Sicherheitsrichtlinien beauftragen, ohne dass diese Person das eigene Geschäft oder die Prozesse kennt;
  • In einer mehrsprachigen Umgebung kann es notwendig sein, Sicherheitsrichtlinien in verschiedene Sprachen zu übersetzen. Der Fehler kann in mangelnder Konsistenz zwischen den Übersetzungen liegen;
  • Sicherheitsrichtlinien für gut halten, nur weil sie im Vorjahr funktioniert haben;
  • Denken, dass eine definierte Sicherheitsrichtlinie bedeutet, tatsächlich sicher zu sein;
  • Denken, dass Richtlinien nicht für Führungskräfte gelten;
  • Sich vor Auditoren verstecken.
Sicherheitswerkzeuge:
  • Ein Sicherheitsprodukt verteilen, ohne es vorher einzurichten und zu testen;
  • Das IDS (Intrusion Detection System) zu selektiv oder zu wenig selektiv einstellen;
  • Sicherheitsprodukte kaufen, ohne Wartungs- und Implementierungskosten zu berücksichtigen;
  • Sicherheitsprodukte kaufen in der Annahme, dass sie keine Sicherheitsprobleme haben oder einführen;
  • Sich ausschließlich auf Antivirus und Firewall verlassen, ohne weitere Kontrollen durchzuführen;
  • Sicherheitsprodukte installieren, ohne sie zu konfigurieren;
  • Regelmäßige Schwachstellenscans durchführen, die Ergebnisse aber nicht berücksichtigen;
  • Sicherheitssoftware und -hardware im Automatikmodus arbeiten lassen;
  • Verschiedene Technologien nutzen, ohne deren Sicherheitsfolgen zu verstehen;
  • Ein teures Produkt kaufen, obwohl ein günstigeres das Problem gelöst hätte, nur weil es von "IBM" verkauft wird.
Risikomanagement:
  • Dieselbe Sicherheitsrichtlinie für alle IT-Ressourcen und alle Unternehmensbereiche verwenden, ohne die jeweiligen Risikoprofile zu berücksichtigen;
  • Einen Sicherheitsverantwortlichen einstellen, ohne ihm Entscheidungsbefugnis zu geben;
  • Denken, das eigene Unternehmen sei zu klein und unbedeutend, um es zu schützen;
  • Sich keine Sorgen machen, weil man kürzlich nicht kompromittiert wurde;
  • Paranoid sein, ohne den Wert des Assets oder seinen Expositionsfaktor zu berücksichtigen;
  • Alle Daten als top secret klassifizieren.
Sicherheitspraktiken:
  • Keine periodischen Kontrollen von Systemen, Appliances, Netzwerkgeräten, Anwendungen und Datenbanken durchführen;
  • Infrastrukturen so stark sperren, dass Arbeit schwierig oder unmöglich wird;
  • Auf jede Anfrage mit "nein" antworten;
  • Sicherheitsbedingungen auferlegen, ohne die notwendigen Werkzeuge und Schulungen bereitzustellen;
  • Sich auf Präventionsmechanismen konzentrieren und periodische Kontrollen ignorieren;
  • Keine DMZ (Demilitarized Zone) für aus dem Internet erreichbare Server haben;
  • Davon ausgehen, dass Ihr Patchmanager arbeitet, und ihn deshalb nicht kontrollieren;
  • Log-Dateien löschen, weil sie zu groß zum Lesen sind;
  • Glauben, SSL löse alle Sicherheitsprobleme von Webanwendungen;
  • USB-Laufwerke verbieten, ohne den Internetzugang zu beschränken;
  • Mit eigenen Entscheidungen Netzwerk-, System- und Entwicklungsteams übergehen;
  • Nicht über neue Technologien und Angriffsmethoden auf dem Laufenden bleiben;
  • Neue Technologien einführen, bevor sie ausgereift sind;
  • Jemanden einstellen, nur weil er sehr viele Zertifizierungen hat;
  • Andere Verantwortliche nicht über Sicherheitsprobleme informieren, die Ihre Maßnahmen verhindert haben;
  • IT-Team, Personal und Manager nicht zu IT-Sicherheitsfragen schulen.
Passwortmanagement:
  • Nutzer auffordern, Passwörter zu häufig zu ändern;
  • Erwarten, dass Nutzer sich Passwörter merken, ohne sie aufzuschreiben;
  • Unrealistische Passwort-Policies erzwingen;
  • Dasselbe Passwort auf verschiedenen Systemen verwenden;
  • Passwortanforderungen durchsetzen, ohne zu berücksichtigen, wie leicht ein Passwort zurückgesetzt werden kann.
Möchten Sie Ihre Risikoexposition kennen?

EasyAudit WEB ist die ideale Einstiegslösung zur Prüfung von Websites, Portalen, Webanwendungen und geschützten Bereichen.

EasyAudit NET ermöglicht Ihnen, die Sicherheit Ihres im Internet exponierten Netzwerks zu prüfen.

Möchten Sie wissen, wie exponiert Ihre Website ist?

EasyAudit WEB prüft Websites, Portale und E-Commerce mit einem professionellen externen Audit für KMU.

EasyAudit WEB entdecken