Die Ausgangslage ist besorgniserregend: Unabhängig von Branche oder Unternehmensgröße wiederholen sich Sicherheitsfehler wie ein fehlerhafter Film. Megan Benoit dokumentierte über zwei Jahrzehnte hinweg immer die gleichen Probleme — und könnte noch viele weitere nennen. Ihr zentrales Fazit lautet: “Vertraue nichts und niemandem” — weder Menschen, noch Prozessen, noch Anbietern.
Dieses Misstrauen hat seine Berechtigung. Viele Hersteller offenbaren Sicherheitslücken in Legacy-Produkten nicht vollständig oder verzögern Informationen. Unternehmen können sich nicht darauf verlassen, dass alle Vulnerabilities zeitnah bekannt gemacht werden. Sie müssen selbst proaktiv nach Schwachstellen suchen, bevor Angreifer zuschlagen.
Eine besonders interessante Beobachtung: Einzelne Entwickler, Analysten und Administratoren treffen oft unbewusst schlechte Sicherheitsentscheidungen — nicht aus böser Absicht, sondern um Reibungsverluste zu reduzieren. Wenn ein Mitarbeiter höhere Administratorrechte fordert, um seine Arbeit zu vereinfachen, kann diese Entscheidung katastrophale Folgen haben.
Benoits konkrete Lösungsansätze adressieren wiederkehrende Probleme: Bei der Firewall-Sicherheit empfiehlt sie, parallel zwei EDR-Systeme (Endpoint Detection and Response) einzusetzen, da kein System perfekt ist. Beim Passwortmanagement sollten Organisationen zwingend vermeiden, dass schwache oder kompromittierte Passwörter verwendet werden — und auf keinen Fall sollten Entwickler eigene Verschlüsselungsalgorithmen programmieren.
Besondere Aufmerksamkeit verdient die OAuth-Problematik, die Benoit als “Nummer Eins der dummen Wege zu sterben” bezeichnet. Wenn Nutzer auf Phishing-Links klicken, können Angreifer OAuth-Tokens stehlen und diese nutzen, um die Multifaktor-Authentifizierung zu umgehen. Danach können sie sich unauthorized Zugriff auf das gesamte Mailbox-Inhaltsverzeichnis verschaffen. Microsoft empfiehlt hier lediglich, nur verifizierten Publishern zu vertrauen — eine Empfehlung, die Benoit ablehnt. Sie plädiert dafür, die Nutzerzustimmung für OAuth-Apps grundsätzlich zu deaktivieren.
Für Phishing-Schutz nennt Benoit spezialisierte E-Mail-Sicherheitslösungen als kritisch — nicht, um Nutzer zu entmündigen, sondern um ihnen die richtige Entscheidung zu erleichtern.
Ein überraschend einfacher, aber wirkungsvoller Ansatz: Sicherheitsteams sollten enge Beziehungen zu Entwicklern aufbauen. “Freundschaften mit dem Development-Team sind wörtlich das Beste, was man für sein Sicherheitsprogramm tun kann,” erklärt Benoit. Wer Vorwürfe macht, wird isoliert. Wer Vertrauen aufbaut, schafft eine echte Sicherheitskultur, in der Entwickler selbst zum Verbündeten werden.