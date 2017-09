Weltweit steigen die Ausgaben für IT-Sicherheit. Laut den Analysten von Cybersecurity Ventures wird die Investitionssumme in diesem Bereich in den nächsten fünf Jahren die Marke von einer Billion Dollar knacken.

Aber trotzdem gibt es mehr Datenschutzverletzungen, Datendiebstähle, Leaks und Hacks als je zuvor. Wie lässt sich diese Diskrepanz erklären? Ausschlaggebend sind diese drei grundsätzlichen Fehler, die einige IT-Verantwortliche, aber auch Geschäftsführung und Vorstand regelmäßig begehen.

1. Die falsche Sichtweise

Traditionell konzentrieren sich Unternehmen und Anwender beim Thema IT-Sicherheit auf ihre Netzwerke, Systeme und Infrastrukturen und besinnen sich nicht (ausreichend) darauf, was eigentlich schützenswert ist: ihre Daten. Das ist ungefähr so, als würde man Straßen immer sicherer machen, gleichzietig aber die Sicherheit der Fahrzeuge vernachlässigen. Und niemand würde heute wohl in ein Auto ohne Sicherheitsgurte steigen - auch wenn die Straßen über Leitplanken verfügen.

2. Der falsche Fokus

"Vorsorgen ist besser als heilen" weiß der Volksmund. Entsprechend fokussieren Unternehmen stark auf Präventiv-Technologien. Auf den ersten Blick mag dies vernünftig erscheinen, allerdings werden sie so angreifbar durch Bedrohungen, an die sie nicht gedacht haben oder vor denen sie die eingesetzten Technologien nicht schützen können. Eine zu starke oder gar einseitige Fokussierung auf solche Technologien hat zur Folge, dass Unternehmen nicht in der Lage sind zu erkennen, wann ein Insider am Werk ist oder ihre Präventiv-Kontrollen versagen.

Ein Blick in Verizons Data Breach Investigations Report 2017 bestätigt das: Demnach dauert es in 70 Prozent aller Security-Vorfälle mehrere Monate oder gar Jahre, bis eine Datenschutzverletzung bemerkt wird. So wie eine Grippe-Impfung gut vor Grippe schützt, aber eben nicht vor einem Herzinfarkt, braucht es auch in Sachen IT-Sicherheit einen mehrschichtigen Ansatz (etwa wenn der Perimeter überwunden wurde) und eine bessere Überwachung. Nur so können neue Bedrohungen und Schäden, die ein Angreifer von innen oder außen verursacht, schnell erkannt und zuverlässig bekämpft werden.

Splash Screens

Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht. Antivirus Software

Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance. Perimeter Security

Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen. Alarm-Ermüdung

Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden. Ignoranz

Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus. Passwort-wechsel-dich

Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss? Security Training

Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt. Harte Worte

Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen. Mauer-Fetisch

Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei. Sharing

Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken. Schadens-PR

"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?

3. Der falsche Ansatz

Oft fehlt eine echte Strategie, wenn es darum geht, die sensiblen Unternehmensdaten zu schützen. Für jede neue Bedrohung, jeden neuen Angriffsvektor und jede neue Compliance-Anforderung wird ein neues Tool eingesetzt. Die Folge: Mangelnde Übersicht, fehlende Kommunikation zwischen den Lösungen und hohe Kosten. Bei gleichzeitig geringer Wirkung.

Laut einer aktuellen Studie von Forrester wünschen sich die meisten IT-Verantwortlichen statt dieser fragmentierten und meist nur reaktiven Herangehensweise eine einheitliche Oberfläche, in der ihre Datensicherheit gebündelt wird. Die Absenz einer Strategie macht sich auch dadurch bemerkbar, dass nur 34 Prozent der Unternehmen wissen, wo ihre sensiblen Daten gespeichert sind und lediglich 41 Prozent einen "need-to-know"-Ansatz bei der Zugriffsrechte-Vergabe anwenden. Gerade im Vorfeld der nahenden EU-Datenschutzgrundverordnung (DSGVO) stellt das ein ernsthaftes Problem dar.

Fazit: Datensicherheit first!

Es sind diese Fehler, die uns Woche für Woche über erfolgreiche Hackerangriffe auf Unternehmen lesen lassen. Die Kosten, die den Unternehmen hierdurch entstehen, sind enorm. So büßte etwa das US-Handelsunternehmen Target in Folge eines Datenlecks 46 Prozent des Umsatzes ein.

Wenn Unternehmendaten in falsche Hände oder gar an die Öffentlichkeit geraten, kann daraus nicht nur eine Bedrohung für die Reputation erwachsen, sondern auch für den Umsatz und (je nach Falllage) auch die nationale Sicherheit. Es ist an der Zeit, umzudenken und endlich die Daten ins Zentrum der IT-Security-Strategie zu rücken. (fm)