IT-Sicherheit Mythen: Worauf du achten solltest

Es spielt keine rollte ob Privatperson, kleines Unternehmen oder multinationaler Großkonzern. IT-Sicherheit wird weiter in den Mittelpunkt des Alltags rücken und wir müssen uns alle Gedanken um die Sicherheit vor Hackerangriffen machen. Es wird Zeit mit einigen IT-Sicherheitsmythen aufzuräumen. 

Cyber-Kriminelle haben es auf alle abgesehen und davon gibt es keine Ausnahme. Der Unterschied zwischen einer Privatperson und Unternehmen ist oft nur der investierte Aufwand um ans Ziel zu kommen.

IT-Sicherheit Mythen: Worauf du achten solltest

Die Sicherheit im Internet muss jeder ernst nehmen. Über die Jahre haben sich aber einige Sicherheitsmythen etabliert, über die hier aufgeklärt werden soll und denen ihr keinen Glauben schenken dürft.

Regelmäßiger Passwortwechsel schützt

In vielen Unternehmen wird Mitarbeitern vorgeschrieben, das Passwort in regelmäßigen Abständen zu wechseln. Dabei laufen die Passwörter systemseitig beispielsweise nach 30 oder 90 Tagen ab. Der Benutzer wird gezwungen ein neues Passwort zu vergeben. Dieses Vorgehen ist hoch umstritten und wird sogar als Risiko für die IT-Sicherheit betrachtet.

Der Grundgedanke hinter regelmäßigen Passwortwechsel sind mögliche Angreifer im Firmennetzwerk, die noch nicht entdeckt wurden. Ein regelmäßiger Wechsel des Passworts sperrt diese aus.

Eine Studie der University of North Carolina at Chapel Hill aus dem Jahr 2010 belegt, Benutzer die regelmäßig ihr Passwort ändern müssen, verwenden oft ein vom alten Passwort abgeleitetes neues Passwort. Zum Beispiel 123Januar, 123Februar, etc. Die Forscher konnten Muster entdecken und daraus einen Algorithmus entwickeln. Mit diesem Algorithmus gelang es 17 Prozent der Konten mit weniger als fünf Versuchen zu hacken. Also bevor der Angreifer aus dem System ausgeschlossen wurde.

Fazit: Ein regelmäßiger Passwortwechsel verbessert nicht die Sicherheit. Benutzer müssen sichere Passwörter verwenden. Das ist bei regelmäßigen Wechsel der Passwörter und bei einer Vielzahl an unterschiedlichen Benutzerkonten unmöglich.

Ich bin kein Ziel

Hackern ist es egal ob Privatperson, kleines Unternehmen oder großer Konzern. Es gibt überall etwas zu holen. Cyber-Kriminelle mögen unterschiedliche Ziele haben. Aber jeder ist dem Risiko eines Angriffs ausgesetzt.

Privatpersonen werden oft das Ziel von Maleware zum Identitätsdiebstahl, dem Angriff auf Online-Banking oder mit Ransomware erpresst. Kleine und mittelständische Unternehmen werden gerne auf Grund ihrer Innovationskraft angegriffen. In Deutschland werden 99 Prozent der Unternehmen dem Mittelstand zugeordnet. Es wäre ein trügerische Gedanke, wenn kleine Unternehmen sich nicht als potenzielles Ziel betrachten. Gerade diesen Unternehmen bescheinigt das BSI einen Nachholbedarf im Notfallmanagement und der Bewertung von Gefahrenbereiche.

Fazit: Die Unternehmensgröße spielt keine Rolle. Hacker zielen auf Privatpersonen und große Konzerne, wieso sollten sie einen Handwerkerbetrieb oder einen Automobilzulieferer verschonen?

IT-Sicherheit bezieht sich nur auf Technik

Ein großer Teil der Sicherheitsverletzungen wird direkt oder indirekt durch Personen innerhalb des Unternehmens verursacht. IT-Sicherheit darf sich nicht nur auf die Absicherung der Systeme beziehen sondern muss auch die Mitarbeiter für mögliche Gefahren sensibilisieren.

Es müssen klare Regeln im Umgang mit Daten erstellt werden werden. Dadurch lassen sich Social Engineering Angriffe deutlich reduzieren. Wer sauber formulierte Anweisungen hat und diese im Unternehmen bekannt sind, ist weniger anfällig für die Herausgabe von Passwörter oder das Umgehen von Sicherheitsabfragen.

Fazit: IT-Sicherheit ist ein sauberes Zusammenspiel von Technik und Mensch. Die Kette ist nur so stark wie das schwächste Glied.

Zwei-Faktor-Authentifizierung mit SMS ist sicher

In den USA häufen sich die Fälle in denen Mobilfunknummern von Hackern zu anderen Netzanbietern portiert werden um die Zwei-Faktor-Authentifizierung der Opfer zu kontrollieren.

Die Zwei-Faktor-Authentifizierung erhöht die Sicherheit eines Systems ungemein. Lieber einen Dienst mit Zwei-Faktor-Authentifizierung und SMS als keine Zwei-Faktor-Authentifizierung. Wenn möglich sollten Nutzer jedoch auf einen anderen 2. Faktor als SMS setzen.

Als Ersatz für SMS sollten Nutzer auf Hardware-Dongles wie den YubiKey oder spezialisierten Apps wie dem Google Authenticator zur Nutzer-Verifikation setzen.

Persönliche Meinung

Welchen der IT-Sicherheit Mythen seid ihre aufgelaufen? Bis vor kurzem war mir das Risiko der Zwei-Faktor-Authentifizierung in Kombination mit SMS nicht bewusst. Zudem kenne ich zahlreiche Unternehmen, die alle 30 Tage alle Passwörter ändern lassen. Benutzer müssen teilweise über fünf bis acht Systeme die Passwörter ändern. Das hier Standardpasswörter und Passwort-Muster entstehen muss wohl nicht weiter ausgeführt werden.

Kommentar verfassen