W3Schools

#AAM Blogpost: Innovation ist wichtig, aber der Schutz der Innovation genauso

Ein Cybervorfall kann einen immensen Schaden verursachen. Obwohl sie das wissen, scheuen sich viele Unternehmen davor, sich mit dem Thema auseinanderzusetzen. Dabei können schon einfache Maßnahmen die Sicherheit der Daten deutlich verbessern und Innovationen wirksam schützen, wie unsere IT Security Expertin Ansje Metelmann in ihrem Blogpost im Rahmen des #AutismAppreciationMonth beschreibt.

Seien wir mal ehrlich, Sicherheit ist nervig. Alles, was man früher mit einem Click erledigt hat, dauert nun doppelt oder gar dreifach so lang. Will man beispielsweise Bankgeschäfte online erledigen, muss man den Code-Generator heraussuchen (hoffentlich hat man ihn nicht verlegt), und dann die Zahlen abtippen.

Warum dieser Aufwand? Klar, ab und an hört man von großen Firmen, die einen Cybervorfall hatten, aber man kennt eigentlich selbst niemanden, dem es passiert ist. Und man kann ja verstehen, dass es eine große Firma trifft, aber gerade eine kleine oder mittelständische Firma? Das lohnt sich doch nicht. Die Wahrheit ist: Es lohnt sich doch, und viele Cybervorfälle werden nicht bzw. erst Monate später bemerkt. Kundendaten sind Gold wert, Webseiten und Programme könnten kompromittiert und damit noch mehr Leute ausspioniert werden.

Schäden durch Cyberkriminalität in Deutschland bis 2019, Veröffentlicht von J. Rudnicka, 30.09.2020 https://de.statista.com/statistik/daten/studie/193207/umfrage/finanzielle-schaeden-durch-cyberkriminalitaet-in-deutschland/

 

Die schlechte Nachricht ist, dass man keine absolute Sicherheit erreichen kann, und je sicherer ein System ist, desto größer sind der Aufwand und die Kosten.

Das große Problem ist, dass Sicherheit und Bequemlichkeit oder Aufwand zueinander im Verhältnis stehen. Steigt das eine an, sinkt das andere. Mit anderen Worten: Was bequem ist, ist unsicher, was sicher ist, ist aufwändig. Und Menschen neigen dazu aufwändige Dinge zu umgehen. Man muss also den einen Punkt finden, wo der Aufwand erträglich und der Verlust an Sicherheit noch im zu bewältigenden Risiko-Bereich ist.

Dies ist eine Abwägung, die eine unternehmerische Entscheidung verlangt. Im Bereich IT-Sicherheit bedeutet Unentschlossenheit nur, dass jemand anderes die Entscheidung für das Unternehmen trifft – der Angreifer. Wichtig ist deshalb zu verstehen, dass eine komplette, schlagartige Umstellung auf einen „sicheren Betrieb“ mit vielen neuen Prozessen eher zum Scheitern verurteilt ist als ein graduelles Einführen der neuen Sicherheitsmaßnahmen.

Erste Schritte auf dem Weg zu einer besseren Sicherheit

1.: Passwörter

Da die Rechnerleistung immer mehr zunimmt, sind bisherige Passwörtervorgaben (8 Stellen, alphanumerisch mit Sonderzeichen) häufig nicht mehr ausreichend.

Eigene Empfehlungen basierend auf Aaron Herndon (Rapid7)[1]:

  • Unwichtige Passwörter: min. 12 Stellen, zufällige alphanumerische Zeichen+ Sonderzeichen
  • Wichtige Passwörter: min. 16 Stellen
  • Kritische Passwörter: min. 20 Stellen

Hierbei ergeben sich ein paar Probleme: Die wenigsten Menschen können sich gut Passwörter mit 12 Stellen merken, welche aus zufälligen alphanumerischen Zeichen und Sonderzeichen bestehen. Damit besteht die Gefahr, das unsichere Passwörter wie „CovidistD00f!2021“ genommen werden. Eine Lösung wäre, wenn man Passwörter aus mind. drei zufälligen, nicht in einem logischen Zusammenhang stehenden Wörtern, möglichst lang und mit ergänzende Sonderzeichen, nutzen würde. Hier entsteht jedoch das etwas kleinere Problem, dass es schwierig ist, drei unabhängige Wörter zu finden (der Mensch neigt dazu Verbindungen knüpfen zu wollen). Angebote aus dem Internet sind dafür nicht zu gebrauchen, da dieses wieder ein erhöhtes Sicherheitsrisiko beinhaltet.

Links zu Tests der besten Passwort-Manager findet ihr am Ende dieses Blogbeitrags

Eine Lösung ist die Nutzung eines Passwort-Managers, welcher alle Passwörter eines Users speichert, bei Bedarf auch zufällige Passwörter nach Vorgabe generiert und dessen Datenbank verschlüsselt ist. Damit braucht man sich nur noch 2 Passwörter zu merken (Computeranmeldung und Anmeldung am Passwortmanager).

Im Systemadministrationsbereich sollte man darauf achten, dass eine Blacklist mit den häufigsten Passwörtern existiert, so dass neue Passwörter damit abgeglichen und ggf. nicht angenommen werden.

Eine sinnvolle Maßnahme ist auch, das regelmäßige Ändern der Passwörter aus den Richtlinien zu streichen[2]. Die Erfahrung lehrt, dass diese Sicherheitsmaßnahme dazu führt, dass nicht nur bei allen möglichen Diensten aus Bequemlichkeit dann dasselbe Passwort verwendet wird, sondern auch, dass die Änderungen rein kosmetischer Natur sind, indem beispielsweise am Ende eine Nummer hochgezählt wird.

2.: 2FA / Zwei-Faktor-Authentifizierung

Eine Authentifizierung kann nach drei Faktoren erfolgen: Wissen, Besitz und Biometrie[3].

Der bekannteste Faktor ist Wissen: Das ist nichts anderes als das Passwort oder ein PIN. Wenn man nun dieser Anmeldung einen zweiten Faktor hinzufügt, erhöht es die Sicherheit, da ein Angreifer beide Faktoren braucht.

Hier wird meistens der Faktor Besitz, in Form von RFID – Karten, One Time PIN (Google Authenticator, Authy, SecurID) verwendet. Viele Programme und Services ermöglichen es inzwischen, 2FA zu nutzen – vielfach über eine Smartphone APP.

Wo immer es möglich ist, sollte dieses Verfahren angewendet werden. Es erhöht die Sicherheit, da nun zur Anmeldung nicht nur das Wissen um das Passwort gehört, sondern auch ein physisches Objekt.

3.: Aufstellung der genutzten Programme/ Update – Schedule[4]

Im Laufe der Zeit werden immer Sicherheitslücken in Programmen gefunden. Idealerweise werden diese vom Hersteller schnellstmöglich durch ein Update behoben. Leider nützen diese Updates nichts, wenn sie nicht aufgespielt werden. Dementsprechend wichtig ist es, dass man eine Aufstellung der genutzten Programme besitzt und diese regelmäßig auf Updates überprüft.

Genauso wichtig ist es zu wissen, wann Programmversionen den Status EOS (End of Support) oder EOL (End of Life) erhalten, um rechtzeitig genug zu prüfen, ob die Funktionalität mit der neuen Version noch genauso ist oder ob man Anpassungen machen muss.

Ich hoffe, dass diese kurze Zusammenfassung die Wichtigkeit der IT Security klarmacht und andere inspiriert, ihre eigenen Systeme sicherer zu machen. Innovation ist wichtig, aber der IT-Schutz genauso.

Ansje Metelmann ist Spezialistin für IT Security und Softwareentwicklung und arbeitet bei auticon am Standort Düsseldorf. Sie hat ein ausgeprägtes Interesse an IT Security und bildet sich konstant in diesem Bereich weiter. Dabei kommen ihr ihre individuellen autistischen Stärken zu Gute: Sie kann ca. 600 Wörter pro Minute in Deutsch oder Englisch lesen (und verstehen!) und hat ein überdurchschnittlich gutes analytisches und logisches Verständnis.

Mehr über Ansje Metelmann erfahrt ihr in dem Multimedia-Beitrag und im Fernsehbericht des WDR von Dezember 2020 bzw. Februar 2021:

Unsere Services im Bereich Security:

Bewertung der IT Security

  • Analyse und Erweiterung von Sicherheitskonzepten und Dokumentationen
  • Prüfung der Einhaltung von Sicherheitsrichtlinien und externer Anforderungen (MaRisk, ISO 27001)
  • Bewertung von implementierten maschinellen Prüfungen (z.B. SAP CodeProfiler)
  • Intrusion Testing: Bewertung von Firewall- und Netzwerksicherheit

Prüfung von Code und Systemen auf mögliche Manipulationen

  • Identifikation von Auffälligkeiten im Code anhand vorgegebener Regeln
  • Manuelle und automatisierte Code Prüfungen
  • Test von Systemen und Websites auf Fehleranfälligkeit und Möglichkeit zur Manipulation

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Right Menu Icon