Was gegen Cybersecurity-Mythen hilft
Genau wie es bei Innovationen und Veränderungen nötig ist, braucht es auch bei Themen in der Digitalisierung wie Cloud oder Security neues Wissen. Damit verbunden ist das Ablegen und Verlernen von falschem, gefährlichem Halbwissen und alten, fehlgeleiteten Paradigmen.
Menschen neigen leider dazu, Informationen und Empfehlungen, die ihren bisherigen Annahmen widersprechen, von vornherein skeptisch abzuwerten oder gar kompromisslos abzulehnen. Damit ist es vonnöten, in vielen Projekten rund um Innovation, Transformation, Digitalisierung oder auch schon nur bei Optimierungs- oder Effizienzsteigerungsmassnahmen, diesem sogenannten Confirmation Bias entgegenzuwirken. Die Confirmation Bias ist ein Konzept aus der Kognitionspsychologie, das beschreibt, wie wir Informationen so auswählen, dass sie unsere Erwartungen, Gewohnheiten oder unser bisheriges Wissen bestätigen oder erfüllen.
Die rasanten Technologiesprünge (und auch unsere Aus- und Weiterbildung) waren immer verbunden mit einem massiven, additiven Informations- und Wissenszuwachs. Das substrahierende Verlernen zugunsten der Aneignung von neuem Wissen, um auf dem aktuellen Stand der Technik zu bleiben, wird immer unumgänglicher, weil nur schon die "Halbwertszeit des Wissens" immer kürzer wird. Dieses rasche, nötige Platzmachen für Neues und Innovation kann matchentscheidend sein in der angespannten Wettbewerbssituation oder der dynamischen Bedrohungslage durch Cybercrime. Dies trifft ganz speziell auch auf Fachthemen rund um die Digitalisierung, Informatik und speziell bei Cybersecurity- und Cloud-Themen zu.
Im Folgenden ein paar Beispiele typischer Aussagen zu Mythen und Paradigmen, die hinterfragt werden sollten, um Neues lernen und akzeptieren zu können. Die möglichen Antworten darauf können beim "Verlernen" helfen.
"Hacker haben doch gar kein Interesse an unserem KMU beziehungsweise an unseren Daten"
Das kann sein, jedoch gibt es viele Privatpersonen oder Firmen, die schon erpresst wurden. Ihre Firmendaten wurden mittels Ransomware/Cryptotrojaner verschlüsselt und lassen sich nicht wiederherstellen; vermeintliche Geheimnisse wurden aufgrund von unsicheren Zugangsdaten oder geknackten Kennwörtern gestohlen.
Der nachgelagert mögliche Reputationsschaden gilt mitunter als eines der wachsenden Risiken bei Unternehmen, die sich gegen Cybersecurity-Angriffe zunehmend schützen müssen. Dabei helfen spezialisierte Servicesanbieter oder auch Versicherungen. Es geht beim Cybercrime um einen riesigen globalen Wirtschaftsfaktor mit rund
100 bis 200 Milliarden Dollar steuerfreien Jahresumsatz und entsprechend unerschöpflichen Ressourcen auf der "dunklen Seite der Macht". Hier spielt auch die Dual-Use-Problematik bei hochentwickelten Technologien wie künstliche Intelligenz, Big Data, Machine Learning, Internet der Dinge oder 5G eine Rolle, die missbraucht werden können.
"Ein möglichst komplexes Kennwort reicht für jeden Mitarbeiter aus"
Es gibt immer wieder neue und anders lautende Best Practices rund um sichere Kennwörter und deren Anforderungen. Früher waren es möglichst lange und hochkomplexe Kennwörter, die dann aber genau darum irgendwo unsicher abgelegt, unverschlüsselt gespeichert oder auffindbar aufgeschrieben wurden. Dann kamen Methoden wie Multi-Faktor-Authentifizierung beziehungsweise Zwei-Faktor-Authentifizierung, die mittels eines zweiten, temporär gültigen Erkennungsmerkmals/One Time Token die Zugangs- und Kennwortsicherheit erhöhten (etwa beim E-Banking). Der beste Weg ist, wie ein Hacker zu denken. Durch das Verständnis aller Möglichkeiten, Passwörter zu knacken und Zugang zu Daten zu erhalten, ist die Chance grösser, eine effektive und auch jederzeit der dynamischen Bedrohungslage anpassbare Passwortstrategie zu entwickeln.
"Biometrische Passwörter wie Fingerabdruck-, Iris- oder Gesicht-Scan sind sicherer als Textpasswörter"
Schon jetzt lassen sich Smartphones per Fingerabdruck, mit der Iris oder gleich dem ganzen Gesicht entsperren. Andere Ideen zur Identifikation reichen vom Herzschlag über Venenerkennung bis zum Lächeln und Augenzwinkern. Allerdings ist die Stärke – die Einzigartigkeit – von biometrischen Passwörtern gleichzeitig ihre Schwäche. Wenn ein Zeichenfolgen-Passwort samt Smartphone gestohlen wird, können Nutzer das Passwort einfach ändern, sperren oder vergessen lassen. Aber wie soll man einen Fingerabdruck, eine Iris oder ein Gesicht ändern, wenn Kriminelle dieses Merkmal "erbeutet" haben und/oder bei unsicheren Scannern oder ungeschützten, mit Sicherheitslücken betriebenen Plattformen mit Fälschungen noch erfolgreich Zugang erhalten?
"Alles, was in der Cloud beziehungsweise nicht im Haus oder auf einem lokalen Datenträger ist, ist unsicher und nicht unter Kontrolle"
Mittlerweile bietet eine gut orchestrierte (Hybrid) Cloud viele Möglichkeiten und auch nachweisbare Vorteile gegenüber einer reinen Inhouse-/On-Prem-ICT-Lösung. Nur schon die zusätzliche verschlüsselte, standort- und geräteunabhängige Sicherung in der Cloud ist eine akzeptierte Mindestanforderung. Auch kann die Auslagerung in eine und die Kombination von (Hybrid) Cloud und Managed Services die Gesamtsicherheit im Rahmen des Risikomanagements massiv verbessern. Das Rückerlangen der Kontrolle über alle ICT-Infrastrukturen und -Prozesse (take back control) und das Reduzieren der Schatten-IT kann mit passenden Hybrid-Cloud-Lösungen und der entsprechenden Mitverantwortung durch die Vertragspartner optimiert werden.
"Nur lokale Speicher und lokale Lösungen sind sicher"
Entscheider sollten im Zusammenhang mit Datenspeicherung/-verarbeitung eines immer beachten: Das Absichern und Betreiben von ICT-Infrastrukturen ist mehr als ein Vollzeitjob. Fehlt es an Zeit oder Wissen, kommt es zu Lücken. So dauert es oftmals mehrere Monate, bis ein vom Anbieter bereitgestelltes Update zur Verfügung steht und installiert werden kann oder Sicherheitslücken in Unternehmen erkannt werden. Kriminelle benötigen aber nur wenige Minuten der Schutzlosigkeit und Unachtsamkeit, um unkontrolliert oder unbemerkt ins Netzwerk einzudringen. Ist es von daher nicht einleuchtend, einem professionellen Partner das Absichern oder gar Betreiben zu überlassen und mit den lokalen ICT-Wissensträgern und der ICT-Abteilung zusammenzuarbeiten in einer dann besser geteilten Verantwortung?
"Entweder alles in die Cloud oder nichts"
Entweder Cloud oder lokal. Viele Anwender glauben, dass sie entweder alle Anwendungen in die Cloud verlagern oder weiterhin mit vollständig lokal betriebenen Servern arbeiten müssen. De facto bestimmen sie aber selbst, wann sie welchen Dienst wo betreiben. Niemand muss über Nacht alles in die Cloud migrieren. Der derzeit gängigste Weg ist der Parallelbetrieb von lokalen und Cloud-Diensten in Form einer hybriden Lösung (Hybrid Cloud). So lagern viele Unternehmen etwa ihren E-Mail-Server in Form eines Hosted-Exchange-Angebots in die Cloud aus, betreiben aber Datenbank- und Fileserver noch weiterhin lokal. Das Tempo der Migration bestimmt jede Firma und mitgestaltend/mitinvolviert auch jeder Anwender dabei selbst.
Hält man sich all dies vor Augen, hilft das vielleicht, den "Reset-Knopf" zu drücken und dem sogenannten "Confirmation Bias" entgegenzuwirken. Angefangen mit der Nutzung unterschiedlich langer Passwörter über die Trennung von Passwörtern im privaten und geschäftlichen Kontext bis hin zur Aufbewahrung und Verwaltung dieser neuen, komplexeren Kennwörter mittels eines Passwortmanagers, anstelle Notizzettel oder ungeschützte Ablagen zu verwenden.