DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Fünf falsche Annahmen

Eine neue Befragung von Bromium zeigt:  Wir sind das größte Problem für das IT-Sicherheitspersonal.

 

Das Anklicken von ver­däch­tiger Schad­software ist laut 40 % der Befragten das größte Sicher­heits­risiko, dicht gefolgt vom Öffnen schad­hafter Mai­l­an­hänge mit 20%. 80 % der Befragten gaben sogar an, dass die getrof­fenen  End­punkt­si­cher­heits­maß­nahmen wie Viren­schutz und Firewall bei weitem nicht aus­rei­chend sind um vor Phi­sin­gat­tacken Schutz zu bieten.

Der Anwender als Sicher­heits­risiko, schlimmer als falsch kon­fi­gu­rierte Systeme und Schwach­stellen in der Software? Dass klingt jetzt zwar ziemlich harsch, könnte aber durchaus hin­kommen. Jeder ist ein poten­ti­elles Opfer. Das liegt einer­seits an den immer raf­fi­nier­teren Angriffen der Cyber­kri­mi­nellen, aber es liegt auch daran, dass man sich oft in trü­ge­ri­scher Sicherheit wiegt, wo längst alle Alarm­glocken schrillen sollten.

Welche fal­schen Annahmen machen uns so angreifbar?

1. Ich bin kein Ziel für Cyberkriminelle
2. Ich bin clever genug um Phi­sin­gat­tacken zu erkennen.
3. Wenn ich meine Cookies immer lösche, kann ich im Internet nicht ver­folgt, iden­ti­fi­ziert oder gezielt ange­griffen werden.
4. Wenn ich die dunklen Seiten des Internets meide, kann mir nichts passieren.
5. Firewall und Anti­vi­ren­software schützen mich auf jeden Fall

Wenn man diese Annahmen hin­ter­fragt, ist bedau­er­li­cher­weise keine haltbar.

Man glaubt, kein Ziel für Cyber­kri­mi­nelle zu sein. Prin­zi­piell ist aber jeder ein poten­ti­elles Ziel von Cyber­an­griffen, selbst wenn der Angriff „nur“ darauf abzielt Spam zu versenden.

Man glaubt, clever genug zu sein um Phis­hin­g­at­tacken zu erkennen. Es gibt Mails, die schon im Betreff vor Fehlern strotzen und tat­sächlich von den meisten als Phis­hing­mails erkannt werden können. Wenn man aber tat­sächlich das Ziel einer Spear­phi­sin­gat­tacke ist und aus­ge­späht werden soll, wird auch die Spear­phi­sin­gat­tacke so form­voll­endet sein, dass man sie nicht erkennt.

Man hofft, wenn man per­manent Cookies  löscht, kann man im Internet nicht nach­ver­folgt, iden­ti­fi­ziert oder gezielt ange­griffen werden. Auch das stimmt so leider nicht. Cookies sind nur  eine mög­liche Variante im Internet erkannt zu werden. Weil sie sich in allen gän­gigen Browsern befinden, bieten sie zwar die leich­teste Angriffs­fläche, aber bei weitem nicht die einzige. Cyber­kri­mi­nelle können Sie auf vielen unter­schied­lichen Wegen finden und angreifen. Bei­spiels­weise iden­ti­fi­ziert ja auch die IP-Adresse jeden ein­zelnen Com­puter. IP-Adressen ändern sich selten und sind so leicht einem User zuor­denbar. Dies gilt sowohl im Pri­vat­be­reich, als auch im Unternehmensnetzwerk.

Wenn man die dunklen Seiten des Internets meidet, kann nichts pas­sieren. Auch diese Annahme konnte in letzter Zeit nur allzu häufig von Kri­mi­nellen wie­derlegt werden. Es sind schon lange nicht mehr Por­no­seiten, von denen die höchste Gefahr droht. Mitt­ler­weile sind Videos mit put­zigen Kätzchen und reguläre, mani­pu­lierte Onlineshop-Seiten poten­tielle Ver­breiter von Schadcodes.

Man glaubt, Firewall und Anti­vi­ren­software schützen auf jedem Fall. Aber wie sollen sie das schaffen, wenn der Anwender, die End­geräte nutzt und seinen Bedürf­nissenn anpasst, Daten sendet und emp­fängt, Apps instal­liert und aus­führt, Anhänge öffnet und Links anklickt,  ohne sich weitere Gedanken über die Aus­wir­kungen zu machen?

Letzt­endlich führen viele Fak­toren dazu, dass IT-Sicherheit immer schwerer zu gewähr­leisten ist. Diese Umfrage ist ein Indiz dafür, dass klas­sische Methoden für IT-Sicherheit schon längst an ihre Grenzen gestoßen sind, und immer mehr IT-Ver­­an­t­­wor­t­­liche sich im Klaren darüber sind. Das ist ein erster Schritt in die richtige Richtung, denn es besteht wirklich drin­gender Bedarf an neuen Sicher­heits­mo­dellen, die uns schützen.

Bild:  © Sebastian Sta­en­decke, modern-props   / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekanntenkreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.