RSA Conference 2017

IT-Sicherheit: Expertentipps

Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Wie können sich Unternehmen und Privatnutzer vor Online-Gefahren schützen? Wir haben aktuelle Sicherheitstipps von Security-Experten eingeholt.

Auf der RSA Conference findet man jede Menge Technologie aus allen Bereichen der IT-Sicherheit: Die Top-Anbieter aus der Industrie sind hier vertreten und präsentieren Produkte und Lösungen für den Kampf gegen Hackerangriffe. Doch selbst die beste Security-Software nutzt nichts, wenn User und Unternehmen nicht die richtigen Schritte zum Selbstschutz einleiten. Deswegen haben wir die Gelegenheit genutzt und auf der RSA Conference 2017 einige Expertentipps zur IT-Sicherheit eingeholt.

Die RSA Conference 2017 in San Francisco: Ein Mekka der IT-Sicherheit.
Die RSA Conference 2017 in San Francisco: Ein Mekka der IT-Sicherheit.
Foto: Michael Kan

Dell SecureWorks

Joe Stewart, Director of Malware bei Dell SecureWorks empfiehlt Zwei-Faktor-Authentifizierung. Und zwar für alle Internet-Konten - insbesondere aber für E-Mail-Accounts. Das kann ziemlich hilfreich sein, um Hacker davon abzuhalten, Passwörter von Usern per Malware oder Phishing abzugreifen.

Sogar wenn der Hacker es schafft, die Passwörter zu stehlen, schützt Sie die Zwei-Faktor-Authentifizierung vor so gut wie allen "gewöhnlichen" Angriffsarten. Für Sie bedeutet das, dass für den Zugriff auf Ihren Account neben dem Passwort noch eine zweite Form der Authentifizierung nötig wird - etwa per Fingerabdruck-Scan oder über einen Code, der per SMS aufs Smartphone kommt.

"Diese Vorgehensweise hilft gegen die meisten Online-Betrüger," weiß Stewart: "Das ist so, weil die meisten kriminellen Hacker nicht auf einem wirklich hohen Level agieren, wie es etwa für den Einsatz von Banking-Malware - die eine Zwei-Faktor-Authentifizierung umgehen kann - nötig wäre. So können auch viele Bedrohungen, die in den E-Mail-Postfächern von Unternehmen lauern, eliminiert werden."

CrowdStrike

"Unternehmen müssen sich erst einmal darüber bewusst werden, welche Assets sie eigentlich vor Hackerangriffen schützen möchten, statt einfach blind die neuesten Security-Produkte einzukaufen", meint Mike Sentonas, Vice President of Technology Strategy bei CrowdStrike.

Diese Assets können beispielsweise Personaldaten, geistiges Eigentum oder die Kunden-Datenbank sein. Deswegen rät der Experte: "Identifizieren Sie, welche Daten geschützt werden sollen. Dann sehen Sie sich an, wo die Daten liegen und wer darauf Zugriff hat."

Diese Vorgehensweise führe im Anschluss idealerweise zu Fragen wie ‚Brauchen wir Schulungen?‘ oder ‚Ist zusätzliche Manpower für eine stärkere Infrastruktur nötig?‘. "Es geht nicht immer darum, die neuesten und besten Widgets einzukaufen", weiß Sentonas. "Manchmal führt der Weg dahin, aber das sollte nicht der Startpunkt sein."

Fidelis Cybersecurity

Viele Leute glauben immer noch, dass sie niemals ins Visier krimineller Hacker geraten können. Wie Mike Buratkowski von Fidelis weiß, ist diese Annahme falsch: "Jedermanns Informationen sind wertvoll."

Zwar bestehe kein Grund für Paranoia - allerdings sei gesunde Awareness durchaus angebracht. Denn die Gefahr durch Hackerangriffe sei durchaus real - insbesondere für allzu naive User. Das gelte beispielsweise für Mitarbeiter in Unternehmen, die auf Phishing-E-Mails hereinfallen, weil sie glaubten die Nachricht entstamme einer vertrauenswürdigen Quelle.

"Man kann sich aber nie sicher sein, wer da wirklich am anderen Ende der Leitung sitzt", so Buratkowski.

Veracode

Chris Wysopal, CTO bei Veracode empfiehlt hingegen, sich nicht alleine auf Technologie zu verlassen - egal ob es sich dabei um Software oder Services handelt. "Es gibt keine hundertprozentige Sicherheit. Sie müssen damit rechnen, dass ihre Systeme kompromittiert werden. Deshalb sollten Sie darauf achten, nicht unnötigerweise Daten beispielsweise bei Facebook zu posten - außer Sie wollen diese wirklich mit aller Welt teilen."

Sowohl für Unternehmen, als auch für Privatpersonen sei gesunde Skepsis angebracht, so der Experte. Denn die Sicherheitsrisiken gingen nicht nur von kriminellen Hackern aus, sondern auch von Anbietern, die ihre Produkte nicht im Sinne der ‚due diligence‘ absichern.

"Sorgen Sie dafür, dass sich der Anbieter ihr Vertrauen erarbeitet", rät der CTO daher. "Ein Anbieter sollte Ihnen demonstrieren können, warum Sie ihm vertrauen sollten."

SentinelOne

Jeremiah Grossman von SentinelOne rät Unternehmen dazu, jedes Asset zu inventarisieren. Das helfe dabei, zu bestimmen, welche Ressourcen online verfügbar und eventuell angreifbar sind: "Wenn ein Unternehmen gehackt wird", so Grossman, "dann in der Regel deswegen, weil es Rechner, Router oder Webseiten gibt, von deren Existenz im Netzwerk man gar nichts weiß."

Eine solche Inventarisierung könne bei kleinen und mittleren Unternehmen an einem Tag erledigt werden - ein Fortune-500-Konzern sollte laut dem Experten hingegen mehrere Wochen dafür einplanen. Erledigt werden könne das sowohl über interne Ressourcen, als auch per Outsourcing an ein Beratungsunternehmen.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation pcworld.com.