Mythen rund um das Thema Cybersecurity
Cybersecurity? Das betrifft doch nur die IT-Abteilung!
Die IT-Abteilung sorgt zwar in der Regel als Hauptverantwortlicher für die Umsetzung entsprechender Schutzmaßnahmen und Lösungen sowie für die regelmäßige Überprüfung von Richtlinien, alle anderen Mitarbeitenden sind allerdings ebenso wichtig für die Wahrung eines stetigen Sicherheitsniveaus. Nur wenn alle Personen gleichermaßen gut geschult sind, wie sie z. B. betrügerische E-Mails erkennen oder wie sie mit Hyperlinks umzugehen haben, lassen sich unnötige Sicherheitsvorfälle vermeiden.
Mein Unternehmen soll gefährdet sein? Das ist doch gar nicht interessant genug für potenzielle Angreifer.
Einige Branchen sind für Angreifer:innen scheinbar interessanter als andere und werden deshalb auch häufiger Opfer von Cyberangriffen. Im Grunde speichert aber jedes Unternehmen in irgendeiner Art und Weise sensible Daten – egal ob es sich dabei um Adressen, Patientendaten oder Kreditkartennummern handelt. Hacker:innen muss es bei einem Angriff nicht zwingend immer nur darum gehen, die erbeuteten Daten gewinnbringend im Darknet zu verkaufen. Ebenso gut könnte ein persönlich motivierter Racheakt eines ehemaligen Mitarbeitenden oder ein Angriff des Konkurrenzunternehmens die Geschäftsprozesse lahmlegen.
Cyberkriminelle interessieren sich für KMU? Die großen Unternehmen lohnen sich doch viel mehr.
So wie einige Unternehmer glauben, dass sie wegen ihrer Branchenzugehörigkeit nicht gefährdet sind, gehen andere wiederum fälschlicherweise davon aus, dass das Unternehmen durch seine geringe Größe nicht relevant sein könnten. Klein- und mittelständische Unternehmen können allerdings zu einem leichten Ziel für Hacker:innen werden, da sie häufig aus einem Mangel an Ressourcen nicht über die fortschrittlichsten Security-Lösungen verfügen oder ihnen schlichtweg ein qualifizierter IT-Sicherheitsexperte fehlt. Selbst wenn sie bei einem Massenangriff also nur zufällig ins Visier der Cyberkriminellen geraten und nicht gezielt attackiert werden, geben sie gerade deshalb ein einfaches, oft auch lohnenswertes Ziel ab.
Mein Schutz soll nicht ausreichend sein? Aber ich habe doch eine Firewall und Antivirensoftware.
Beide Arten der Abwehrmaßnahmen sind wichtig, bilden jedoch nur einen Teil eines umfassenden Sicherheitskonzeptes. Potenzielle Gefahren werden durch einfachere Software häufig nur mit bereits bekannten Gefahren abgeglichen. Vor allem dann, wenn die Mitarbeitenden nicht ausreichend sensibilisiert wurden, besteht weiterhin das Risiko, das neuartige Schadsoftware unerkannt ins Firmennetzwerk gelangen könnte.
Viel hilft viel!
Wichtig ist nicht unbedingt, wie viele Sicherheitsmaßnahmen Sie in Ihrem Unternehmen einsetzen, sondern dass diese auch zu Ihren individuellen Anforderungen und der Risikolage Ihres Unternehmens passen. Mehr ist beim Thema Schutz nicht automatisch auch immer besser, da es ein insgesamt stimmiges Konzept sein muss
Wenn bei mir Hacker:innen angreifen würde, würde ich das sofort merken.
Das wäre wünschenswert, im Durchschnitt dauert es jedoch 200 Tage, bis ein Hackerangriff überhaupt bemerkt wird – häufig auch nur durch Zufall. Gerade deshalb ist es umso wichtiger, ein kontinuierliches Monitoring zu haben und auch die Mitarbeitenden für den potenziellen Ernstfall zu schulen. Denn je länger Hacker:innen unbemerkt auf Ihre Systeme zugreifen können, desto größer ist letzten Endes auch der angerichtete Schaden.
Ich bin zu 100 % geschützt, da ich ein Sicherheitskonzept habe.
Leider reicht es nicht, nur ein Sicherheitskonzept zu haben. Unternehmensdaten sind jederzeit in Gefahr, da neue Malware- und Angriffsmethoden schneller entwickelt werden, als dass sie bekannt werden. Cybersicherheit ist keine einmalige Angelegenheit oder etwas, dass man wie eine Inventur nur einmal im Jahr betrachtet. Es sollte ein kontinuierlicher Prozess sein, der überwacht, getestet und gepflegt wird – und bei dem alle Mitarbeitenden beteiligt werden.