Startseite > Office & Kommunikation > Die fünf größten Mythen der Cyber Security

Sicherheit

Die fünf größten Mythen der Cyber Security

26. Februar 2016, 9:07 Uhr | Autor: Christopher Brennan / Redaktion: Axel Pomper

Die Angst vor Cyber-Attacken ist allgegenwärtig. Täglich berichten Medien über kompromittierte Netzwerke sowie Datendiebstahl – und warnen vor gezielten Angriffen, die angesichts ihrer Raffinesse und der vermeintlich unzuverlässigen Security-Technologien kaum mehr zu stoppen sind. Bei genauer Analyse zeigt sich aber, dass viele dieser Annahmen nicht durch Fakten gestützt sind. Es handelt sich um Mythen, die überaus populär, aber auch brandgefährlich sind – denn sie verstellen den Blick auf die Tatsachen und machen eine akkurate Bewertung der Risiken unmöglich.

Wer sich zuverlässig vor Cyber-Angriffen schützen will, sollte zunächst die drohenden Risiken sorgfältig analysieren – und auf Basis dieses Assessments eine ganzheitliche, an Best Practices orientierte Security-Strategie entwickeln. Der erste Schritt, um das tatsächliche Risiko zu verstehen, ist dabei die klare Trennung falscher Annahmen von der Faktenlage. Daher sollen im Folgenden die fünf größten Mythen der Cyber Security entkräftet werden.

Mythos 1: Die meisten Bedrohungen und Angriffe sind hochkomplex
Ob Advanced Persistent Threats (APTs), Zero-Day-Exploits oder langfristig geplante Angriffe: Viele Unternehmen scheinen angesichts der neuen Generation von Bedrohungen zu resignieren. Einige Sicherheitsexperten vertreten sogar die Ansicht, dass gegen derartige Angriffsformen kein Kraut gewachsen ist. Sie empfehlen, sich statt der Bedrohungsabwehr auf die Incident Response zu konzentrieren.

Auch wenn manche Angriffe zweifellos nur schwer gestoppt werden können, sind Sicherheitsvorfälle nur selten wirklich komplex. Meist stolpert der Angreifer mehr oder weniger zufällig über eine offene Lücke – und packt kurzerhand die Gelegenheit beim Schopf. Es ist statistisch belegt, dass auf jeden unentdeckten Zero-Day-Angriff mindestens 80 Angriffe und Sicherheitsverletzungen kommen, die eine bekannte Schwachstelle ausnutzen oder über einen gängigen Angriffsvektor erfolgen. Die meisten davon ließen sich durch simple und unmittelbare Kontrollmaßnahmen stoppen. Selbst bei hochentwickelten Advanced Threats wird der Schadcode in der Regel über relativ einfach zu kontrollierende Angriffsvektoren eingeschleust. Die meisten Advanced Persistent Threats greifen auf Spear Phishing oder andere Social Engineering-Taktiken zurück, um in Unternehmensnetzwerke einzudringen. Erst nachdem mithilfe dieser relativ simplen Techniken ein Schlupfloch geöffnet wurde kommen APTs zum Einsatz, um sich umfangreichen Zugriff zu verschaffen. Aktuelle Beispiele dafür gibt es viele: Selbst berüchtigte Malware, wie der Wurm Stuxnet, wurde mithilfe eines einfachen USB-Sticks eingeschleust. Das Infiltrieren eines Systems über die USB-Schnittstelle kann kaum als neu oder besonders ausgeklügelt bezeichnet werden. Gerüchten zufolge fiel auch das US-Verteidigungsministerium vor Jahren einem USB-Angriff zum Opfer, der Regierungsrechner mit Malware infizierte.

Die Lektion aus diesem Mythos ist, Cyber-Kriminellen keine einfache Angriffsfläche zu bieten. Die meisten Sicherheitsverletzungen sind nicht die Folge neuer, höchst komplexer Angriffstaktiken. Häufig identifizieren Angreifer einen leicht zu manipulierenden Angriffspunkt – etwa eine fehlerhafte Konfiguration oder ein nicht gepatchtes System – über den anschließend Schadcode eingeschleust und eine Ausbreitung im Netzwerk ermöglicht wird. Wer resigniert und sich einredet, angesichts höchst komplexer Angriffstaktiken ohnehin machtlos zu sein, bleibt nicht wachsam – und versäumt es unter Umständen, seine IT mit Best Practices zu schützen. Dabei kann das Gros der Angriffsversuche mithilfe grundlegender bis fortgeschrittener Sicherheitsmaßnahmen relativ einfach abgewehrt werden.