Wegen diesen 5 Gründen wird IT-Sicherheit häufig vernachlässigt

Es gibt viele Gründe warum IT-Sicherheit in Unternehmen und auch privat vernachlässigt werden. Oft glauben Verantwortliche, dass sehr viel Geld investiert und man Experte auf dem Gebiet sein muss um sein Netzwerk gegen Angreifer abzusichern. Dem ist aber nicht so häufig senken schon kleine Maßnahmen das Risiko eines Angriffes. Die folgenden Fehleinschätzungen und Aussagen zeigen auf, mit welcher Begründung IT-Sicherheit in Unternehmen und Zuhause vernachlässigt wird.

Es sollte einem klar sein, dass IT-Sicherheit ein ständiger Prozess ist und kein einmaliger Zustand. Eine einmalige teure Anschaffung z.B. kann nicht verhindern, dass Mitarbeiter nicht über die Gefahren von Email Anhängen aufgeklärt sind. Ein Umdenken im Umgang mit der IT-Sicherheit, Menschenverstand, organisatorische Regelungen und informierte Systemnutzer machen das eigene Netzwerk schon wesentlich sicherer ohne viel Geld für Technik auszugeben.

Unterhält man sich mit Benutzern die etwas weniger von IT-Sicherheit begeistert sind, hört man eventuell Argumente die etwas fragwürdig erscheinen. Auch Geschäftsführer und Anwender vertreten oft diese Ansichten.

„Bei uns ist noch nie etwas schlimmes passiert“

Vielleicht hat bisher nur noch nie jemand etwas bemerkt. Wenn bisher noch nichts passiert ist bedeutet das nicht, dass in Zukunft nichts passieren könnte. Die Zukunft könnte mit dem nächsten infizierten Email Anhang beginnen. Der Angreifer hat leichtes Spiel bei einer nicht vorhandenen IT-Sicherheit. Es braucht nur einen erfolgreichen Angriff und das gesamte zu schützende Gut wie z.B. Benutzerdatenbanken oder geistiges Eigentum sind gefährdet. Abhängig von der Schwachstelle, könnte das auch der letzte Angriff gewesen sein, denn der Ruf der Firma könnte dauerhaft geschädigt sein oder es werden sehr hohe finanzielle Verluste durch Produktionsausfällen verursacht.

„Ich habe keine Geheimnisse bei mir gibt es nichts zu verbergen“

Es kommt häufig vor, dass jemand genervt von der gesamten Debatte um IT-Sicherheit auf diese Weise argumentiert. Wer so argumentiert, verzichtet auf die eigene Privatsphäre und man könnte zugleich die Person auffordern PIN und Kontonummer zu veröffentlichen. Denn es gibt genügend persönliche Daten die für einen vielfältigen Missbrauch genutzt werden könnten. Mit den Kreditkartendaten könnte z.B. eingekauft werden und die Identität gestohlen werden. Fallen private Daten in die falschen Hände kann das ernste folgen haben, das sollte man nicht unterschätzen.

„Unser Netz ist sicher“

Setzt der Geschäftsführer auf dieses Argument, könnte sich das Unternehmen auf veraltete Sicherheitsmaßnahmen verlassen oder man unterschätzt die Fähigkeiten der Potentiellen Angreifer. Oft möchte man nicht weiter in die IT-Sicherheitsinfrastruktur investieren und glaubt das man mit einmaliger investition ein für alle mal ausgesorgt hat.

Wie zuvor erwähnt ist IT-Sicherheit ein ständiger Prozess. Angreifer schlafen nicht und versuchen es in Zukunft mit neuen Methoden und Angriffen. Selbst erfahrene Sicherheitsspezialisten können nicht alles wissen und machen gelegentlich Fehler. Eine veraltete Software reicht dann aus um ein mögliches Ziel der Angreifer zu werden. Angriffe entwickeln sich stetig weiter und werden komplexer, wer glaubt alles zu wissen oder auf veraltete Standards zu setzen könnte einen Fehler begehen.

„Unsere Mitarbeiter sind vertrauenswürdig“

Es kommt vor das Mitarbeiter verärgert das Unternehmen verlassen. Vielleicht möchte der Mitarbeiter dann doch noch einige zu schützende Daten mitnehmen oder Vergeltung durch einen Cyber-Angriff auf das ehemalige Unternehmen ausüben. Gibt es keine Benutzer und Passwort Richtlinien für ausgetretene Mitarbeiter hat der Angriff höchstwahrscheinlich Erfolg.

„Zu teuer“

Bei diesem Argument muss jeder für sich abschätzen was teurer ist, denn durch Reputationsverlust und Personenschaden können höhere Kosten entstehen als diese für die IT-Sicherheitsmaßnahmen. Die höhe des Risikos kann von der Eintrittswahrscheinlichkeit und der Schadenshöhe eines Angriffes abhängig sein. Es könnte also sein, dass man viel mehr riskiert, wenn man es mit Kompetenzmangel und totaler Vernetzung der eigenen Systeme zu tun hat.

Welche Maßnahmen werden konkret vernachlässigt ?

Backup System 

Bei einem Brand oder Befall der Rechner durch Erpresserviren ( Ransomware) könnten wichtige Unternehmensdaten vernichtet werden. Hat man zuvor eine Datensicherung gemacht, könnte das den Fortbestand des Unternehmens sichern. Aber auch privat ist es zu empfehlen Datensicherungen durchzuführen und keine der oben genannten Ausreden dafür zu nutzen dies nicht zu tun.

Es ist auch wichtig, dass man eine Backup Strategie verfolgt und regelmäßige Überprüfungen der Backups durchführt. Außerdem sollte man die Sicherungen nicht am selben Ort lagern, denn bei einem Brand nützen sind dann auch die Sicherungen verloren.

Sicherungssysteme für Rechnernetze

Sicherungssysteme wie Firewalls oder Spamfilter zu vernachlässigen, könnten Hackerangriffe aus dem Internet begünstigen. Internet Zugänge und  Intranet sollten gesichert werden, denn sonst könnten eindringlinge Daten aus dem Internen Netzwerk stehlen. Es könnte dazu auch sinnvoll sein vertrauliche Daten zu verschlüsseln.

Ersatz für den IT-Administrator

Fällt der IT-Administrator durch einen Unfall aus, könnten Informationen über Passwörter und Zugänge verloren gehen, hat man es versäumt oder vernachlässigt das Netzwerk und die Systemeinstellungen vorher ausführlich zu dokumentieren.

Die Passwörter sollten sicher gelagert werden, sodass im Notfall der Administrator Ersatz Zugriff auf die Passwörter hat. Außerdem sollte man nicht vergessen eine Vertretungsregel für den Administrator einzurichten.

Antivirenprogramme

Werden Updates für Virenschutzprogramme vernachlässigt, sodass keine Viren-Signaturen aktualisiert werden, können sich Viren im internen Netzwerk auf Rechnern ausbreiten und Schaden anrichten. Es sollte darauf geachtet werden, dass Viren-Signaturen automatisch aktualisiert werden und ein Update-Konzept für Betriebssystem Sicherheitsupdates existiert, somit kann eine Ausbreitung von Schadsoftware verhindert werden. Zudem sollte, wenn möglich, nicht alle Geräte im selben Netzwerk verwendet werden, sodass eine ungehinderte ausbreitung eines Virus auf alle Geräte vermieden werden kann.

Zutrittssicherungen

Werden Zutritte zum Serverraum oder Rechnern mit Betriebsgeheimnissen nicht gesichert, läuft man Gefahr bei Racheakten oder Industriespionage Daten zu verlieren. Die Serverräume sollten vor unbefugten Zutritt gesichert werden und kritische Daten verschlüsselt werden.

Wo gibt es mehr Informationen ?

Auf der Webseite des Bundesamt für Sicherheit in der Informationstechnik gibt es ausführliche Informationen und Empfehlungen für die IT-Sicherheit im Unternehmen und Zuhause.