Sechs Mythen um Cyberkriminalität gefährden die Sicherheit

Im Bereich Cyber-Sicherheit und -Kriminalität halten sich nach wie vor viele Mythen hartnäckig: Die Gefährdungslage der IT verschärft sich zunehmend und ist zudem vielschichtiger geworden. Erfolgt ein Angriff, verhindern Unternehmen mit bestehenden Schutzmaßnahmen zwar meist einen größeren Schaden. Wie sie die Sicherheit ihrer Applikationen aber weiter signifikant erhöhen können, erklärt Bader in den folgenden sechs Mythen.

• Mythos 1: Cyberkriminelle attackieren die Infrastruktur, Applikationen stehen kaum im Fokus

Dieser Mythos ist leider ein weit verbreiteter Irrglaube. Untersuchungen haben ergeben, dass mehr als die Hälfte aller Angriffe über das Applikations-Layer erfolgen. Das siebte OSI-Layer, die Anwendungsschicht, wird durch klassische Firewalls aber gar nicht geschützt.

• Mythos 2: Penetrationstests reichen aus, die Anwendung ist sicher

Die meisten IT-Spezialisten glauben, dass ein erfolgreich absolvierter Penetrationstest die Sicherheit einer Anwendung nahezu garantiert. Das gilt für einfache Apps, aber nicht für komplexe Anwendungen, die viel Business- und Prozess-Logik enthalten. Komplexe Applikationen mit vielen Stakeholdern sind durch Penetrationstests gar nicht vollständig austestbar. Entwicklungs-, Beschaffungs- oder Freigabeprozesse, an denen mehrere Geschäftseinheiten beteiligt sind, sollten deshalb unbedingt zusätzliche Security-Maßnahmen durchlaufen.

• Mythos 3: Sicherheitstools erledigen den Job

Viele Unternehmen verlassen sich zu sehr auf ihre Sicherheitstools, zum Beispiel auf das Patching oder das Konfigurationsmanagement. Tools sind wichtig, aber nur die halbe Miete. In der IT ist heute alles mit allem vernetzt. Die einzelnen Geschäftseinheiten aber sprechen zu wenig miteinander.

• Mythos 4: Jeder Mitarbeiter ist für die Sicherheit selbst verantwortlich

Die gefährlichste Schwachstelle in Unternehmen sind die eigenen Mitarbeiter, betonen Sicherheitsexperten. Wichtig ist deshalb, durch regelmäßige Schulungen bei den Mitarbeitern ein Risikobewusstsein zu schaffen und über die aktuellen Angriffsvektoren zu informieren. Schulungen schließen nicht aus, dass sich Cyberkriminelle durch Social-Engineering-Techniken wie personalisierte Phishing-Mails Zugang zu sensiblen Daten verschaffen, aber sie erhöhen die Awareness und verringern das Risiko.

• Mythos 5: Sicherheitspatches aufzuspielen dauert Stunden und Systeme sind nicht nutzbar

Im Durchschnitt stehen gefährdete, ungepatchte Applikationen mehrere hundert Tage im Netz, obwohl Schwachstellen bekannt sind und Cyberkriminelle jederzeit einen Angriff starten könnten. Das größte Sicherheitsleck für Applikationen sind ungepatchte Bibliotheken, so der Application Security Statistics Report 2018 (Vol. 13) von Whitehat, einem Tochterunternehmen von NTT Security. Grund für dieses fahrlässige Verhalten ist der in vielen Firmen verbreitete Irrglaube, dass IT-Systeme beim Aufspielen von Sicherheitspatches ausfallen und nicht nutzbar sind.

• Mythos 6: Wenn man gehackt wurde, ist nichts mehr zu machen

Einfacher gesagt als getan: Im Angriffsfall sollten Unternehmen auf jeden Fall Ruhe bewahren und durch unüberlegte Kurzschlussreaktionen nicht noch mehr Schaden anrichten. Es gibt Unternehmen, die nach einem Angriff den Netzstecker gezogen und dadurch die Festplatten-Controller zerstört haben. Für die Forensiker war es nicht mehr möglich, den Angriff zu rekonstruieren und im Nachhinein die Angriffsvektoren zu identifizieren. Ziel sollte sein, so viele Beweise und Daten wie möglich zu sammeln und schnellstmöglich die Hilfe professioneller Sicherheitsexperten einzuholen.