profile

Michael Mayer

Was du über Security Breaches wissen musst

Published about 1 month ago • 2 min read

Die Leute betrachten Security Breaches viel zu kompliziert.

Hier ist was du wissen musst (ignorier den Rest einfach).

Mythen & Fehler

Als erstes solltest du dich von diesen falschen Vorstellungen lösen:

  • "Wir sind zu klein, um ein Ziel zu sein"
    Die meisten KMUs haben nicht die nötigen Sicherheitsvorkehrungen, um sich angemessen schützen zu können.
  • "Wir haben Security Lösung xyz"
    Tools allein schaffen keine Sicherheit, sie unterstützen nur deine Prozesse. Verlass dich also nicht darauf. Die Software kann Ransomware vielleicht verhindern, aber sie kann die Mitarbeiter weiterhin nicht davon abhalten, auf 100 unsichere Links zu klicken.
  • "Wir haben nur sichere Cloud-Dienste"
    Das kann schon sein, aber letztlich bist du als Nutzer trotzdem dafür verantwortlich, wie du den Dienst konfigurierst. Ein unsicherer Admin-Account ist auch in der Cloud ein potenzielles Einfallstor.
  • "Gleich nachdem wir den Breach erkennen, machen wir 123"
    Die meisten Security-Vorfälle bleiben für eine ziemlich lange Zeit unerkannt. Im Schnitt sind es sogar mehr als 200 Tage.
  • "Wir geben den Vorfall einfach unserer Cyber-Versicherung"
    Es ist leider nicht so, dass alle Kosten gedeckt werden. Wenn ein Sicherheitsvorfall passiert, hat das oft auch Produktionsausfälle und Imageschäden zur Folge.

Nach dem Breach ist alles anders

Hier sind 3 wichtige Faktoren, die du bedenken solltest.

Vor dem Breach …

  • … musst du nur den CIO beglücken.
  • … konzentrierst du dich nur auf das veraltete IR-Notfalldokument.
  • … hat jeder viele gute Ideen.

Nach dem Breach …

  • … kommen die Personalabteilung, die Rechtsabteilung, die Risikoabteilung und Business Operations dazu. Alle sogar noch vor der IT. Das bedeutet dann auch oft höhere Kosten, weil du unsichere Geschäftsprozesse mit neuen IT-Systemen absichern musst.
  • … wirst du den Incident-Response-Prozess in dein Ticket-System integrieren. Die Automatisierung hilft dir wichtige Schritte nicht zu vergessen.
  • … wirst du feststellen, dass die meisten guten Ideen falsch und unbrauchbar sind. Verlass dich also nicht darauf. Nimm stattdessen Tabletop-Übungen. Da kannst du alle möglichen Fehler machen, ohne dass es Konsequenzen gibt. So lernst du schon vieles, bevor du erst einen richtigen Security Incident hast.

Jetzt weißt du, worum es geht. Also, wie kannst du loslegen?

Umsetzbare Tips um nicht unterzugehen

So würde ich anfangen:

  • Arbeite mit dem Business
    "Wenn du ein Stein bist, wird der Strom um dich herum fließen."
  • Setze keine Technologie ohne geschäftlichen Kontext ein
    Ich kann dir nur davon abraten, Technik im Netzwerk einzusetzen, ohne dass es dafür einen geschäftlichen Use-Case gibt. Das kann nur Nachteile haben.
  • Lass dein "Security Programm", von externen Experten überprüfen
    Die Security muss keine Risiken akzeptieren. Du musst sie also nicht selbst tragen. Du kannst Risiken für das Unternehmen einschätzen und bewerten, aber die Entscheidung darüber solltest du dem Management überlassen. Deine Aufgabe ist es, dafür zu sorgen, dass möglichst wenige Risiken auftreten.
  • Konfrontiere das Management nicht nur mit Problemen
    Bring auch Lösungen mit. Mach eine "Was wäre wenn" Analyse. Zeig auch auf, was passiert, wenn ihr einfach so weitermacht wie bisher.
  • Soziale Kompetenz ist EXTREM wichtig
    Lerne, wie du dich mit den Leuten, die das Risiko akzeptieren müssen, arrangieren kannst. Integration funktioniert. Sich gegen eine Wand voller Prozesse zu stemmen hingegen nicht.
  • Alles dreht sich um Prioritäten und Fokus
    Geht es dir nur darum, die individuelle Security-Lösung zu integrieren, oder möchtest du doch lieber die Sicherheit des ganzen Unternehmens gewährleisten?
  • Mach nicht den Blockwart bei den Risiko-Analysen
    Jeder sollte Einträge hinzufügen dürfen. Versuch lieber zu verstehen, was sich die Leute dabei gedacht haben. Du kennst vermutlich nicht alle Aspekte des Business.

Das wars!

Ignoriere die restlichen Nebengeräusche rund um Security Breaches. Das ist alles, was du wissen musst um es vor, während und nach einem Vorfall besser zu machen.

Michael Mayer, Modecenterstraße 22, Wien, Wien 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

"Wir brauchen jetzt unbedingt einen Pentest." - Ähm, nein… braucht ihr nicht! Wir alle kennen die Momente, in denen jemand etwas sagt, was sich falsch anfühlt. Situationen wie die oben beschriebene, hatte ich schon etliche. Man "meint es ja schließlich nur gut". Es ist leider der gänzlich falsche Ansatz, dass man Anwendungen, Systeme oder Netzwerke baut und im Nachhinein versucht die Security nur oben draufzulegen. Cyber-Sicherheit ist wie Kuchenbacken – Sie muss im Rezept stehen! 🧁 Du kannst...

4 days ago • 3 min read

Damit dein Patch-Management gut läuft, brauchst du nur eine Handvoll Dinge. Ich habe schon bei vielen Kunden als Consultant gearbeitet und dabei festgestellt, dass viele die gleichen Probleme beim Patchen haben. Die Verantwortlichkeiten sind oft sehr breit gestreut – kaum ein Unternehmen geht es wirklich zentralisiert an. Ich dachte, ich schreibe einfach eine Patch-Management Einkaufsliste. Vielleicht hilft sie dir ja, das Thema ganzheitlicher zu betrachten und nichts zu vergessen. #1...

11 days ago • 4 min read

VPN-Anbieter erleben derzeit einen Boom. Sie werben damit, das Internet privat und sicher zu machen, ganz ohne Malware und Überwachung. Verschlüsselung, Anonymität, keine Logs, Malware-Schutz, weltweites Streaming – mit diesen Schlagworten sind VPN-Anbieter in den sozialen Medien allgegenwärtig. Ohne sich über den eigenen Schutz Gedanken gemacht zu haben, fühlt man sich sofort unsicher. Als hätte man etwas verpasst. Warum nutzen so viele Menschen einen VPN-Provider? Sicherheit beim E-Banking...

18 days ago • 6 min read