Mythen gibt es nicht nur in der griechischen oder germanischen Sagenwelt, auch in der IT-Sicherheit halten sich einige Mythen sehr hartnäckig. In der siebten Folge unseres Tekkie Tables habe ich mit Tim Berghoff und Ralf Benzmüller genau darüber gesprochen. Sieben Mythen haben wir einer kritischen Prüfung unterzogen.
Mythos 1: Antiviren-Software schadet mehr als es nützt.
Tim Berghoff: Die Situation erinnert mich an den Sicherheitsgurt im Auto. Hierauf will heute ja auch keiner mehr verzichten, auch wenn es durch den Gurt in sehr seltenen Fällen zu Verletzungen kommen kann. Aus meiner Sicht gibt es aber auch für Angreifer deutlich attraktivere Angriffspunkte, wie etwa das Betriebssystem. Diese sind schließlich deutlich verbreiteter als die verschiedenen AV-Produkte.
Ralf Benzmüller: Fakt ist, dass mit jeder Software, die ich auf einem Rechner installiere, die Angriffsfläche größer wird. Warum aber ausgerechnet das Produkt ein Problem darstellen soll, dass den Rechner schützt, ist für mich nicht nachvollziehbar. Die Erfahrungen der letzten Jahre zeigen, dass Angreifer insbesondere Lücken in den Betriebssystemen ausnutzen. Denn diese Software kann sich nicht selbst schützen.
Mythos 2: Ihr schreibt eure Viren doch selbst.
Ralf Benzmüller: Wenn wir uns mal das gesamte Ökosystem dahinter anschauen - also, wer damit Geld verdient , welche Staaten Cyber-Spionage nutzen und wie die Geldflüsse laufen - dann wird klar, dass wir auf der guten Seite stehen.
Tim Berghoff: Wenn dem wirklich so wäre, dass ein AV-Hersteller seine Viren selbst schreibt, dann braucht es eine extrem gute OpSec (Operations Security bezeichnet im IT-Umfeld die Summe von Prozessen und Strategien zum Schutz kritischer Daten). Denn ich halte es für sehr unwahrscheinlich, dass Firmen das über einen sehr langen Zeitraum geheim halten können. Zumal jede Schadsoftware in den Metadaten Hinweise enthält und wir daraus Rückschlüsse ziehen können, wer sie entwickelt hat.
Mythos 3: Ich brauche keine Security Software. Ich benutze Apple.
Tim Berghoff: Entscheidend ist, wie verbreitet eine bestimmte Plattform ist. Man muss nur vergleichen, wie viele Systeme iOS nutzen und auf wie vielen Geräten Windows installiert ist oder Android auf mobilen Geräten. Und das System, dass am weitesten verbreitet ist, ist natürlich auch für Cyberkriminelle am attraktivsten. Hier ist einfach mehr Profit zu machen.
Ralf Benzmüller: Diese Diskussionen führen wir ja bereits seit 30 Jahren. Gerade in den letzten zehn Jahren hat aber Windows insbesondere beim Thema Sicherheit aufgeholt. Es gibt schon Experten, die Windows für sicherer als Apple halten.
Mythos 4: Hacker interessieren sich nicht für kleine und mittelständische Unternehmen.
Tim Berghoff: Tatsache ist, dass aus dem Mittelstand viele technische Innovationen kommen. Und wer mit diesen Innovationen Geld verdient, erregt natürlich das Interesse auch von Cyberkriminellen. Außerdem ist die Wahrnehmung stark verzerrt. Denn kein Unternehmen gibt gerne zu, dass es einer Cyberattacke zum Opfer gefallen ist. Anstelle offen darüber zu sprechen, hüllen sich die Firmen lieber in Schweigen.
Ralf Benzmüller: Für Ransomware-Attacken sind KMUs gerade ideale Ziele. Denn die Zahl der Mitarbeiter, die sich um die IT-Sicherheit kümmert, ist meist sehr klein. Und auch das Budget ist begrenzt. Daher haben Angreifer eine viel größere Chance, eine bestehende Lücke auszunutzen. Aus meiner Sicht lautet die Frage daher nicht, ob man gehackt wird, sondern vielmehr wann.
Mythos 5: Ich muss nichts verschlüsseln. Ich habe nichts zu verbergen.
Tim Berghoff: Ganz ehrlich, jeder Mensch hat doch irgendwas zu verbergen – vor seinen Eltern, vor seinen Kindern oder vor seinem Partner. Dazu gehören auch Passwörter oder Finanzdaten. Daher kann ich die Argumentation nicht gelten lassen.
Ralf Benzmüller: Verschlüsselung ist und bleibt ein elementarer Bestandteil der IT-Sicherheit. Sonst könnten wir etwa keine Bankgeschäfte über das Internet abwickeln. Wichtig ist aber, dass die Verschlüsselung möglichst einfach ist und idealerweise automatisch im Hintergrund passiert.
Mythos 6: Ich habe nichts Wichtiges auf meinem Rechner. Deshalb ist mein Computer kein Angriffsziel.
Tim Berghoff: Ich frage mich, wer beurteilt, was wichtig ist und was nicht. Außenstehende schätzen den Wert von Daten oft anders ein. Aus der Sicht von Kriminellen können insbesondere Unternehmensdaten ein lohnendes Ziel sein.
Ralf Benzmüller: Unabhängig von dieser Frage sind Rechner an sich ja schon ein lohnendes Ziel. Ganze Geschäftsmodelle wie etwas Cryptomining bauen darauf auf und nutzen die Rechnerkapazitäten aus.
Mythos 7: Ich öffne nur Mails von Freunden und Bekannten, deshalb kann mir nichts passieren.
Ralf Benzmüller: Das hat eigentlich noch nie funktioniert. Das haben ja schon die ersten E-Mail-Würmer gezeigt. Ein aktuelles Beispiel liefert uns Emotet. Während der Attacke lesen die Angreifer die E-Mail-Kommunikation mit und nehmen direkt auf eine aktuelle Mail Bezug. Bei gezielten Angriffen gehören gefälschte E-Mails zu den bevorzugten Werkzeugen der Kriminellen.
Tim Berghoff: Das ist für Nutzer natürlich schwer zu durchschauen. Der Mail-Header lässt sich so manipulieren, dass die Nachricht auf den ersten Blick den Eindruck erweckt, sie würde von einer ganz bestimmten Person kommen. Sie sehen täuschend echt aus, stammen aber in Wahrheit von den Angreifern.
Kennt ihr noch weitere Mythen der IT-Sicherheit? Dann schreibt uns eine Mail an presse@gdata.de. Wir sammeln die Vorschläge und sprechen in einer der nächsten Tekkie-Table-Folgen darüber.
Stefan Karpenstein
Public Relations Manager
