11. März 2018 Roger Grimes

5 Security-Facts, die Sie überraschen werden

Schluss mit Mythen und Annahmen. Wir sagen Ihnen in Sachen IT-Security Bescheid. [...]

Diese fünf Fakten zur IT-Sicherheit könnten auch bei Ihnen für Erstaunen sorgen. (c) pixabay
Diese fünf Fakten zur IT-Sicherheit könnten auch bei Ihnen für Erstaunen sorgen. (c) pixabay

Um kriminellen Hackern und ihren perfiden Machenschaften einen Schritt voraus sein zu können, müssen Unternehmen verstehen, wie die Cyberverbrecher arbeiten. In den folgenden fünf Statements stecken die Gründe für die allermeisten IT-Sicherheitsrisiken und Exploits. Es sind Fakten, die Sie überraschen könnten.

1. JEDES UNTERNEHMEN WIRD GEHACKT

Wenn die Welt vom neuesten Mega-Hack erfährt, gehen viele Menschen wahrscheinlich davon aus, dass das betroffene Unternehmen seine IT-Sicherheit nicht im Griff hat. Stattdessen sollten sie sich bei der nächsten Cyberattacke, bei der Millionen von Datensätzen oder Dollars abfließen, klar machen: Jedes Unternehmen wurde bereits oder wird in der Zukunft gehackt. Dieses eine ist nur das, über das die Medien im Moment berichten. Wenn die Hacker also nicht schon längst im Netzwerk sitzen, könnten sie es schon bald tun. Von militärischen Hochsicherheits-Einrichtungen eventuell einmal abgesehen. Wir sprechen hier insbesondere von kleinen und mittelständischen Unternehmen.

Ich habe noch kein Unternehmen beraten (und es waren schon einige), bei dem ich nicht Spuren eines kriminellen Hackers entdeckt habe. In den meisten Fällen – insbesondere in den letzten zehn Jahren – kommt immer öfter heraus, dass sich ganze Hackergruppen über Jahre unbemerkt Zugang verschafft haben. Mein persönlicher Rekord: Acht verschiedene Black-Hat-Hackergruppen hatten sich in ein Unternehmen geschlichen – einige davon über einen Zeitraum von zehn Jahren.

Dieser spezielle Fall war dabei ganz besonders interessant, denn ich wurde von der Firma ursprünglich engagiert, weil ein Software Patch, das explizit nicht aufgespielt werden sollte, sich immer wieder automatisch installierte. Die Ursache des Problems war scheinbar, dass es den Cyberkriminellen langsam zu blöd wurde, darauf zu warten, dass das Unternehmen seine IT-Sicherheit auf ein ordentliches Niveau bringt – schließlich drangen auch immer weitere Hacker ein. Wenn kriminelle Hacker ein schärferes Bewusstsein für IT Security haben als Sie, ist es an der Zeit, sich Gedanken zu machen.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Als Penetration-Tester in Teilzeit werde ich auch oft damit beauftragt, mich in Unternehmen zu hacken. Das hat niemals länger als eine Stunde gedauert – außer in einem Fall: dort dauerte es drei Stunden. Aber nur weil die Firma mich bereits zuvor engagiert hatte und meinen Empfehlungen von damals gefolgt war. Dabei bin ich nur ein durchschnittlicher Penetration-Tester – es gibt Experten, die um ein Vielfaches schneller sind. Von den Zero-Day-Exploits, die sich in den Schubladen staatlich beauftragter Hacker stapeln, möchte ich gar nicht erst anfangen.

Die Computer dieser Welt sind ziemlich bescheiden abgesichert. Man braucht gar keinen Zero-Day-Exploit, um die meisten davon zu kompromittieren. Meistens reicht es bereits, sich einfach nur ein wenig umzusehen und nach einer geeigneten Schwachstelle Ausschau zu halten. Die meisten Unternehmen machen nicht ansatzweise genug, um Ihre Netzwerke zu schützen. Alle reden zwar ausschweifend über das Thema, aber wenn es dann ganz konkret darum geht, kriminelle Hacker abzuhalten (zum Beispiel mit gewissenhaftem Patch-Management), sind die meisten nicht willens zu tun, was getan werden muss. Noch nicht.

2. FIRMEN WISSEN NICHT, WIE SIE GEHACKT WERDEN

In den letzten fünf Jahren wurde mir erst so richtig bewusst, dass ich noch nie einen IT-Security-Fachmann getroffen habe, der mir aus dem Stegreif sagen konnte, was der gängigste Angriffsvektor für sein Unternehmen ist. Ok, zwanzig Prozent der Mitarbeiter erraten in der Regel die richtige Antwort, aber es gibt keinerlei Daten, die diese Behauptungen untermauern könnten. Das bringt mich zu folgender Frage: Wie will ein Unternehmen überhaupt effektiv gegen Hackerangriffe vorgehen, wenn über den häufigsten Angriffsvektor keine Einigkeit oder Ahnung besteht?

Die größte Security-Bedrohung für das Unternehmen anhand von Daten zu identifizieren ist nicht möglich. Nach Millionen von Dollars und Trillionen von Sicherheitsvorfällen, die in schicken Log-Management-Systemen zusammengetragen werden, könnte man meinen, dass das die einfachste Lösung wäre. Ist es aber nicht. Und dürfte es auch nie werden. Insbesondere, wenn man gar nicht erst danach fragt.


Mehr Artikel

News

Game Development Studie 2024: Knowhow aus Österreich ist weltweit gefragt

6. November 2024

Nie zuvor hat eine so große Zahl heimischer Entwickler zum Erfolg internationaler Top-Games aber auch zur digitalen Transformation der österreichischen Wirtschaft beigetragen. Die heimischen Game Developer generieren einen gesamtwirtschaftlichen Umsatz von 188,7 Millionen Euro. Jeder Arbeitsplatz in einem Unternehmen der Spieleentwicklung sichert mehr als einen weiteren Arbeitsplatz in Österreich ab. […]

News

Kunden vertrauen Unternehmen immer weniger

6. November 2024

Das Vertrauen von Verbraucher:innen in Unternehmen hat den niedrigsten Stand der letzten Jahre erreicht. Fast drei Viertel (72 Prozent) der Verbraucher:innen weltweit vertrauen Unternehmen weniger als noch vor einem Jahr. Als wichtigsten Grund geben 65 Prozent der Befragten in einer Umfrage von Salesforce an, dass Unternehmen leichtfertig mit den Daten ihrer Kund:innen umgehen. […]

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

5. November 2024 Christof Baumgartner

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

5. November 2024

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*