Cyberhygiene klingt erstmal wie ein neumodischer IT-Begriff, doch im Grunde geht es um etwas, das jeder aus dem Alltag kennt: Sauberkeit und regelmäßige Pflege. Genau wie wir unser Zuhause von Staub freihalten wollen, müssen Unternehmen auch ihre IT-Infrastruktur regelmäßig „entstauben“, um Sicherheitslücken zu vermeiden und Angriffe frühzeitig einzudämmen und auf das Minimum zu reduzieren.

Unser Managing Director und Security Architect Fabian Böhm, war kürzlich im Podcast „Bits and Bytes“ von Stegmann and Company mit Alexa Dippold und hat genau über dieses oft vernachlässigte Thema gesprochen. Und die Kernaussage ist überraschend einfach: Es ist nicht schwer, jeder weiß eigentlich was zu tun ist.

Warum Cyberhygiene so wichtig ist

IT im Allgemeinen wird immer unübersichtlicher. Durch mehr Vernetzung, Cloud-Dienste und neue Technologien entstehen auch immer mehr Angriffsmöglichkeiten. Die Wahrheit ist und das sagen wir ganz ehrlich: Es gibt unzählige Tools und Softwareprodukte, die versprechen Unternehmen vor Cyberangriffen zu schützen. Aber oftmals wird das Wesentliche vergessen > die grundlegende Pflege der Systeme. Nur wer kontinuierlich Systeme bereinigt, verhindert dass sich Sicherheitslücken und veraltete Systeme ansammeln. Dabei ist es weniger eine Frage des Budgets, sondern der Priorisierung. IT-Teams sind oft überlastet, und während Unternehmen in teure Sicherheitslösungen investieren, wird die einfache aber effektive Pflege vernachlässigt.

Die oft unterschätzten Basics der IT-Sicherheit

Wo fangen wir an? Z. B. ist die Passworthygiene oft erschreckend mangelhaft und vergleichbar mit einem Haustürschlüssel, der seit Jahren unter der Fußmatte liegt. Das gilt sowohl für persönliche Konten als auch für Dienstkonten, bei denen Passwörter oftmals NIE ablaufen. Veraltete Betriebssysteme gleichen tickenden Zeitbomben, und das Patchen von Software wird zur Glückssache, bei der oft nur Stunden über Erfolg oder Misserfolg eines Angriffs entscheiden können.

Ein besonders kritischer Punkt, ist das Testen von Backups. Eine Backup-Strategie ohne regelmäßige Wiederherstellungstests ist wie eine ungetestete Notfallausrüstung… im Ernstfall wertlos. Stellen Sie sich vor, ein Brand bricht aus und niemand hat jemals die Feuerübung mitgemacht. Ähnlich verheerend können die Folgen eines Cyberangriffs sein und die Wiederherstellung der Systeme scheitert.

Ein weiterer wichtiger Aspekt, der oft unterschätzt wird: Systemhärtung, die sichere Konfiguration von Applikationen. Viele Anwendungen und Betriebssysteme werden mit Standardkonfigurationen ausgeliefert, die fast immer unnötige Funktionen und Dienste aktivieren. Wichtig ist also, frühzeitig präventive Maßnahmen zu ergreifen, als später unter Druck reagieren zu müssen.

Ebenso zentral ist der Schutz von Identitäten, insbesondere im Microsoft-Umfeld mit Active Directory und dessen Cloud-Pendant Entra ID. Hierbei ist eine grundlegende Cyberhygiene unerlässlich, um die zahlreichen teuren Security-Produkte, die sich Unternehmen anschaffen, effektiv zu nutzen und die identifizierten Schwachstellen auch tatsächlich zu beheben.

Warum aber diese Vernachlässigung? Oftmals liegt es an der Überlastung der IT-Teams und einer fehlenden Priorisierung seitens des Managements. Die Infrastrukturen werden immer komplexer, nicht nur durch die Cloud, sondern auch durch Themen wie KI, während die Ressourcen oft begrenzt bleiben. „Sicherheit ist Chefsache“ ist nicht nur ein Spruch, sondern eine Notwendigkeit. Denn Investitionen in grundlegende Cyberhygiene zahlen sich im Ernstfall um ein Vielfaches aus und sind oft effektiver als der blinde Kauf teurer, aber ungenutzter Software. Hierbei spielt auch das Aufräumen von Altlasten eine wichtige Rolle, auch wenn dies zunächst Kosten verursacht.

Die gute Nachricht: Cyberhygiene ist keine Raketenwissenschaft. Es geht darum, die Grundlagen zu beherrschen und konsequent anzuwenden.

Die Säulen der Cyberhygiene auf einen Blick zusammengefasst:

• • Starke Passwörter und deren regelmäßige Überprüfung und Änderung
  • Aktualisieren Sie Ihre Systeme regelmäßig
  • Härten Sie Ihre Systeme, z.B. nach den CIS-Empfehlungen
  • Sichern Sie Ihre Daten und testen Sie die Wiederherstellung
  • Bearbeiten Sie Meldungen in Ihren (X)DR Systemen und Empfehlungen aus dem letzten Pentest
  • Sensibilisieren Sie Ihre Mitarbeiter und schaffen Sie vor allem ZEIT für die Bearbeitung

Kontinuität ist dabei der Schlüssel. Regelmäßig kleine Schritte gehen, beispielsweise indem man den IT-Administratoren monatlich dedizierte Zeit für Cyberhygiene-Maßnahmen einräumt, anstatt große Projekte anzustoßen, die im Sande verlaufen. Auch der Einsatz kostengünstiger oder sogar Open-Source-Tools zur Analyse der Umgebung kann hier hilfreich sein.

Unser Experte fasste es im Podcast treffend zusammen: „Meistens fehlt die Zeit, und genau hier sollten Führungskräfte ansetzen. Wenn man seinen Administratoren beispielsweise nur acht Stunden im Monat einräumen würde, sich ausschließlich um die interne IT-Sicherheitshygiene zu kümmern, wäre das schon ein großer Schritt nach vorne. Dieses Thema sollte mehr Priorität bekommen.“

Fazit: Cyberhygiene als Investition in die Zukunft

In vielen Fällen kann es sinnvoll sein, externe Dienstleister ins Boot zu holen, die spezialisierte Aufgaben übernehmen. Sei es beim Patchmanagement, bei der Analyse von Systemlücken oder bei der Implementierung von Backup-Lösungen. Diese Zusammenarbeit entlastet die internen Teams und bringt zusätzliches Expertenwissen ins Unternehmen.

Cyberhygiene mag nicht glamourös sein, aber sie ist das Fundament einer jeden robusten IT-Sicherheitsstrategie. Bevor Sie also das nächste „vielversprechende“ Security-Tool anschaffen, stellen Sie sicher, dass die Basics stimmen. Am Ende des Tages ist es wie beim Staubwischen: Es macht vielleicht nicht immer Spaß, aber das Ergebnis ist ein deutlich sichereres und angenehmeres Umfeld für jeden im Unternehmen 😉.

Neugierig geworden? Im Podcast bei Bits and wird das Thema Cyberhygiene noch einmal aus einem anderen Blickwinkel beleuchtet! >> Zur Podcastfolge <<