Top-5 Sicherheitsprobleme: Immer das Gleiche

Das Research- und Analystenhaus techconsult gab zum Jahresanfang eine Zusammenfassung der fünf größten Schwachstellen in Mittelstand und öffentlichen Verwaltungen heraus. Die Studie Security-Bilanz Deutschland ermittelt jährlich den Status Quo der IT- und Informationssicherheit auf Basis einer repräsentativen Befragung mit über 500 Interviews in Unternehmen und Verwaltungen/Non-Profits. Die Ergebnisse sind – alle Jahre wieder – leider nicht sonderlich überraschend. Es ist nicht so, dass die befragten Institutionen kein Problembewusstsein hätten, oder kein Geld für deren Lösung ausgeben würden. Sie tun es nur an den falschen Stellen, inkonsequent oder zu spät.

So verwundert es nicht, dass mobile Endgeräte auf Nummer zwei der Rangliste genannt werden, gleich nach der allgemein schlechten Umsetzung von komplexen Sicherheitsmaßnahmen. Bei den mobilen Endgeräten beklagen die Analysten, dass privat genutzte Geräte zwar im Unternehmen geduldet, aber nicht als Teil des Schutzkonzepts gesehen werden und es zu selten eine zentrale Verwaltung mobiler Geräte gibt. Mehr als 70 Prozent der Mittelständler machen diesen, in Anbetracht der extremen Wachstumsraten mobiler Netze, fatalen Fehler. Wenn ein VPN eingesetzt wird, ist zumindest dieser Aspekt des mobilen Geräts Bestandteil einer zentral verwalteten Managementlösung, je nach VPN-Hersteller ist der Client in der Lage noch weitere Komponenten wie die Firewall zu steuern und zu überwachen.

Dicht gefolgt werden die beiden Spitzenreiter von einem Mangel an proaktiven Maßnahmen. Eigentlich ist es billiger vorzusorgen, sowohl in punkto Zeit- als auch Finanzbudget, als nach einem erfolgreichen Angriff die Trümmer wegzuräumen. Doch Security Audits, Penetrationstests und regelmäßige Tests und Übungen der Notfall- und Reaktionspläne sind unbeliebt, vernachlässigt und generell zu wenig im Bewusstsein der Verantwortlichen. Es muss wohl erst wehtun, bevor gehandelt wird. Für den vierten Punkt, Lücken bei der Authentifizierung, lässt sich noch am ehesten Verständnis aufbringen. Ja, Passwörter sind eigentlich überholt, aber eine Alternative im Unternehmen durchzusetzen ist (zunächst) kostspielig und mit viel Überredungskunst verbunden. Niemand nimmt gern den Aufwand eines Tokens plus komplexem Passwort in Kauf, wenn er nicht unbedingt muss. Doch auch hier sollte man die Zukunft im Auge behalten: Das Netz und die darin gespeicherten Daten werden immer mehr zum wichtigsten Asset von Unternehmen, noch vor physischen Produktionsanlagen oder Produkten. Dementsprechend muss auch der Schutz von Informationen auf ein höheres Level gehievt werden. Auch hier ist ein VPN oft der Einstieg in den Umstieg. VPNs werden normalerweise mit Zwei-Faktor-Authentifizierung ausgerüstet. Wer den Umgang mit Token oder PIN-SMS bereits kennt, hat weniger Probleme damit, den Vorgang für das gesamte Netz zu akzeptieren.

Und zu guter Letzt liegt es am Menschen selbst, ob Sicherheit im Unternehmen Erfolg hat oder nicht. Wenn die Mitarbeiter bei den Maßnahmen nicht mitziehen, wird es immer Schwachstellen geben, die der Angreifer ausnutzen kann. Passiert das aus Versehen, ist es Pech. Aber zumindest die fahrlässigen Fehler oder Fehler aus Unkenntnis sollte man durch Richtlinien, Schulungen und sinnvolle Sicherheitsmaßnahmen, die die Produktivität der Kollegen nicht behindern, ausschließen. Regelmäßige Übungen und Trainings sowie Awareness-Kampagnen versetzen Mitarbeiter in die Lage, Angriffe zu erkennen und helfen, sich im Angriffsfall richtig zu verhalten. Selbst einfache Hinweise darauf, wie mit E-Mail-Anhängen unbekannter Absender zu verfahren ist, können das Risiko einer Infektion des Unternehmensnetzwerks bereits massiv verringern.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.