Kriminelle Hacker warten nur darauf, dass Benutzer Fehler machen. Für sie sind die Millionen Websites und Anwendungen, die wir heutzutage haben, wie Türen, die einladend offen stehen. Und was ist besonders leichte Beute für sie? Unternehmen und Benutzer mit veralteter Software und Ausstattung. Wie wichtig ein gutes Schwachstellenmanagement ist, haben wir in diesem Blog (hier) bereits erklärt. Sie brauchen Überblick über die eigene Technik und müssen sie stets auf dem neuesten Stand halten. Was sollten Sie zum Thema Audit und Modernisierung von Technik wissen? Im vorliegenden Beitrag anlässlich des Cybersecurity Awareness Month gehen wir darauf ein.
Mit einem Audit und der Modernisierung Ihrer Technik stellen Sie sicher, dass die gesamte Software und Hardware in Ihrem Netzwerk auf dem neuesten Stand ist und Ihren Geschäftsbetrieb schützen kann. Ihr Cyberrisiko steigt schließlich nachweislich, wenn Sie Ihre Mitarbeiter mit veralteter Technik arbeiten lassen, ganz gleich, ob sie technisch versiert sind oder nicht. Software und Geräte altern; und alte Technik ist nicht mehr ausreichend sicher. In der physischen Welt schließt in Zeiten von Magnetschlössern und biometrischer Zugangssicherung auch niemand mehr seine Privat- oder Geschäftsräume mit einem einfachen Vorhängeschloss ab. Ihre Kunden und Ihr Geschäft sind das Wertvollste, das Sie haben; beides mit modernster Technik zu schützen, ist also nur sinnvoll.
Aus unserer Sicht sollten Sie hier dreierlei tun: erstens Ihr Cyberrisiko verringern, zweitens technische Schulden abbauen und drittens Ihre Technik vereinheitlichen und nachvollziehbar dokumentieren. Sehen wir uns diese Maßnahmen nacheinander an.
Das Cyberrisiko verringern
Durch die Modernisierung von Technik verringern Sie Ihre Angriffsfläche – das ist der wohl wichtigste Zweck der Maßnahme. Stets aktuelle Software und modernste Tools nutzen, die geschäftliche Resilienz stärken durch eine moderne Cloud- oder Hybrid-Infrastruktur und die eigenen Maßnahmen auf aktuelle Schwachstellen hin überprüfen, um sie schließen zu können: All das wappnet Sie gegen Hackerangriffe. Wenn Sie überblicken, wo es hapert, und verstehen, welche Tricks, Techniken und Abläufe es sind, mit denen Kriminelle Ihre Verteidigung durchbrechen könnten, sind Sie zu einem schnellen Handeln in der Lage und schützen Ihre Kunden, Ihre Daten und Ihr Unternehmen auch gegen neue Bedrohungen erfolgreich.
Technische Schulden abbauen
Technische Schulden sind unvermeidbar. Hardware und Software altern nun einmal; ohne Quick Fixes geht es im echten Leben nie, und Programmiersprachen entwickeln sich immer weiter. Wenn Sie bei technischen Schulden nicht regelmäßig hinterher sind, sind Ineffizienz und steigende Risiken die Folge. Eine Umfrage von Outsystems aus dem Jahr 2021 zeigt, dass Unternehmen 28 % ihres IT-Budgets darauf verwenden, technische Schulden abzubauen; bei großen Unternehmen sind es gar 40 %. Wenn Sie in diesem Punkt planvoll vorgehen, können Sie dadurch bis zu einem gewissen Grad einen „Reset“ in puncto technische Schulden bewirken. Natürlich, die Aktualisierung von Code, das Ersetzen alter Tools und die Einarbeitung in neue kosten Zeit und Geld. Doch langfristig sorgt all das für mehr Effizienz und Sicherheit. Einer Umfrage von Stripe aus dem Jahr 2018 zufolge widmen Ingenieure 33 % ihrer Arbeitszeit dem Abbau von technischen Schulden. Aktuelle Technik entlastet das Zeitkonto Ihres Teams; es kann sich dann besser um die Optimierung von Prozessen und den Ausbau der Sicherheit kümmern.
Technik vereinheitlichen und dokumentieren
Wie wichtig es ist, die technische Bestandsverwaltung im Griff zu haben, haben wir schon öfter betont. Schatten-IT bringt verschiedene Gefahren mit sich. Erstens: Sie können nichts schützen, was Ihnen gar nicht gehört. Und zweitens: Technik, von deren Existenz in Ihrer Infrastruktur Sie nicht den leisesten Schimmer haben, können Sie auch nicht aktualisieren. Ein Audit Ihrer Ressourcen im Rahmen einer Modernisierungsmaßnahme ist eine Gelegenheit, eine „Single Source of Truth“ zu schaffen oder, falls Sie schon ansatzweise Überblick haben, diesen zu vervollständigen. Ein lückenloser Einblick ist spätestens dann wertvoll, wenn wieder eine Zero-Day-Angriffswelle herumgeht, weil Sie dann nämlich genau wissen, welche Patches Sie prioritär einspielen müssen. Ein gut dokumentiertes, zuverlässiges Register zeigt Ihnen, auf welcher Technik Ihr Geschäftsbetrieb beruht, und lässt Sie in der Krise schnell, entschlossen und passgenau handeln. Ein weiteres Plus, das die Aktualisierung Ihres Tech-Stacks bietet: Sie können dabei Ihre Software auf den Prüfstand stellen, was das reibungslose Zusammenspiel angeht, und dadurch die Sicherheit und Effizienz weiter verbessern.
In seinem Threat-Horizons-Bericht vom August 2023 zeigte Google Cloud, dass gut die Hälfte der Vorfälle, mit denen die eigenen Incident-Response-Teams befasst waren, mit kompromittierten Zugangsdaten zu tun hatten. Entsprechend lautete die Empfehlung: das Identitätsmanagement strenger gestalten. Das Audit und die Aktualisierung der eigenen Technik ist für Unternehmen eine Gelegenheit, auch das Zugriffsmanagement zu modernisieren und Zugriffsbedingungen zu erneuern und zu verschärfen. Gefahren durch kompromittierte Zugangsdaten gibt es nach wie vor. Umso besser, wenn Benutzer moderne Tools zur Verfügung haben – zum Beispiel einen Passwort-Manager, in dem sie ihre Zugangsdaten auf sichere Weise erstellen, verwalten und verwahren. Über den sie sensible Daten sicher austauschen können. Der es ihnen leicht macht, ihr Passwortverhalten zu verbessern und ihnen die Möglichkeit gibt, sukzessive auf ein passwortloses Arbeiten umzusteigen.
