BRANDMAUER_IT_SECURITY_Verlauf_1920x800px_200707

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

IT Sicherheit - wie sicher ist sicher genug?

Eric Weis | 28.08.2020 12:00:00 | Lesezeit ca. 3,5 Minuten

Es gibt keinen hundertprozentigen Schutz gegen Cyber-Bedrohungen. Zumindest, wenn man von der natürlich denkbaren, aber auch unsinnigen, wenn nicht gar heutzutage unmöglichen Variante absieht, überhaupt keine digitalen Technologien zu benutzen. Wenn es keinen perfekten Schutz gibt, was heißt dann überhaupt „sicher“? Die IT-Sicherheit bzw. die Kryptografie hat hier einen Ansatz entwickelt, den Sie bei strategischen Entscheidungen im Bereich Ihrer IT Sicherheit stets im Kopf behalten sollten. Was es damit auf sich hat, erfahren Sie im nachfolgenden Artikel.

Wieso es keine perfekte IT Sicherheit gibt

In der Kryptografie und in der IT Sicherheit geht es aus technischer Sicht vor allem darum, Kompromisse zu machen (wie in vielen anderen Bereichen übrigens auch). Und zwar zwischen Sicherheit und Praktikabilität. Man muss sich das so vorstellen: Erhöht man die Sicherheit, leidet in der Regel die Praktikabilität (und Usability) darunter und umgekehrt. Entsprechend wäre eine perfekte IT Sicherheit nicht mehr ein- bzw. umsetzbar. Die perfekte IT Sicherheit existiert also nur in der Theorie und kann daher auch nicht Ihr Anspruch sein. Vielmehr geht es eben tatsächlich darum, das am besten passende Verhältnis zwischen Sicherheit und Praktikabilität auszuwählen.

Dazu kommt, dass das, was man noch heute als perfekt sicher bezeichnen kann, schon morgen eventuell nicht mehr sicher ist. Es geht also immer auch darum, IT Sicherheit als andauernden Prozess im Zeitablauf zu sehen.

 

Exkurs: Was wäre denn perfekt sicher?

An dieser Stelle gibt es ein Beispiel aus der Kryptografie, das gut geeignet ist, um den erwähnten Zusammenhang zwischen Sicherheit und Praktikabilität zu verdeutlichen – das One Time Pad. Gemeint ist damit ein symmetrisches Verschlüsselungsverfahren, welches sich vor allem dadurch auszeichnet, dass es beweisbar perfekt sicher ist. Ein Angreifer kann eine solche Verschlüsselung nämlich nur durch stumpfes Ausprobieren knacken. Die theoretischen Hintergründe sind zwar interessant, aber an dieser Stelle gar nicht so wichtig. Viel interessanter ist, dass das One Time Pad hochgradig impraktikabel ist – das Verfahren (mit einem bestimmten Schlüssel) kann nämlich nur ein einziges Mal eingesetzt werden (daher der Name).

 

Was ist sicher genug?

In der Regel kann man von „sicher genug“ sprechen, wenn es einem Cyberkriminellen nicht mehr möglich ist, sinnvoll umsetzbar anzugreifen. Das heißt, dass ein Angriff so impraktikabel wird, dass er sich nicht mehr lohnt oder ohnehin nicht mehr umsetzbar ist. Was genau impraktikabel bedeutet, hängt immer etwas vom Kontext ab, allerdings dürfte das klarer werden, wenn man sich die folgenden Beispiele anschaut.

Verschlüsselungsverfahren (z.B. RSA):
Natürlich kann man die RSA-Verschlüsselung knacken. Man muss dazu nur Zahlen faktorisieren. Da das jedoch nicht effizient machbar ist, würde es ganz einfach zu lange dauern. Die verwendeten Zahlen werden bei RSA nämlich genau so gewählt, dass kein Angreifer dieser Welt genügend Rechenleistung und genügend Zeit mitbringen kann, um die Verschlüsselung zu knacken. Die Zahlen wesentlich größer zu wählen, würde zwar die Sicherheit erhöhen, jedoch würde das das Verfahren unnötig langsam machen.

Passwörter:
Warum ist „abcde“ kein gutes Passwort? Weil es in Sekundenbruchteilen geknackt werden kann. Wie wählt man also Passwörter? Man macht sie durch Sonderzeichen, Zahlen und ihre Länge so komplex, dass sie für einen potentiellen Angreifer nicht mehr sinnvoll zu kacken sind. Klar könnte man auch eine 100-stellige Zahl nehmen, um die Sicherheit wieder möglichst hoch zu treiben, darunter leidet aber offensichtlich die Praktikabilität, weil niemand ein so langes Passwort eingeben kann.

 

Fazit: IT Sicherheit so stärken, dass man unattraktiv für Hacker wird

Genau das Prinzip, das bei Verschlüsselung, bei Passwörtern und vielen weiteren Bereichen verwendet wird, sollten Sie auch auf Ihre gesamte IT Sicherheit im Unternehmen anwenden. Erhöhen Sie Ihre IT Sicherheit so, dass ein Cyberkrimineller Sie nur noch mit einem Aufwand angreifen kann, der sich für ihn nicht mehr lohnt – auch ein Cyberkrimineller will wirtschaftlich arbeiten. Das gilt auch für kleinere Unternehmen, da Cyberkriminelle auch gerne kleinere Beträge erbeuten, wenn der Aufwand entsprechend gering ist.

Wenn Sie sich nun fragen, ob Sie momentan attraktiv für Hacker sind, führen Sie doch einfach den BRANDMAUER IT Sicherheitscheck durch und erfahren direkt, wo Sie heute in Sachen IT Sicherheit stehen. Wir sagen Ihnen, wie sicher Sie aufgestellt sind. Mit der Hilfe eines unserer IT Sicherheitsexperten können Sie dann an den Schwachstellen im Unternehmen ansetzen und Ihre IT Sicherheit gezielt verstärken.

 

BRANDMAUER IT Sicherheitscheck

Themen: IT Sicherheit

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de

Aktuellste Beiträge

Cyberversicherung

Schützen Sie Ihr Unternehmen im Falle einer Cyberattacke!

Cyberversicherung

Mehr erfahren
Managed IT Security Training Service

Mitarbeiter für IT-Sicherheit sensibilisieren ab 2 Euro pro User/Monat

Security Online Training

Mehr erfahren

Blog abonnieren

Gratis Downloads für Ihre IT Sicherheit
Serverlandschaft_ IT Services_550x300_170526

Keine Planungs- und Betriebssicherheit?

Managed IT Services

Mehr erfahren