Eine Trennung muss nicht immer wehtun!

Blog Cybersicherheit
Pic Source: dokumol via Pixabay

„Never change a winning team“. So lautet das Sprichwort. Dass diese Einstellung nicht immer von Vorteil ist, zeigen Cybervorfälle, die aufgrund veralteter Technologien und ungepatchter Anwendungen erfolgen. Umfragen zeigen nun, dass insbesondere die Modernisierung von IT-Infrastrukturen ganz oben auf der Prioritätenliste von IT-Expertenteams steht.

Wer regelmäßig unsere Blogbeiträge liest, weiß, dass es ein paar Dinge gibt, die wir immer wieder predigen und unseren Kundinnen und Kunden bei jeder Gelegenheit dringend empfehlen. Dazu gehören:

  1. Nutzen Sie ausschließlich einzigartige Passwörter für Ihre Anwendungen
  2. Legen Sie regelmäßig Backups an – am besten unter der Berücksichtigung der 3-2-1- Strategie
  3. Patchen Sie Ihre Systeme sobald ein Update zur Verfügung steht

Ein weiterer Aspekt, der insbesondere mit dem letzten Punkt eng zusammenhängt, ist, dass die Unternehmen auch ihre IT-Infrastruktur auf Aktualität überprüfen und gegebenenfalls modernisieren müssen.

Eine Umfrage des Unternehmens Ninjaone aus dem Jahr 2021 zeigt, dass die Unternehmen vor allem in diesem Punkt noch viel Nachholbedarf haben. Befragt wurden weltweit 1.000 IT-Verantwortliche,  200 dieser Befragten arbeiten in deutschen Unternehmen. Die Studie ergab unter anderem, dass insbesondere die IT-Modernisierung einen hohen Stellenwert hat. Wie wichtig dies ist, zeigt die Tatsache, dass etwa jeder Fünfte der Befragten angab, dass die von ihm eingesetzte Soft- und Hardware älter als 10 Jahre ist. Weitaus gravierender ist, dass fast die Hälfte (48 %) angab, in ihrem Unternehmen bereits einen Cybersicherheitsvorfall verzeichnet zu haben, der auf unsichere Altsysteme zurückzuführen war.

Das Problem veralteter Systeme und veralteter IT-Infrastrukturen entsteht nicht von heute auf morgen, sondern kann ein schleichender Prozess sein. Und es gibt viele Gründe, warum dies geschehen kann. Zum einen entwickeln sich die Unternehmen und wachsen. Auch die IT eines Unternehmens wächst – und das nicht immer auf eine gesunde Art und Weise. Alte Systeme werden erweitert, um neue Anforderungen zu erfüllen. Ob das System die neuen Erweiterungen auf Dauer unterstützen und bewältigen kann, wird mitunter vernachlässigt. Zudem kann es vorkommen, dass verantwortliche Personen das Unternehmen verlassen – und ihr Know-how mitnehmen. Fehlende oder unvollständige Dokumentation verkompliziert das Problem. Ein weiterer Grund kann sein, dass man sich scheut, Prozesse anzupassen oder zu erweitern, um nicht Gefahr zu laufen, das funktionierende System durch eine Veränderung – und damit auch durch eine vielleicht notwendige Modernisierung – zu zerstören. Doch auf Dauer kann das Festhalten an alten Systemen zu Ausfällen und Abstürzen führen.

Warum veraltete IT-Infrastrukturen eine Gefahr für Unternehmen sein können, zeigen die folgenden Beispiele:

Veraltete Software 

Ein gutes Beispiel für eine veraltete Software ist Windows 7. Das Betriebssystem erhielt sein letztes Sicherheitsupdate am 14. Januar 2020. Danach wurde der Sicherheits-Support nach 10 Jahren eingestellt. Im Dezember 2021 – und damit zwei Jahre nach dem letzten Sicherheitsupdate – nutzten noch 15 Prozent aller Computer Windows 7. Firmenkunden erhielten weiterhin wichtige Sicherheitspatches – allerdings nur noch gegen Bezahlung.

Die Risiken veralteter Software liegen in ungepatchten Sicherheitslücken. Im Idealfall stellen die Hersteller bei Bekanntwerden einer Schwachstelle Software Patches zur Verfügung, mit denen die Lücke geschlossen und das Problem behoben werden kann. Findet dieser Sicherheits-Support – wie im Fall des Windows 7 Betriebssystems – nicht mehr ohne weiteres statt, wird kein Patch im Notfall bereitgestellt und es können demnach auch keine Updates eingespielt werden, um die Lücke zu schließen. Das ist problematisch, denn Angreifer suchen aktiv nach diesen Sicherheitslücken, um diese nach Belieben auszunutzen und sich Zugang zu Systemen zu verschaffen.

Veraltete Hardware

Der Mensch ist ein Gewohnheitstier. Das gilt auch für die IT.  Es fällt schwer, sich von seinen Lieblingsgeräten oder vertrauten Routinen zu trennen. Vor allem Computeranwender halten an alter Hardware fest, weil sie mit deren Bedienung vertraut sind. Zudem sind alle Anwendungen auf dem Gerät installiert und gespeichert, oftmals sind auch alle wichtigen Daten dort abgelegt. Eine komplette Neuinstallation erscheint vielen zu zeitaufwändig und mühsam.

Der Austausch und Ersatz veralteter Geräte kann zudem einen massiven Einschnitt in das ohnehin oft sehr knappe Budget bedeuten. Gibt es dann noch Kompatibilitätsprobleme zwischen den vorhandenen Programmen und Anwendungen und den neuen Geräten, erscheint der Austausch der Hardware noch weniger lohnend.

Aber auch bei der Hardware kann das Festhalten an veralteten Geräten (siehe Legacy-Systeme) erhebliche negative Folgen für das Unternehmen haben. Es kann zu Produktionsausfällen kommen, weil die Geräte zu langsam sind, nicht effektiv arbeiten, Anzeichen von Störungen aufweisen oder einfach die Installation und Verwendung bestimmter Software nicht zulassen. Wenn man dann zu lange an unzuverlässiger Hardware festhält, ist es schwierig, einen Systemausfall früher oder später zu verhindern. Im schlimmsten Fall kann dies zu irreparablen Schäden führen, die mit dem unwiderruflichen Verlust von Daten enden.

Darüber hinaus besteht auch hier die Gefahr, dass Cyberkriminelle veraltete Hardware als Einfallstor für ihre Angriffe nutzen.

Kurzum, sowohl Software als auch Hardware sollte regelmäßig überprüft werden, um sicherzustellen, dass sie auf dem neuesten Stand ist. Die Modernisierung der IT-Infrastruktur darf in der heutigen Zeit nicht vernachlässigt werden.

Wichtig: Auch Hardware muss geupdatet werden. Als Beispiel ist die Fritzbox zu nennen. Auch hier müssen regelmäßig Updates eingespielt werden, sonst können ebenfalls entstandene Lücken von Angreifern ausgenutzt werden. Ähnlich wie bei alter Software kann es vorkommen, dass auch veraltete Hardware nicht weiter unterstützt wird und keinen Support mehr erhält.

Die richtige Umgang mit Software-Aktualisierungen

Bei der Aktualisierung oder sogar Neuinstallation von Software sind mehrere Aspekte zu berücksichtigen.

Wenn Sie darüber informiert werden, dass eine Anwendung oder ein Programm auf Ihrem Computer eine Aktualisierung benötigt, führen Sie diese sofort durch. Falls Sie nicht über die entsprechende Berechtigung zur Durchführung der Updates verfügen, wenden Sie sich an Ihren IT-Beauftragten. Er kann die Aktualisierung für Sie durchführen oder Ihnen die Rechte für diese Aufgabe übertragen.

Wichtig ist auch, dass Sie sicherstellen, dass Ihr Gerät die neue Version der Software unterstützt. Dies sollten Sie mit dem Software-Anbieter abklären. Wenn die Software auf Ihrem Gerät nicht ausgeführt werden kann, sollten Sie darüber nachdenken, die Hardware, d. h. Ihren Computer, oder die Software zu wechseln. Es ist nicht ratsam, eine veraltete Software-Version weiter zu verwenden.

Wenn die Software an andere Programme gebunden ist, ist auch zu prüfen, ob die Kompatibilität noch gegeben ist.

Ähnliches gilt es bei einem Wechsel oder einer Neuinstallation zu beachten. Auch hier ist sicherzustellen, dass alle Geräte miteinander kompatibel sind, sich unterstützen und auf der verwendeten Hardware genutzt werden können.

Des Weiteren ist sicherzustellen, dass die Software nur von vertrauensvollen Quellen bezogen wird. Kaufen Sie Software nur bei dem entsprechenden Anbieter. Im Falle, dass Sie kostenlose Software nutzen, stellen Sie sicher, dass Sie diese von vertrauenswürdigen Seiten beziehen und herunterladen.

Aber auch wenn Sie Updates einspielen, sobald es notwendig wird, und veraltete Soft- und Hardware, die nicht mehr zuverlässig funktioniert, regelmäßig austauschen, gibt es einiges zu beachten.

Die richtige Entsorgung von Hardware 

Eines vorweg: Elektronische Geräte gehören nicht in den normalen Hausmüll, sondern müssen separat entsorgt werden. Der Gesetzgeber gibt hier genaue Handlungsanweisungen. Für die ordnungsgemäße Entsorgung gibt es verschiedene Möglichkeiten:

  • An den Händler zurückschicken. Dieser kümmert sich anschließend um die richtige Entsorgung
  • Die elektronischen Geräte zum Recyclinghof bringen. Auch hier kümmern sich die Fachleute um die fachgerechte Entsorgung oder Weiterverarbeitung
  • Für Kleingeräte, z.B. Smartphones oder Laptops, gibt es auch die Möglichkeit, sie in Elektronikmärkten abzugeben. Im Juli 2022 wurden 25.000 zusätzliche Geschäfte und Verkaufsstellen verpflichtet, ebenfalls elektronische Geräte anzunehmen und eine fachgerechte Entsorgung zu ermöglichen, u.a. Discounter wie Lidl oder Aldi
  • Recycling-Dienste von Dritten nutzen. Online-Händler wie Amazon bieten ihren Kunden die Möglichkeit, elektronische Geräte über ihre Plattform zu recyceln. Hier kann die Abgabe registriert werden und der Händler und sein Partnernetzwerk kümmern sich um die Beseitigung

Unabhängig von der gewählten Entsorgungsmethode ist es wichtig zu verhindern, dass unbefugte Dritte Zugang zu Informationen und Daten erhalten, die möglicherweise auf den Geräten gespeichert sind. Im Falle von Computern und Laptops bedeutet dies, dass die Daten vor der Entsorgung von der Festplatte gelöscht werden müssen. Zu diesem Zweck gibt es spezielle Programme, die die Daten vollständig löschen, indem sie sie mit irrelevanten Daten überschreiben. Vergewissern Sie sich jedoch, dass Sie zuvor alle notwendigen Daten auf einem anderen Gerät, einem Speichermedium oder in der Cloud gespeichert haben, bevor Sie die Daten endgültig von der Festplatte löschen.

Falls die Festplatte des zu entsorgenden Geräts so beschädigt ist, dass ein Löschen der Daten nicht ohne weiteres möglich ist, sollten Sie die Festplatte auf andere Weise zerstören. Wenden Sie sich diesbezüglich an Ihren IT-Verantwortlichen. Er kann die richtigen Methoden bestimmen und ausführen.

Es zeigt sich also, dass es bei der Verwertung von veralteten, nicht mehr verwendbaren Geräten einiges zu beachten gibt. Unternehmen sollten sich bewusst sein, dass vor allem der Faktor Sicherheit bei der Entsorgung eine große Rolle spielt. Durch die immer weiter fortschreitende Digitalisierung und die Verbreitung von miteinander vernetzten und smarten Geräten nimmt die Relevanz noch einmal zu. So kann beispielsweise die unsachgemäße Entsorgung einer intelligenten Glühbirne bereits dazu führen, dass Cyberkriminelle über Informationen verfügen, die sie für einen möglichen Angriff nutzen können. So geschehen im Jahr 2020, als Forscher von Check Point Software Technologies nachweisen konnten, dass sie in der Lage waren, sich mit einer intelligenten Glühbirne zu verbinden und über diesen Weg Schadsoftware in ein Unternehmensnetzwerk einzuschleusen.

 

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited