Warum genau sind Updates so essenziell für die IT-Sicherheit?
Stellt euch vor, eure IT wäre gar nicht die IT, sondern euer Haus. Ab und zu kommt es vor das mal eine Person im Haus vergisst nach dem Öffnen eines Fensters zum Lüften es wieder zu schließen. Jeden Abend gehen Einbrecher unauffällig die Straßen eueres Ortes entlang, um zu schauen ob in einem Haus mit einem offenen Fenster eine Einladung zum Einbrechen ausgesprochen wird. Klar, auch die Einbrecher können abends mal ein offenes Fenster übersehen – dann hast du Glück gehabt. Nur mit jedem Tag, den die Fenster länger offenbleibt, erhöht sich natürlich das Risiko eines Einbruchs.
Ein Update ist wie euer persönlicher Hausmeister, der jeden Abend schaut, ob die Fenster auch wirklich alle zu sind. Und die Einbrecher sind wie die Hacker die jeden Abend automatisch schauen, ob sie zuschlagen können. – Also ist euer Haus mit einem Hausmeisterservice, der gerade bei offenen Fenstern reagiert und sie wieder schließt nun notwendig oder eher nicht?
Das wirklich gefährliche in der IT ist, das ein Haus direkt mit offenen Fenstern gebaut wird, was also für die Einbrecher ein leichtes Spiel ist. Allerdings sehen meist weder der Hausmeister noch der Einbrecher das offene Fenster, bis zum Tag X. Und wenn der Hausmeister das offene Fenster vor dem Einbrecher entdeckt hat, dann muss der Hausmeister sofort aktiv werden und das Fenster schließen. Klar, weil sonst würde er ja ein unnötiges Risiko mehr eingehen, das bei ihm eingebrochen wird.
Was steckt hinter Sicherheitslücken in Programmen?
Übersetzt zurück ins fachliche bedeutet das eure Software & Programme, die überall laufen (auch auf Geräten wie Druckern, Firewalls, Servern etc.) von Anfang an mit Sicherheitslücken ausgestattet sind.
Fast immer handelt es sich hier nicht um böswilliges Verhalten von Seiten des Herstellers, sondern einfach um Programmfunktionen, die ausgetrickst werden können, um sie für schädliche Aktivitäten zu nutzen. Sowohl der Hersteller selbst testet seine Programme häufig (und wird dadurch auf mögliche Fehlfunktionen in dieser Hinsicht aufmerksam) als auch unabhängige oder beauftragte Sicherheitsforscher. Diese testen die Programme und schauen, ob man das, was der Hersteller programmiert hat, austricksen kann, um böse Dinge zu realisieren. Wird eine solche Lücke gefunden von Seiten der guten, programmieren die Softwarehersteller das Programm so um, das dass austricksen nicht mehr funktioniert.
Dann ist es aber wichtig, das erforderliche Update (damit die verbesserte Version bei euch aktiv ist) auch möglichst zeitnah einzuspielen. Andernfalls könnten potenzielle Angreifer euer Programm noch austricksen, um damit Schabernack zu treiben. Das Spiel läuft in der IT also ähnlich, wie z.B. Leute die Gesetze austricksen möchten, obwohl das vom Gesetzgeber gar nicht so gewollt ist (aber halt funktioniert, weil nicht genau genug formuliert). Oder aber die Leute die Regeln gerne mal zu ihren Gunsten auslegen, obwohl das auch nicht im Sinne desjenigen ist, der die Regeln geschrieben hat. Nur mit dem entscheidenden Nachteil, dass wenn es eine Lücke in den Regeln gibt, diese direkt zu einem Angriff der Hacker führt und nicht nur zu einem lustigen Nachmittag unter Freunden.
Was passiert, wenn keine Updates gemacht werden?
Gerade bei unseren kleinen Unternehmen in der Eifel passiert es leider häufig, dass nicht aktuelle Systeme ein Einfallstor für Cyberkriminelle darstellen. Gerade Schwachstellen, die schon länger bekannt sind (also z.B. die typischen Fenster, die in einem Haus gerne offengelassen werden) werden von Cyberkriminellen automatisiert und täglich angegriffen.
Ein Unternehmen – egal wie groß – welches die passende Sicherheitslücke (oder Fenster) zum Zeitpunkt des Angriffs noch nicht geschlossen hat, wird dann einfach ein Zufallsopfer. Und da die meisten Cyberkriminellen fast alles automatisch machen, ist es für Sie auch kein Aufwand für ein paar Euronen ein kleines Unternehmen auf der Eifel zu erpressen. Sicherheitslücken durch fehlende Updates stellen dabei zwar ein häufiges, aber lang noch nicht das einzige Einfallstor für Angreifer dar.
Typische Denkfehler in kleinen Unternehmen
Der typische Spruch, wir sind doch viel zu klein für Angreifer, den man oft gerade von kleineren Unternehmen mit 5 – 30 Computern in der Firma hört, ist gerade in der heutigen Zeit hinfällig. An der Stelle, wo es möglich ist, dass du Zufallsopfer wirst, ist es egal wie groß du bist. Aber nicht, ob du verwundbar bist.
Viele kleine Unternehmen unterschätzen das Thema Updates um einiges, bis es eines Tages zu spät ist.
Die unsichtbaren IT-Komponenten: Oft übersehen, oft gefährdet
Die IT eines kleinen Unternehmens in der Eifel hat häufig nicht nur einen Computer, ein Tablet und ein Handy, sondern noch weitere Technik im Einsatz, die aber gerne übersehen wird. Dazu gehören z. B. Router (stellet den Internetzugang), Firewalls (eure erste Schutzinstanz), WLAN-Verstärker (das, was das WLAN im ganzen Haus und der ganzen Firma verfügbar macht), Switche (Verkabelung), Drucker und ähnlicher Kram.
Der Grund dafür ist auch ganz einleuchtend: Es wird eigentlich nie mit den Geräten selbst gearbeitet, weil sie einfach nur die Infrastruktur stellen. Aber genau die ist ebenso betroffen von Sicherheitslücken (offenen Fenstern) wie die Computer und darauf laufenden Programme selbst. Eigentlich jedes Gerät was einen Stecker und eine Internetverbindung in eure Firma hat, benötigt Updates. Weil auf jedem dieser Geräte wurde etwas programmiert und genau das kann wiederrum anfällig für Fehler sein, die geschlossen werden müssen, damit die Hacker sie nicht ausnutzen können.
Läuft doch alles, warum sollten wir was ändern?
Das ist sogar richtig, es läuft ja alles. Und genau das ist auch das primäre Ziel der Technik in deinem Unternehmen zu funktionieren. Gerade wenn im Moment alles gut ist neigen Entscheider in unseren kleinen Eifeler Unternehmen gerne dazu, es dabei zu belassen. Weil das primäre Ziel ja erreicht ist. Nur eine klitzekleine Kleinigkeit übersehen sie dabei gerne. – Das bleibt nicht so.
Stell dir vor die Kaufst ein Auto – ein gebrauchtes. Direkt nach dem Kauf funktioniert es einwandfrei und ist stets ein treuer Begleiter. Nur was passiert, wenn das Auto jetzt nie zur Inspektion geht und auch nicht zum TÜV? Eines Tages ändert sich dieser Zustand und es funktioniert nicht mehr. Eventuell tritt dann sogar ein noch größerer Schaden ein, als wenn du einfach mal zur Inspektion gefahren wärst, wo ein kleines Ersatzteil geholfen hätte einen größeren Schaden zu verhindern.
Und genau das können wir auch auf die IT ummünzen. Es ist nämlich erschreckend ähnlich. Einerseits ist klar, gibt es keine Updates, gibt es offene Sicherheitslücken (oder Fenstern im Haus). Machst du jetzt gar nichts, denn es funktioniert ja momentan, können zwei Sachen passieren. Entweder kapert ein Hacker deine IT, weil er nach Jahren ein immer noch offenes Fenster also eine offene Sicherheitslücke gefunden hat, die bei allen anderen Unternehmen schon längst zu ist, durch die er bei dir aber bedenkenlos reinspazieren kann oder aber du bekommst Funktionsprobleme.
Schleichende Fehler: Wenn sich Probleme heimlich aufbauen
Nicht gemachte Updates haben noch einen weiteren Nachteil – und der betrifft weniger die Sicherheit als vielmehr die Stabilität deiner IT. Sie sorgen nämlich auch dafür, dass Programme weiterhin reibungslos zusammenarbeiten, Fehler behoben werden und die Kompatibilität zwischen verschiedenen Systemen und Geräten bestehen bleibt.
Ignorierst du diese Pflege dauerhaft, dann bekommst du irgendwann die Quittung – und das nicht unbedingt sofort, sondern oft erst schleichend.
Stell dir ein Glas mit Wasser vor. Das Wasser sind immer kleine Fehler, die nach und nach sich heimlich einschleichen, heißt mit jedem Tag wird das Wasserglas ein kleines Stückchen voller. Und eines Tages? Na, dann geht es eben nicht mehr, weil das Glas übergelaufen ist.
Damit das Glas nicht überläuft, braucht es mehr als nur Updates. Sie sind zwar ein zentraler Baustein – aber eben nur einer von mehreren. Aber die Updates sind ein wichtiger Teilaspekt der unweigerlich dazu beiträgt, das Glas zum Überlaufen zu bringen, wenn man nichts tut. Bedauerlicherweise sind nicht gemachte Updates auch ein gutes Indiz dafür, das sonst nichts betreut wird in der Firma – und das heißt meistens automatisch, dass alle anderen Faktoren, die das Glas eines Tages zum Überlaufen bringen auch gegeben sind. Alarmstufe Rot!
Es reicht eben nicht nur „Die Computer“ zu betreuen. Alles, was Strom hat, und ans Netzwerk angeschlossen ist – sei es ein Drucker, ein NAS, ein Smart-TV oder die Fritz!Box im Homeoffice, alles muss regelmäßig betreut und auch aktualisiert werden.
Wichtig ist es, das unter anderem auch Fachpersonal regelmäßig auf die Geräte schaut, um kleinste Fehlerquellen direkt in der Wurzel zu beseitigen – aber welche Aspekte sonst noch zu berücksichtigen sind – neben Updates, das ist ein Thema für ein anderes Mal.
Wir sind zu klein dafür – Warum Hacker auch kleine Unternehmen angreifen
Wenn du diesen Satz schon mal gesagt hast, solltest du ihn jetzt streichen. Denn Hacker interessiert nicht, wie groß dein Unternehmen ist – nur, wie leicht sie reinkommen.
Es ist nicht deine Größe, die dich schützt – sondern dein Sicherheitsbewusstsein. Und das beginnt mit dem ersten Update.
3 realistische Wege, wie ihr Updates sinnvoll umsetzt – Was können Unternehmen konkret tun?
Nachdem wir nun ausführlich uns angesehen haben, warum keine Updates keine gute Idee sind, schauen wir uns doch mal an, wie realistisch gesehen kleine Unternehmen in der Eifel das Thema Updates positiv umsetzen können.
Updates nerven? Wir übernehmen das für euch!
Option 1: Die einfachste Variante direkt zu Beginn: Komm zu uns. Du willst das Thema abhaken, ohne dich weiter damit beschäftigen zu müssen? Lerne uns kennen und wenn wir zusammenpassen, übernehmen wir die Update-Thematik komplett für dich – sicher, regelmäßig und nachvollziehbar. So bleibt dir mehr Zeit fürs eigentliche Geschäft.
Wie sollte ein Unternehmen mit Updates verfahren?
Option 2: Wenn ihr das Thema Updates endlich korrekt in die Hand nehmen möchtet, dann ist eine feste und verbindliche Update-Strategie Pflicht. Im ersten Schritt ist es zunächst wichtig einmal alle Geräte (und auch die, die gerne übersehen werden) in euerer Firma zu identifizieren. Ja, das kostet ein wenig Zeit ist aber essenziell. Ihr könntet z. B. eine Excel-Tabelle anlegen, in der ihr jedes Gerät einzeln erfasst, was die Kriterien erfüllt (also Stromanschluss + Internet). Dann überlegt ihr euch oder recherchiert, wie die Geräte entsprechend Updates erhalten und installiert bekommen. Notizen dazu können direkt in die Excel Tabelle gemacht werden.
Wichtig ist bei der Recherche auch herauszufinden, wie ihr benachrichtigt werden könnt, wenn es neue Updates gibt, um diese dann schnellstmöglich zu installieren. Legt einen Tag fest, an dem die Updates grundsätzlich immer installiert werden. Unsere Empfehlung, wenn ihr das persönlich oder einen Mitarbeiter machen lasst, ist hierzu mindestens einmal in der Woche. Ja, das kostet Zeit, aber es ist immer noch besser Zeit zu investieren, als die Hacker persönlich kennenzulernen.
Option 3: Es gibt im Internet auch Tools und Programme die euch dabei unterstützten Updates zu installieren, allerdings erfordern auch diese ein gewisses technisches Grundverständnis & teils weitergehende Kenntnisse. Falsch konfiguriert, können sie Updates blockieren oder wichtige Systeme lahmlegen. Deshalb raten wir euch entweder dazu es alles „selbst“ in die Hand zu nehmen und gründlich pro System zu recherchieren oder aber direkt auf einen spezialisierten IT-Dienstleister zu setzen.
Klar, kann auch bei der manuellen Installation was schief gehen, aber du läufst nicht Gefahr durch falsche Konfigurationen eventuell sogar Updates unnötig aufzuschieben. S
Sollte bei Updates etwas schieflaufen, was durchaus mal passieren kann, dann ist es ab dann sowieso unerlässlich einen Dienstleister hinzuzuziehen, um nicht noch mehr zu beschädigen, als ohnehin schon defekt ist.
