Für die Sicherheit ist doch nur die IT-Firma verantwortlich

TEIL 3

"Für die Sicherheit ist doch nur die IT-Firma verantwortlich." Also gut, bis zu einem gewissen Grad ist diese Aussage zutreffend. Die IT-Spezialisten setzen sich mit der Webseiten-Sicherheit auseinander, kümmern sich um die Firewall und installieren Antiviren-Software. Aber deswegen ist die IT-Firma lange nicht komplett alleine verantwortlich für die Sicherheit der Website oder des Webshops - so gern das viele Firmenverantwortliche auch immer wieder sagen und sich hinter dieser Floskel verstecken. Das liegt ganz einfach daran, dass nicht nur ein unsicheres Netzwerk oder eine schlechte Firewall die Sicherheit gefährden. Auch jeder Benutzer oder Redakteur, der Kontakt mit den Websystemen hat, kann eine Schwachstelle darstellen. Zumindest wenn diese Leute nicht gut genug informiert und geschult worden sind. Zu dieser Erkenntnis kommt auch eine Studie von Kaspersky Labs.

In dieser Studie wurden etwa 5.000 Firmen aus aller Welt befragt, und Kaspersky fand heraus, dass:

  • in 46% aller Vorfälle mindestens ein Mitarbeiter fahrlässig zum Problem beigetragen hat - häufig durch schlechte Passwörter! Ja, Passwörter pflegen und verändern - das ist offensichtlich immer noch eine Handlung, die so beliebt ist wie Unkraut jäten im Regen. 
  • 53% aller Vorfälle nicht passiert wären, wenn die Mitarbeiter aufmerksamer gewesen wären. (Hier spricht man in Fachkreisen von der "Awareness", also dem Bewusstsein der Mitarbeiter für IT-Sicherheit und Datenschutz. IT-Sicherheitsexperte und -Unternehmer Hans-Jörg Sudhaus weist in seinem digitalen Leitfaden zum Datenschutz explizit auf die Notwendigkeit einer gründlichen "Awareness" hin.) 
  • in 36% aller Fälle bewusst und gezielt Menschen hereingelegt worden sind, um einen Angriff durchzuführen. 

IT-Sicherheit: Passwörter beachten und Mitarbeiter schulen

Zur Vermeidung dieser Probleme sollte man unbedingt zwei Dinge beachten: 

  1. Eine gute Passwort Politik. 
    Mit sogenannten Brute-Force-Attacken testen Angreifer riesige Listen an möglichen Passwörtern an den Anmelde-Systemen aus, um sich einfachen Zugang zu gewähren. Diese Wordlisten enthalten Dinge wie den Namen der Firma oder Passwörter, die generell häufig benutzt werden. Lange Passwörter ohne logischen Bezug auf die Firma mit Groß- und Kleinbuchstaben und Sonderzeichen sind gegen diese Art Angriff gut geschützt. Das regelmäßige Ändern der Passwörter verhindert, dass Passwörter, die eventuell ausgeplaudert oder verloren wurden, lange Schaden anrichten können, und sperren Angreifer, die schon mal eingebrochen sind, wieder aus. Außerdem sollte jeder Account ein eigenes Passwort erhalten, so wären im Falle eines geklauten Passworts nicht direkt alle Accounts betroffen. 
  2. Geschulte Mitarbeiter
    Mitarbeiter, die wissen, worauf sie zu achten haben und mit einem gesunden Misstrauen vorgehen, sind eine große Hilfe, wenn es darum geht, die Systeme zu schützen. Gefälschte Webseiten, die aussehen wie echte Anmeldemasken, Anfragen vom „Support“, dass man sein Passwort auf ein bestimmtes ändern soll, oder „Kollegen“, die das Passwort vergessen haben - all dies sind Maschen, mit denen Leute schon hereingelegt worden sind - und nach wie vor Tag für Tag hereinfallen. Wenn die Mitarbeiter damit umgehen können und sich dessen bewusst sind, ist eine große Gefahr schon aus dem Weg geräumt.