Cybersicherheit: 5 Risiken, die Daten in Gefahr bringen

In der Geschäftswelt liegt ein Hauptproblem dabei auch in der falschen Priorisierung der Unternehmenssicherheit. Viel zu selten wird Datensicherheit in dessen Zentrum gestellt. Zwar wurden die Stellschrauben mit Datenschutzgesetzen wie der EU-DSGVO schon deutlich enger gezogen. Doch viele Unternehmen haben es vorgezogen, nur das Nötigste zu tun. Ihnen ist es nach wie vor nicht gelungen, eine konsequente, auf dem Zero-Trust-Modell basierende Cybersicherheit umzusetzen und die sensiblen Daten von Kunden, Partnern oder auch geistiges Eigentum angemessen abzusichern.

Eine große Bedrohung für den Datenschutz liegt dabei immer noch beim Faktor Mensch. Tatsächlich trägt jeder einzelne Mitarbeiter, Berater und Partner Verantwortung für die Datenintegrität. So sind vor allem das Hereinfallen auf Phishing und eine schlechte Passworthygiene ein beliebter Startpunkt für Cyberattacken mit Ransomware oder Datenexfiltrationen. Folgende fünf Verhaltensweisen bedeuten Risiken für die Cybersicherheit und bedrohen die Integrität sensibler Daten:

Risiko 1: Das Umgehen von Maßnahmen für die Cybersicherheit

Security-Tools sind nicht selten ein zweischneidiges Schwert. So sind sie einerseits essentiell für die Absicherung von Unternehmen vor Cybervorfällen. Können andererseits aber auch ein Zeitfresser und Produktivitätshindernis sein. Einer Studie von Cisco zufolge umgeht jeder zweite Mitarbeitende in Deutschland mindestens einmal pro Woche Sicherheitslösungen des eigenen Unternehmens, weil diese zu komplex und zeitraubend sind. Doch werden Sicherheitsprodukte deaktiviert oder anderweitig umgangen, bedeutet dies für die Unternehmen nicht nur verschwendete Investitionen. Sondern eine unkontrollierte Vergrößerung der Angriffsfläche.

Tipp: Setzen Sie verstärkt auf Aufklärung und machen Sie die Bedeutung von einzelnen Security-Tools für die Unternehmenssicherheit gegenüber der Belegschaft deutlich. Darüber hinaus empfiehlt es sich, routinemäßige Audits durchzuführen, um sicherzustellen, dass kritische Sicherheitstools auch tatsächlich angenommen werden. Zudem sollte schon bei der Auswahl der Produkte die Benutzerfreundlichkeit ein (mit-) entscheidender Faktor sein.

Risiko 2: Das Herunterladen schädlicher Anwendungen

Die Zahl der in Unternehmen genutzten Applikationen ist in den letzten Jahren stark gestiegen. Dahinter steckt meist die Absicht, manuelle Arbeitsabläufe zu reduzieren und die Produktivität zu steigern. Nicht selten werden Anwendungen und Services jedoch ohne die entsprechende Genehmigung heruntergeladen, was eine Reihe von Risiken birgt. So könnten Mitarbeitende beispielsweise Apps downloaden, die Ransomware enthalten, oder sensible Daten auf Diensten von Drittanbietern speichern, was Datenschutzverletzungen nach sich ziehen könnte.

Tipp: Definieren Sie Richtlinien zur Anwendungskontrolle mit entsprechenden Allow- und Deny-Listen, damit Mitarbeitende genehmigte Dienste und Apps kontrolliert anfordern und herunterladen können. Dies sorgt für mehr Transparenz und trägt nachhaltig dazu bei, die Schatten-IT zu reduzieren. Zudem empfiehlt es sich, mit Hilfe einer PAM-Lösung rollenbasierte Zugriffskontrollen (RBAC) durchzusetzen. Diese steuern, was ein Benutzer innerhalb einer Webanwendung anklicken, lesen oder abändern kann. So erhält ein Nutzer beispielsweise Zugriff auf Salesforce, aber der Export von Dateien in der App ist gesperrt.

Risiko 3: Der Zugriff auf Systeme durch ehemalige Mitarbeiter

Verlässt ein Mitarbeitender das Unternehmen oder wird die Zusammenarbeit mit einem Partner beendet, erfordert dies einen sorgfältigen Offboarding-Prozess. Sämtliche Konten und Accounts der Person müssen unmittelbar gelöscht oder deaktiviert werden. Passiert dies nicht, können die Accounts zu riskanten Geisterkonten werden. Und geben Cyberkriminellen und Insider-Angreifern die Möglichkeit, sich in aller Ruhe und ohne Lärm zu erzeugen in einem Unternehmen umzuschauen und Daten unauffällig zu exfiltrieren. Und diese Gefahren sind real, denn wie der SaaS-Datenrisiko-Report von Varonis zeigt, verfügen Unternehmen durchschnittlich über 1.197 inaktive Konten und von 1.322 Gast-Zugängen sind auch nach 90 Tagen Inaktivität noch 56 Prozent nutzbar.

Tipp: Setzen Sie eine Least-Privilege-Strategie durch. Diese stellt sicher, dass Nutzer privilegierte Zugriffe und Cloud-Access grundsätzlich nur bei Bedarf erhalten und zeitlich beschränkt sind. Nutzen Sie zudem eine PAM-Lösung, die privilegierte Konten automatisiert identifiziert und Account-Wildwuchs so eindämmt. Führen Sie vor allem effektive Offboarding-Prozesse ein, die dafür sorgen, dass sensible Berechtigungen zeitnah entzogen werden, wenn Mitarbeitende oder Auftragnehmer das Unternehmen verlassen.

Risiko 4: Die Nutzung von Firmengeräten durch Dritte

Für viele Mitarbeitende mag es keine große Sache sein, wenn sie Familienmitgliedern oder Freunden Zugriff auf ihre geschäftlichen Telefone oder Laptops gewähren, etwa um kurz im Internet zu surfen oder ein Spiel herunterzuladen. Für die Unternehmenssicherheit kann dies aber fatale Folgen haben. Schnell ist es passiert, dass unbedarfte Personen und insbesondere Kinder auf Links klicken oder Inhalte herunterladen, die Malware oder Ransomware enthalten, oder unbeabsichtigt sensible Informationen preisgeben.

Tipp: Ziehen Sie eine scharfe Grenze zwischen Arbeits- und Familienleben und machen sie der Belegschaft klar, dass eine Null-Toleranz-Richtlinie für die fremde Nutzung unternehmenseigener Hardware gilt.

Risiko 5: Cybersicherheit: Versäumte Software-Aktualisierungen

Software-Updates stehen auf unserer Prioritäten-Liste in der Regel nicht sehr weit oben. Denn sie kosten Zeit und Nerven und ihr Einspielen erfolgt oft im falschen Moment. Oft gehen Mitarbeitende auch davon aus, dass die IT-Abteilung die Software automatisch aktualisiert oder dass sie diesen Prozess überwacht. Hin und wieder ist es erforderlich, Programme manuell zu aktualisieren, was Mitarbeiter dann gerne übersehen oder ignorieren. Dies ist umso gefährlicher, als laut dem Verizon Data Breach Investigations Report 2022 vernachlässigte Software-Updates einer der wichtigsten Angriffsvektoren für Cyberkriminelle sind, um sich Zugang zu Computern oder Netzwerken zu verschaffen.

Tipp: Machen Sie Software-Aktualisierungen obligatorisch und legen Sie die Verantwortung für Softwareaktualisierungen in die Hände der Administratoren. Diese müssen sicherstellen, dass die gesamte Belegschaft stets die neuesten und sichersten Versionen verwenden, und wochen- oder sogar monatelange Verzögerungen nicht mehr an der Tagesordnung sind

Eine effektive Unternehmenssicherheit und damit ein gelungener Datenschutz liegt im Einklang von Cybersicherheit und Produktivität. Die Kunst, die CISOs und IT-Teams vollbringen müssen, besteht also darin, Bedrohungen von außen und Fehlverhalten im Innern zu minimieren. Und gleichzeitig den Mitarbeitenden nahtlos Zugang zu den Systemen und Tools zu ermöglichen, die sie benötigen, wenn sie sie benötigen. Dazu sind moderne Sicherheitslösungen vonnöten, die Security soweit es geht automatisieren und vor allem unsichtbar, d.h. hinter den Kulissen, umsetzen.

Über den Autor: Andreas Müller ist Vice President DACH bei Delinea. Das Unternehmen bietet Lösungen für Privileged Access Management, die eine nahtlose Sicherheit für moderne, hybride Unternehmen ermöglichen. Damit sind Anwender in die Lage, kritische Daten, Geräte, Codes und Cloud-Infrastrukturen zu sichern. Mit dem Ziel, Risiken zu reduzieren, Compliance zu gewährleisten und die Sicherheit zu vereinfachen. (sg)

Lesen Sie auch: Cybersicherheit – eine Achterbahnfahrt im Jahr 2022

Aufmacherbild: RoBird – Adobe Stock