(PM) Schwerte, 01.10.2015 - Es gibt ein paar häufige Missverständnisse bei der Unternehmenssicherheit, die oft schlimme Folgen sowohl für die Privatsphäre des Kunden als auch für Unternehmensdaten haben. Wer unter den folgenden sieben Trugbildern zumindest eines bei sich selbst wieder erkennt, sollte sich vielleicht die Zeit nehmen, um Unternehmenssicherheit, Praktiken und Überzeugungen zu überprüfen.
1. Das eigene Unternehmen ist nicht wichtig genug, um angegriffen zu werden
Dies ist wahrscheinlich einer der häufigsten Gedanken, an dem sich Unternehmen festhalten: Sie glauben, dass ihre Daten nicht wertvoll genug seien, um den Aufwand eines Angriffs zu rechtfertigen. Nichts könnte weiter von der Wahrheit entfernt sein, denn jede Art von Daten – von HR-Einträgen bis zu Abrechnungsbelegen und sogar Telemetrieinformationen – könnte möglicherweise in größeren Spearphishing-Attacken oder Social-Engineering-Konzepten verwendet werden.
2. Öffentliche Cloud leichter zu verletzen – Cloud-Anbieter für die Sicherheit verantwortlich
Die öffentliche Cloud wird als unsicher und als anfällig für eine Vielzahl von Angriffen, die auf den Diebstahl von persönlichen und sensiblen Daten zielen, betrachtet. Die Wahrheit ist jedoch, dass es oft an den Sicherheitsexperten liegt, dass die Cloud-Umgebungen und -Anwendungen nicht richtig konfiguriert werden. So sind diese potenziellen Angriffen ausgesetzt.
3. Passwortstärke ist entscheidend
Mehr als 44 Prozent der Verbraucher nutzen das gleiche Passwort für mehrere Konten. Studien haben sogar gezeigt, dass sie auch doppelte Kennwörter für fast drei Viertel ihrer Konten einsetzen. Obwohl in der Unternehmenswelt eine starke Authentifizierung oft als eine bewährte Sicherheitspraxis betrachtet wird, können die Zugangsdaten auf kritische Systeme ohne mehrstufige Authentifizierung leicht verloren gehen.
4. Antivirus und Firewalls sind kugelsicher
Mehr als 62 Prozent der IT-Experten glauben, dass herkömmliche Sicherheitslösungen zu viele False Positive-Meldungen erzeugen, und 38 Prozent, dass zu viele unbestätigte Daten gesammelt werden, laut dem Marktforschungsunternehmen Enterprise Management Associates (EMA).
5. Eine Universallösung gegen gezielte Angriffe
Dies geht Hand in Hand mit dem bislang oft falschen Glauben, dass alles, was Unternehmen tun müssen, einfach die Einhaltung von Best Practices ist, damit die Unternehmensdaten sicher sind. Obwohl es sehr ratsam ist, bewährte Vorgehensweisen zu beachten, lässt sich die Abwehr und Abmilderung heutiger Bedrohungen nur durch die Einführung mehrerer Sicherheitsmechanismen und die Korrelation aller relevanten Informationen erreichen.
6. Software-Updates und Patches verhindern Angriffe
Obwohl für mehr als 35 Prozent der Sicherheitsexperten die Installation von Software-Updates eine ihrer Top-Sicherheitspraktiken ist, laut Google Research, nutzen gezielte Angriffe in der Regel Software-Schwachstellen aus, für die bereits seit einiger Zeit Patches veröffentlicht wurden.
Auch wenn die Installation der neuesten Updates und Patches die potenziellen Risiken reduziert, dass Angreifer bekannte Schwachstellen ausnutzen, gibt es doch auch andere Herausforderungen, zum Beispiel den Aspekt der rechtzeitigen Bereitstellung dieser Updates im gesamten Unternehmen – nicht erst nach ein paar Monaten – sowie das Risiko, dass Angreifer noch nicht bekannte Schwachstellen – so genannte Zero-Day-Schwachstellen – ausnutzen, um ein bestimmtes Unternehmenssystem oder einen Endpunkt zu kompromittieren.
7. Fehlende Sicherheitsfunktionen
Während einige Unternehmen vielleicht argumentieren, dass Sicherheitslösungen nicht die richtigen Funktionen für die Gewährleistung und Durchsetzung des Angriffsschutzes besitzen, gilt das Problem der Untergrabung durch unbedachte Mitarbeiter als einer der Gründe, warum interne Unternehmensdaten geschmuggelt werden und die innere Sicherheit verletzt wird. Wenn nicht die passenden Beschränkungen und Richtlinien eingesetzt wurden, um Benutzer von der Installation oder Verwendung von Werkzeugen abzuhalten, die nicht von der IT genehmigt wurden, kann das zu Sicherheitsvorfällen führen oder sogar die Tür für Angreifer öffnen.
Zusammenfassung
Obwohl es schwer zu akzeptieren ist, müssen Unternehmen Verantwortung für Sicherheitslücken übernehmen, das Paradigma von Schuldzuweisungen zu einer proaktiven Gestaltung von Incident Response-Plänen verändern und herausfinden, welche ihre wichtigsten Assets sind, die geschützt werden müssen.