In der Regel wird davon ausgegangen, dass gerade die steigende Komplexität möglicher Angriffsszenarien die Schwierigkeit des Schutzes von IT-Infrastrukturen in Unternehmen darstellt. Oft sind es jedoch kleine Dinge, die zu unnötigen Sicherheitslücken und Risiken führen. Das bestätigt auch der ehemalige Cybersicherheitsexperte der Nationalen Sicherheitsbehörde der USA Thomas Parenty. Er benennt eine Reihe von Mythen, die Unternehmen daran hindern können, kluge Entscheidungen zu treffen und die IT-Umgebung zu sichern.

Mythos 1: Einhaltung der Normen reicht

Wenn Unternehmen sich erstmalig darum bemühen, ihre Cyber-Abwehr zu stärken, beginnen sie oft damit, ihre derzeitige Leistung zu untersuchen. Dabei ist es üblich, sich an bestimmte gesetzliche Normen und Branchenstandards zu halten, die dem Unternehmen auf diesem Weg helfen sollen. Sie sind davon überzeugt, dass die Organisation von allen Seiten geschützt ist, wenn diese Standards erreicht sind und eingehalten werden. Ein Trugschluss!

Normen sind zwangsläufig allgemeingültig für ein breites Publikum, laufen allerdings auch Gefahr, nur wenigen zu nutzen. Zudem besteht das Risiko, dass Mittel und Ressourcen zur Erreichung allgemeiner Standards eingesetzt werden müssen, die eigentlich für die Analyse der aktuellen und zukünftigen Bedrohung bestimmt sein sollten.

Mythos 2: Mitarbeiter interessieren sich für die Cybersicherheit

Mitarbeiter haben viele Sorgen und Wünsche, wenn es um ihre tägliche Arbeit geht. Natürlich wünschen sie ihrem Unternehmen keinen Schaden, aber im Vergleich zu anderen Motivatoren steht IT-Security auf ihrer Prioritätenliste weit unten.

Ganz oben auf der Liste steht ihr Wunsch, die Arbeit gewissenhaft zu erledigen. Dabei kam der ein oder andere Mitarbeiter sicherlich mit offizielle Richtlinien, Vorschriften oder Systemvorgaben in Berührung. Schnell entstehen Sicherheitslücken, die Mitarbeiter in Kauf nehmen, sobald es um ihre Ziele, ihren Arbeitserfolg, eine Beförderung oder einen Bonus geht.

Diese Situation wird häufig durch finanzielle Anreize verschärft, die Angestellte dazu ermutigen, Zielvorgaben um jeden Preis zu erreichen. Auch wenn Zeitdruck – wie die Einhaltung von Deadlines – eine Rolle spielt, leidet darunter schnell auch die Cybersecurity. Um Zeit zu sparen, werden beispielsweise häufig einfache und stetig die gleichen Passwörter verwendet. 

Mythos 3: Die Cyberabwehr muss der Stärke des Angriffs angepasst sein

In der konventionellen Kriegsführung herrscht eine Symmetrie zwischen der Kraft der Verteidigung und der des Angriffs. In der Welt der Cybersicherheit ist diese Symmetrie hingegen selten gegeben. Parenty zitiert den WannaCry-Virus, der mit einem von der NSA entwickelten Tool programmiert wurde. Der Angriff war zweifellos ausgeklügelt – die zur Abwehr erforderlichen Lösungen waren indessen technisch nicht ausreichend. Wie das Beispiel zeigt, sind nicht zwingend die technischen Herausforderungen die Hürde, sondern viel mehr schlechtes Management, ungepatchte Endpoints sowie fehlende Mitarbeiter- oder Zeitressourcen.

Machen sich Unternehmen die drei oben genannten Mythen bewusst, können sie ihre Cybersecurity erheblich verbessern. Unsere Lösung Adaptive Defense 360 geht weit über das Bewusstsein hinaus: Sie bietet proaktiven Schutz vor bekannten sowie auch unbekannten Bedrohungen für alle Endpoints inkl. der mobilen Geräte, die sich im Netzwerk befinden. Kleinste Anomalien werden entdeckt, um bspw. Angriffe durch Insider zu erkennen, und über eine schlanke Konsole umfassend analysiert. Darüber hinaus optimieren integrierbare Module wie Patch Management und Full Encryption nicht nur die Sicherheit in Ihrem Unternehmen, sondern auch den Workflow Ihrer IT-Verantwortlichen.