Brennt auch Ihnen eine Cyber-Security-Frage unter den Nägeln?
Gerne lassen wir sie von einem unserer Experten fachmännisch beantworten.
… und deren Richtigstellung durch unsere Experten
Über 700 Teilnehmer*innen in sechs Webinaren haben sich im Rahmen des ETC Cybersecurity Month topaktuelle Infos zu Cyberbedrohungen, deren Vorbeugung und Bekämpfung sowie zum rechtlichen Status Quo für Unternehmen geholt.
Deren Fragen, Kommentare, Befürchtungen und Bedenken haben wir gesammelt und von unseren Experten klarstellen lassen.
Hier sind die Top 12 Cybersecurity-Mythen, die sich bis heute auch unter Fachpersonal und Führungskräften hartnäckig halten:
Mythos 1
„Hacker? Die greifen nur Konzerne an – nicht uns!“
Dr. Stefan Schiebeck, zertifizierter Sachverständiger für IT-Sicherheit:
Über 70% der Cyberangriffe zielen auf kleine und mittlere Unternehmen ab. 60% dieser Firmen „überleben“ einen ersthaften Angriff nicht länger als sechs Monate. Nicht die Größe macht einen zum Ziel – sondern der Grad der eigenen Verwundbarkeit.
Cyberkriminelle suchen nämlich nicht nur nach den „großen Fischen“, sondern nach besonders einfachen Zielen. Kleine und mittlere Unternehmen sind da oft die leichteste Beute: Keine eigene Security-Abteilung, weniger strenge IT-Prozesse und der Glaube „uns passiert das nicht“.
Diese Naivität nutzen Angreifer aus – mit automatisierten Scans, die das ganze Internet nach offenen Türen durchsuchen: veraltete Systeme, Standardpasswörter, schlecht gesicherte Cloud-Dienste.
Mythos 2
„IT-Security ist zu teuer!“
Christian Kellner, IT-Berater:
Die Resilienz von Unternehmen jeder Größenordnung ist eines der wertvollsten Investments die man tätigen kann. Cyberangriffe treffen heute nahezu jedes Unternehmen. Laut Bitkom liegt der durchschnittliche Schaden bei rund 4,8 Mio. € – und selbst kleine Unternehmen erleiden schnell Schäden im sechsstelligen Bereich. Rund ein Drittel der betroffenen Firmen kämpft monatelang mit den Folgen – oder „überlebt“ den Angriff nicht.
Dabei stehen leistungsfähige Werkzeuge, praxiserprobte – zum Teil auch kostenlose – Templates und professionelle Services zur Verfügung, die nur einen Bruchteil potenzieller Schäden kosten.
Vielen Unternehmen – insbesondere in Europa und der D-A-CH Region – fehlt es noch stark an Awareness. Ein Vergleich: In Deutschland fließen derzeit rund 11 Mrd. € pro Jahr in Cybersecurity-Maßnahmen, während die jährlichen Schäden mittlerweile nahezu 300 Mrd. € erreichen.
Mythos 3
„Zero Trust bedeutet, dass niemand mehr irgendjemandem vertraut.“
Michael Happel, IT-Consultant und IT-Security-Experte:
Zero Trust ist kein Misstrauens-System, sondern ein Vertrauensmodell auf Basis von überprüfbaren Signalen. Das Prinzip lautet nicht „traue niemandem!“, sondern „verifiziere jeden Zugriff, jedes Gerät, jede Identität!“.
Ziel ist, Vertrauen nicht pauschal zu gewähren, sondern situationsabhängig zu verdienen – zum Beispiel über Multifaktor-Authentifizierung, Gerätezustand und Risikoscore.
Kurz gesagt: Zero Trust schafft Vertrauen auf Datenbasis statt auf Annahmen.
Mythos 4
„Cyberangriffe? Wir haben doch eine Versicherung, die das im Ernstfall finanziert!“
Dr. Stefan Schiebeck, zertifizierter Sachverständiger für IT-Sicherheit:
Die bittere Realität zeigt, dass Versicherungen oft nicht zahlen, wenn entsprechende Sorgfaltspflichten nicht nachweisbar umgesetzt wurden (z. B. MFA, aktuelle Patches, Awareness-Schulungen). Und nach einer kurzen Untersuchung durch den externen Sachverständigen wird dann im Nachhinein schnell klar, dass die Liste der verletzten Sorgfaltspflichten lang genug ist, um die Hoffnung auf Regressanforderungen zu verlieren. Abgesehen davon sind Rufschäden, Kundenvertrauen und Produktivitätsverluste sowieso nicht versicherbar. Und sollten Sie Teil einer größeren Kampagne werden, zieht sich die Versicherung mit „Act of War“ aus der Affäre.
Im Schnitt kostet ein erfolgreicher Ransomware-Angriff ein mittelständisches Unternehmen über 250.000 € – auch mit Versicherung.
Eine Versicherung ersetzt also keine Prävention. Backups und ein durchdachter Notfallplan schützen besser als jede Versicherungs-Polizze.
Mythos 5
„Wir ersticken in Compliance Anforderungen.“
Christian Kellner, IT-Berater:
Unternehmen sind heutzutage von einer Vielzahl an Compliance-Anforderungen betroffen. Regulatorien, Gesetze und Standards sind dabei nicht lediglich Pflichten – sie bieten vor allem auch Hilfestellung. Es ist Unterstützung, um die notwendigen und richtigen Maßnahmen zum Schutz des eigenen Unternehmens und seiner Stakeholder umzusetzen, aber auch um eine starke Sicherheits- und Verantwortungskultur (Stichwort Mindset und Unternehmenskultur) zu verankern.
Es gibt eine Reihe von Hilfestellungsangeboten, bspw. erleichtern strukturierte Frameworks und erprobte Tools, den Überblick zu behalten. Daraus lassen sich Schlüsselanforderungen ableiten. Sie sind darüber hinaus zumeist auch mit vertretbarem Aufwand zu implementieren. Auch hier gilt die 80/20-Regel. Ein risikobasierter Ansatz zusammen mit einer dokumentierten Vorgehensweise hilft, dies effizient umsetzen.
Für eine mangelnde Auseinandersetzung mit Compliance gibt es keinen Entschuldigungsgrund. Es gilt dasselbe wie im Strafrecht: Unwissenheit schützt vor Strafe nicht.
Mythos 6
„Zero Trust ist ein Projekt. Es hat also ein definiertes Ende mit einem Fertigstellungsdatum.“
Michael Happel, IT-Consultant und IT-Security-Experte:
Zero Trust ist kein einmaliges Projekt, sondern ein kontinuierlicher Reifeprozess. Die Bedrohungslage, die Technologien und die Organisationen entwickeln sich ständig weiter.
Darum gilt: Zero Trust ist ein Betriebsmodell, kein Meilenstein!
Man startet mit Quick Wins, z. B. MFA, Gerätekonformität, Privileged Access-Kontrolle, und erweitert Schritt für Schritt (RaMP-Ansatz).
Wer Zero Trust als Prozess versteht, bleibt anpassungsfähig und sicherer.
Mythos 7
„Wenn niemand Alarm schlägt, ist alles in Ordnung.“
Dr. Stefan Schiebeck, zertifizierter Sachverständiger für IT-Sicherheit:
In der Cyberwelt bedeutet Stille nicht Sicherheit – sie bedeutet oft nur: Man hat Gehörprobleme und kann seine Umgebung nicht vollständig wahrnehmen.
Viele Unternehmen glauben, sie seien „sauber“, weil keine Warnmeldung aufpoppt, kein Virus-Scanner anschlägt, kein User etwas meldet. Aber Angreifer sind keine Kinder – sie sind geduldig, leise und strategisch. Sie verstecken sich in legitimen Prozessen, verschleiern Spuren und warten auf den richtigen Moment.
Im Durchschnitt bleibt ein erfolgreicher Angriff über 200 Tage unentdeckt.
Zweihundert Tage, in denen deine Daten und Systeme beobachtet, kopiert und manipuliert werden können – ohne dass jemand etwas bemerkt.
Und wenn der Alarm dann irgendwann losgeht, ist der Einbruch längst Geschichte – und man kämpft nur noch mit den Folgen.
Sichtbarkeit ist die neue Sicherheit. Nur wer überwacht, erkennt Gefahren, bevor es zu spät ist.
Mythos 8
„BitLocker wird nur dann benötigt, wenn ein Computer auch Daten enthält.“
Sami Laiho, international anerkannter Windows OS und Security Experte:
Die Hauptfunktion von BitLocker besteht darin, die Integrität des Betriebssystems zu gewährleisten. Es schützt die Konfiguration des Betriebssystems in Fällen, in denen physische Schutzmaßnahmen dies nicht gewährleisten können.
Ja, BitLocker eignet sich hervorragend zum Schutz von Daten, aber es wird auf jedem Windows-Computer benötigt – unabhängig davon, ob dieser Daten enthält oder nicht!
Mythos 9
„Wir haben eine gute Firewall – also sind wir Zero Trust-ready“
Michael Happel, IT-Consultant und IT-Security-Experte:
Eine Firewall ist ein Baustein, aber kein Zero-Trust-Konzept. Zero Trust schützt nicht nur das Netzwerk, sondern jede einzelne Verbindung – Identitäten, Endgeräte, Anwendungen, Daten und Workloads.
Der Angreifer von heute sitzt längst hinter der Firewall: über gestohlene Anmeldedaten, Cloud-Apps oder Remotezugänge.
Moderne Verteidigung setzt auf Identitäts- und Kontextprüfung, segmentierte Zugriffe und kontinuierliche Überwachung, nicht auf eine Mauer am Rand des Netzwerks.
Mythos 10
„KI übernimmt für uns die gesamte Cyber-Überwachung.“
Paula Januszkiewicz, international anerkannte Cybersecurity Expertin:
Künstliche Intelligenz und maschinelles Lernen sind zu unverzichtbaren Werkzeugen bei der Erkennung von Bedrohungen geworden. Diese Werkzeuge können aber menschliches Fachwissen nicht ersetzen. KI kann riesige Datenmengen durchforsten, Muster erkennen und Anomalien schneller als jeder Analyst markieren – dennoch fehlt ihr das Urteilsvermögen und das Kontextbewusstsein, über das Sicherheitsteams verfügen.
Und auch Angreifer nutzen KI – um ihrer Identifizierung zu entgehen. Algorithmen können Fehlalarme auslösen oder subtile Bedrohungen völlig übersehen.
Eine effektive Cybersecurity hängt von einem Human-in-the-Loop-Ansatz ab, der die Performance der KI (hinsichtlich Geschwindigkeit und Umfang) mit dem strategischen Denken, der Intuition und der langjährigen Erfahrung ausgebildeter Fachkräfte kombiniert.
Mythos 11
„IT-Security-Tools sind zu komplex und auch nicht leistbar.“
Christian Kellner, IT-Berater:
Tatsache ist, IT-Security-Tools sind heute effizienter und erschwinglicher denn je, machen Sicherheit planbarer, skalierbarer und wirtschaftlich. Leistungsfähige Plattformen für mittelständische Unternehmen kosten mittlerweile nur wenige tausend Euro pro Monat! Mustervorlagen für Richtlinien sind oftmals kostenlos.
In den Schlüsselbereichen gibt es aber umfassende und nicht zuletzt auch durchaus preiswerte Lösungen. Die Konsolidierung von Tools (Investitionen in Plattformen) kann helfen, Kosten zu reduzieren. In einigen Bereichen gibt es auch interessante und leistungsfähige Open Source Angebote.
Für kleinere Unternehmen mit hohen Sicherheitsanforderungen ist die Auswahl eines geeigneten MSPs (Managed Service Providers) das Gebot der Stunde. GRC-Tools (Governance, Risk, Compliance) sowie Templates sind der effektivste Weg, den Überblick zu behalten und um die notwendigen Maßnahmen umzusetzen und deren Einhaltung zu überwachen.
Mythos 12
„Hacker sind hochqualifizierte technische Experten.“
Paula Januszkiewicz, international anerkannte Cybersecurity Expertin:
Man ist verleitet, sich Hacker als geniale Programmierer vorzustellen, die im Verborgenen arbeiten, komplexe Codes schreiben und wie im Film in Systeme eindringen. Die Wahrheit ist, dass dieses Bild ziemlich veraltet ist. Klar, es gibt immer noch hochqualifizierte Hacker – aber heutzutage erfordern viele Angriffe kein tiefgreifendes technisches Know-how mehr.
Das liegt an etwas, das als Ransomware-as-a-Service (RaaS) bezeichnet wird. Stellen Sie sich das als ein Abonnementmodell für Cyberkriminalität vor: Erfahrene Hacker erstellen fertige Angriffskits, die andere online mieten oder kaufen können. So kann heute jeder mit minimalen technischen Fähigkeiten mit nur wenigen Klicks einen ausgeklügelten Cyberangriff starten.
Das Beängstigende ist also nicht, dass alle Hacker brillant sind, sondern dass sie es nicht mehr sein müssen. Deshalb ist es heute wichtiger denn je, Ihre Abwehrmaßnahmen stark und auf dem neuesten Stand zu halten.