Cyber-Hygiene: Das Zähneputzen für die IT!

IT Sicherheit ist ein komplexes Thema, dass auf keinen Fall funktioniert, wenn wir nur versuchen, dass wir mit den Bedrohungen und Cyberangriffen Schritt halten zu können. In diesem Fall werden uns die Cyber-Kriminellen immer einen Schritt voraus sein. IT Sicherheit ist ein wichtiges, nicht nur in großen Unternehmen und Organisationen. Das trifft kleine Unternehmen genauso wie auch den privaten Haushalt.
Nur auf neue Bedrohungen zu reagieren wird nicht funktionieren. In vielen Unternehmen ist es gängige Praxis – die Gründe dafür sind meist pragmatisch, die der Anzahl an täglichen Aufgaben geschuldet sind. Um dem entgegenzuwirken, sollte Sicherheit von Anfang an in die installieren IT-Systeme integriert sein – die Hersteller sollten das schon übernehmen. Mit der Zahl an wachsenden Cloud-Services, ist das nicht nur machbar sondern unerlässlich.

In den Jahren 2016/2017 waren 4,5 % der KMU in der D-A-CH-Region Opfer eines Ransomware-Angriff, damit ist Ransomware die Nummer 1 der Cybersecurity Bedrohungen für Unternehmen. Wenn man dann noch Angriffe, wie WannaCry betrachtet, bei denen sogar Krankenhäuser daran gehindert werden, auf wichtige Daten z.B. Patientenakten zuzugreifen, dann sind die Auswirkungen verheerend. Die Reaktion solcher Angriffe sind, dass die Ausgaben für Cyber-Security steigen und Unternehmen diverse Sicherheitsebenen zu ihren Systemen hinzufügen.

Aber wenn wir veraltete System im Einsatz haben, ist es egal, wie viele Schutzschichten wir darum wickeln, bleiben die Systeme trotzdem veraltet. Angesichts der Häufigkeit von Cyberangriffen ist es an der Zeit, dass Unternehmen sicherstellen, dass auch grundlegende Cyber-Hygiene durchgeführt wird und die Kronjuwelen des Unternehmens – geschäftskritische Daten und Anwendungen – schützen!

Cyber-Hygiene: Was ist das?

Einfach gesagt, Cyber-Hygiene sind einfache Prinzipien, die jede IT Organisation kennen und umsetzen muss. VMWare gliedert Cyberhygiene in 5 Kernprinzipien. Die sind an und für sich keine neue Ideen, jedoch im Alltag werden diese häufig vergessen.

• Geringstes Privileg:
  Nicht jeder Mitarbeiter benötigt die gleichen Zugriffsrechte. Eine Sekräterin benötigt nicht die gleichen Zugriffsrechte wie der Geschäftsführer. D.h. gib jedem Mitarbeiter nur jene Zugriffsrechte, die er auch benötigt. Jeder Benutzer hat die minimal notwendigen Zugriffe und damit minimiert man mögliche Angriffspunkte auf Daten. Ein Hotelgast bekommt auch nicht den Generalschlüssel, wenn er eincheckt.
• Mikro-Segmentierung:
  Zugbrücken und Burgmauern werden heute nicht mehr verwendet, da sie ein falsches Gefühl von Sicherheit geben. Zudem fördern sie laxe Sicherheitsansätze innerhalb der Mauern. Sobald der Angreifer die äußere Verteidigung überwunden hat, ist die Bedrohung drinnen und man kann sich nicht mehr verstecken. Durch die Aufteilung des Netzwerkes in verschiedene Ebenen und eigenständige Bereiche bleibt das System geschützt und Ihre Zugriffspunkte sind weniger anfällig für Angriffe.
• Verschlüsselung:
  Die Verschlüsselung kannst du dir als letzte Waffe im Arsenal gegen Hacker vorstellen. Sollte alles andere fehlschlagen und deine Firewalls und Zugriffsprotokolle verletzt werden, bedeutet Verschlüsselung, dass alle wichtigen Daten, die du gespeichert hast, für den Angreifer nutzlos sind. Wenn man nicht weiß, wie man die Daten entschlüsselt, sind die verschlüsselten Daten ein schwieriges Rätsel. Die grundlegende Cyber-Hygiene bedeutet, dass du deine Daten und Dateien vor dem Austausch verschlüsselst.
• Multi-Faktor-Authentifizierung:
  Von der Fingerabdruck-ID bis zur Geschichtserkennung wird die Sicherheit immer personalisierter. Aber auch die Implementierung einer einfachen Zwei-Faktor-Authentifizierung stoppt eine mögliche Welle von Verstößen. Je persönlicher wir mit der Authentifizierung werden, desto sicherer werden unsere Systeme sein. Schließlich ist der Fingerabdruck viel schwieriger zu bekommen als ein PIN-Code!
• Patching:
  Systeme benötigen Updates aus einem einfachen Grund. Wenn Malware weiterentwickelt wird, reagiegieren die Hersteller mit System- und Softwareupdates. Trage dafür sorge, dass die Systeme und Software zeitnah ein Upgrade und Update erhalten, damit du den Angreifern einen Schritt voraus bist.

Es ist einfach diese Prinzipien zu verstehen, aber die Umsetzung ist entscheidend. Jeder Mitarbeiter im Unternehmen sollte verstehen, warum die Cyber-Hygiene so wichtig ist und IT Verantworliche und Entscheidungsträger müssen verstehen, wie sie diese Prinzipien auch umsetzen. Wie Zähneputzen oder Händewaschen schützt Cyberhygiene jeden.