Cybersicherheit
– Die Verantwortung liegt in mehreren Händen
Die Sicherung von Netzwerkgeräten stellt einen fortlaufenden Prozess
dar, was eine Reihe von Herausforderungen mit sich bringen kann. Nichts
von Menschen Gemachtes ist zu 100 % sicher – bewusst geschaffene
Hintertüren (= Backdoors) zeugen von einem schlechten Konzept und
zeigen einen erheblichen Mangel an Verständnis für die Grundlagen einer
Cyber-Secure-Welt. Auch Programmierfehler können nicht vollständig
vermieden werden.
Die Cybersicherheit stellt eine gemeinsame Verantwortung dar,
die keiner der Beteiligten alleine bewältigen kann. Um
Cyberkriminalität zu bekämpfen, müssen die Verantwortlichen der
verschiedenen Bereiche und Gewerke zusammenarbeiten.
Im Folgenden soll ein Blick auf die Verantwortlichkeiten der verschiedenen Stakeholder geworfen werden:
Der Nutzer
Die Hauptverantwortung des Nutzers liegt in der Bezahlung von
Cybersicherheitsmaßnahmen. Dies kann entweder „DIY“ erfolgen, d.h. die
IT-Abteilung wendet Fixes selbst an oder bezahlt einen
Integrator/Installateur für die Wartung.
Die Lebensdauer eines Systems beträgt schnell 10-15 Jahre. Dabei ist
die Annahme sehr kurzsichtig, dass nichts getan werden muss, um das
System in einem guten Zustand zu halten.
Der Integrator/
Installateur
Der Systemintegrator spielt eine wesentliche Rolle im Bereich der
Cybersicherheit. Er muss sicherstellen, dass alle seine eigenen Geräte,
Laptops, mobilen Geräte usw. mit den neuesten Updates für das
Betriebssystem ausgestattet werden und einen vollständigen Virenscan
ausführen. Die gewählten Passwörter sollten zumindest pro Kunde und
Standort komplex genug und individuell sein. Die allgemeine Gewohnheit,
ein Master-Passwort zu verwenden, um die Bedienung der Geräte zu
erleichtern, sollte unbedingt vermieden werden. Der Fernzugriff auf
Installationen sollte nur begrenzt angewendet werden. Alle Geräte, die
mit dem System des Kunden verbunden sind, sollten sehr sorgfältig auf
Schadsoftware überprüft werden, um jegliche Art von Infektionen zu
vermeiden.
Mit Softwareaktualisierungen von Videoüberwachungs-Software und angeschlossener Hardware wird oftmals leider nachlässig umgegangen. Nach der Installation werden diese Systeme in der Regel nur dann aktualisiert, wenn weitere Geräte hinzugefügt oder zusätzliche Funktionen vom Benutzer angefordert werden.
Ohne Wartung wird die Cybersicherheit mit der Zeit sehr wahrscheinlich abnehmen. Die Wahrscheinlichkeit liegt bei fast 100%, dass eine Schwachstelle im Systemkontext, also im Betriebssystem, der Software oder der Hardware gefunden wird. Auch wenn das Risiko gering erscheint, sollte jede bekannte Schwachstelle behoben werden. In den meisten Fällen ist eine sofortige Anwendung eines Updates nicht notwendig, aber ein halbjährliches systemweites Aufspielen des Patches wird dringend empfohlen.
Es liegt in der Verantwortung des Integrators, seine Kunden über dieses Verfahren zu informieren, das in der nicht IT-orientierten Sicherheitsbranche wenig bekannt ist.
Der Planer
Ein weiterer essentieller Bestandteil ist die Arbeit des Planers, der
die Komponenten für die Sicherheitssysteme festlegt. Dieser muss nicht
nur die richtigen Produktfunktionen und -merkmale festlegen, sondern
auch die Wartung für die gesamte Lebensdauer des Systems übernehmen.
Auf diese Weise kann der Planer deutlich machen, wie wichtig es ist,
das System auf dem neuesten Stand zu halten und auch die möglichen
Kosten dafür transparent aufzuzeigen. Im Zusammenhang mit der
Installation von OEM (Original Equipment Manufacturer)/ODM (Original
Design Manufacturer)-Geräten ist es jedoch sehr schwierig, diesen
Wartungsaspekt zu gewährleisten. Und die meisten Kunden würden kein
System kaufen, für das die Wartung ein reines Glücksspiel ist.
Der Hersteller
Die Verantwortungsbereiche der Hersteller sind indes sehr übersichtlich:
- Es dürfen zum einen keine absichtlichen Details wie Backdoors oder hartcodierte Passwörter hinzugefügt werden.
- Die Bereitstellung der richtigen Tools muss gewährleistet sein, um das Cybermanagement für viele Geräte so einfach und kostengünstig wie möglich zu gestalten.
- Zum anderen müssen Dritte über Risiken und wie sie sich vermeiden lassen aufgeklärt werden, intern wie auch extern.
- Relevante Aspekte sollten in Härteleitfäden oder anderen Dokumentationen aufgezeichnet sein.
- Die Partner und Vertriebskanäle müssen über Schwachstellen und mögliche Updates informiert werden.
Der Verbraucher
Das Verhalten der Konsumenten spielt auch eine zentrale Rolle für ein
ausgereiftes Bewusstsein im Bereich Cybersecurity. Wie oft wird das
Passwort des Routers geändert? Wie komplex sind die eigenen Passwörter?
Werden unterschiedliche Passwörter oder ein „Master“-Passwort für die
meisten Anwendungen verwendet? Die Bequemlichkeit der Verbraucher ist
immer noch einer der größten Vorteile für Hacker. Einfach zu erratende
Passwörter und solche, die über alle Logins hinweg verwendet werden,
setzen die Verbraucher dem Risiko aus, dass ihre Konten missbraucht
werden.
Abschließend kann festgehalten werden, dass ein Interessenvertreter allein nicht die Aufgabe erfüllen kann, ein System sicher gegen Angriffe zu machen und dies auch aufrechtzuerhalten. Nur, wenn alle Beteiligten die Verantwortung für die Datensicherheit übernehmen, wird es gelingen, Cyberkriminalität zu bekämpfen.
Mehr Information dazu:
https://www.axis.com/de-de/about-axis/cybersecurity