IT-Security

Komplettschutz von Nöten

Oft scheint der Kampf gegen Schadsoftware schon im Vorhinein verloren zu sein. Kaum ist ein Loch geflickt, schon klopft der nächste Schädling an. Es ist daher die große Herausforderung der Gegenwart, von dem Gedanken wegzukommen, ausschließlich das Endgerät sichern zu wollen. Die Daten müssen schon bei der Übertragung gesichert werden. Ein Rundum-Schutz vom Endgerät bis zum Rechenzentrum ist mehr denn je gefragt.

»In der Security-Policy vereinbarte Richtlinien schaffen rechtliche Klarheit, ein gesundes Sicherheitsbewusstsein und ein produktives Arbeitsklima.« Ralf Benzmüller, Leiter der G Data SecurityLabs

Eine umfassende Policy muss her, erläutert Ralf Benzmüller, Leiter G Data Security-Labs: »Die IT-Security-Policy ist das Bindeglied zwischen Geschäftsleitung, Sicherheitsverantwortlichen und Mitarbeitern. Die darin vereinbarten Richtlinien schaffen idealerweise rechtliche Klarheit, ein gesundes Sicherheitsbewusstsein bei den Mitarbeitern und ein produktives Arbeitsklima. Die technische Umsetzung der Sicherheitsmaßnahmen sollte die Richtlinien als Ausgangsbasis haben.«

Mobile im Visier. Cyberk-Kriminelle haben sich zuletzt auf mobile Internetnutzer eingeschossen – so das alarmierende Ergebnis des aktuellen G Data Malware-Reports. Wie die Analyse der G Data SecurityLabs aufdeckt, ist im zweiten Halbjahr 2011 die Zahl neuer Schadprogramme für Smartphones und Tablets um das 2,5-fache angestiegen. Im besonderen Fokus steht dabei das Betriebssystem Android. Hier kam es im gleichen Zeitraum zu einer Verachtfachung.

Ein weiteres Analyseergebnis: Die Verbreitungsintervalle von Schädlingen für Angriffe auf Online-Banking-Kunden sind äußerst kurz. Mit immer neuen Varianten und Lebenszyklen von durchschnittlich 27 Stunden, versuchen die Schadcode-Schreiber reaktive Abwehrmechanismen in Virenschutzsoftware auszuhebeln. Insgesamt verzeichnete G Data für das vergangene Jahr mit mehr als 2,5 Millionen neuen Computerschädlingen einen neuen Rekord. Ein Ende der Malware-Flut ist auch 2012 nicht in Sicht.

Plattformspezifische Probleme. Kaum ein Unternehmen legt sich im Arbeitsalltag heute noch auf eine einzige IT-Plattform fest. »Entwicklungen wie Cloud und Bring-your-own-Device segmentieren die Infrastrukturumgebungen, die täglich reibungslos bereitstehen müssen«, beschreibt Sophos-CTO Gerhard Eschelbeck im »Security Threat Report 2012« die Risiken, die mobile oder traditionelle IT-Plattformen und die Cloud mit sich bringen.

»Plattformspezifische Sicherheitsprobleme schreien förmlich nach Komplettschutz.« Gerhard Eschelbeck, Chief Technical Officer von Sophos

Windows mag das am häufigsten von Angriffen betroffene Betriebssystem sein. Die beliebtesten Angriffskanäle für Hacks von Windows-Systemen waren im Vorjahr jedoch PDF und Flash. Trotz regelmäßiger Microsoft-Updates zum Schließen von Schwachstellen im Windows-Betriebssystem bleiben Systeme zur Inhaltsübermittlung daher die größten Schwachpunkte eines jeden Betriebssystems.

Leider hinken Software-Unternehmen Cyber-Kriminellen nicht selten hinterher, wenn es darum geht, Zero-Day-Attacken auf bisher noch unbekannte Schwachstellen zu vereiteln. Experten haben Software-Entwickler und -Anbieter deshalb immer wieder dazu aufgefordert, den Sicherheitsaspekt in ihren Entwicklungslebenszyklus zu integrieren. Zum Beispiel sollten Scans auf häufige Codefehler im Frühstadium der Entwicklung vorgenommen werden, anstatt Prüfungen auf potenzielle Sicherheitsprobleme erst kurz vor der Markteinführung vorzunehmen. Leider ist der überwiegende Anteil aller Sicherheitsanfälligkeiten in Internet-Anwendungen jedoch immer noch auf grundlegende Schwachstellen wie SQL-Injection und Cross-Site Scripting zurückzuführen.

Mobile Betriebssysteme. »Eine Aussage darüber zu treffen, welches mobile Betriebssystem das sicherste ist, ist schwierig«, meint Eschelbeck. Alle haben Vorteile gegenüber dem stationären PC, verfügen jedoch gleichzeitig über eigene Anfälligkeiten.
Der Blackberry von RIM ist auf Grund seiner im Vergleich zu anderen Herstellern umfangreichen Sicherheitseigenschaften in vielen Unternehmen nach wie vor das Smartphone der Wahl. RIM kontrolliert sämtliche Software und Updates von zentraler Stelle und verfügt über einen äußerst strengen Prozess zur Qualitätssicherung.

Apple bedient sich ähnlicher Sicherheitsprotokolle. So wird das iOS-Betriebssystem von zentraler Stelle aktualisiert, für die Herstellung von iPhones gelten engmaschige Kontrollen. Zudem prüft Apple Apps in seinem Online-Store auf Grundlage äußerst strenger Richtlinien. Doch auch im Apple App Store tauchten bereits Schad-Apps auf. Außerdem zeigen auch eine ganze Reihe von Kennwort-/Verschlüsselungsangriffen, dass Apples Sicherheitssystem nicht lückenlos ist.

Google Android ist das beliebteste mobile Betriebssystem, Tendenz steigend. Mit diesem Tempo kann die Sicherheit nicht mithalten. Der Schutz von Android-Mobilgeräten gestaltet sich auf Grund des offenen Plattform-Charakters sowie der Verfügbarkeit alternativer App-Märkte relativ schwierig. Als Folge hat sich Android zum beliebtesten Ziel für Malware-Angriffe entwickelt und Symbian von Platz 1 verwiesen.

Windows Phone 7.5 ist etwas sicherer als Android. Allerdings hat Microsoft keine mit RIM oder Apple vergleichbare Einsicht in die Sicherheit. Zwar kontrolliert Microsoft die Distribution von Updates für seine Plattform. Windows-Phones werden jedoch von mehreren Herstellern produziert und von zahlreichen Netzwerkbetreibern angeboten – wodurch das Risiko für Sicherheitsanfälligkeiten steigt.

Unsicherheit in der Wolke. Einige in den Medien verschiedentlich aufbereitete Vorfälle des letzten Jahres bewiesen, dass auch eine Speicherung von Daten in der Cloud sicherheits- und compliancetechnische Tücken haben kann. Für zusätzliche Unsicherheit sorgt die Tatsache, dass Unternehmen und Privatpersonen sich nicht sicher sein können, ob auf ihre Cloud-Daten im Rahmen des so genannten US-Gesetzes »Patriot Act« zugegriffen wird. Dieses Gesetz erlaubt US-Behörden ein Abfangen und Prüfen von Daten, die von einem Unternehmen mit Sitz in den USA vorgehalten, gespeichert oder verarbeitet werden.

Microsoft gestand im Juni 2011 ein, im Zweifelsfall zur Herausgabe von Daten an US-Behörden verpflichtet zu sein, ohne seine Kunden über diesen Vorgang zu unterrichten – selbst, wenn die betroffenen Daten in der Europäischen Union gespeichert würden. Dieser Vorfall veranlasste viele europäische Unternehmen und Gesetzgeber dazu, ihre Bedenken gegenüber dem US-Patriot Act zu äußern, der im krassen Gegensatz zur Datenschutzrichtlinie der Europäischen Union aus dem Jahr 1995 steht, welche eine Benachrichtigung von Kunden nach Weitergabe ihrer persönlichen Daten vorschreibt.

Ziel Komplettschutz. Die plattformspezifischen Sicherheitsprobleme schreien für Unternehmen förmlich danach, aktuelle, meist separat angelegte Sicherheitsmaßnahmen zugunsten einer »Complete Security«-Strategie zu überdenken. Letztere sollte leicht anzuwenden sein und aus einem umfassenden Sicherheitskonzept bestehen, das genau dort für Schutz sorgt, wo dieser benötigt wird: auf Computern, Laptops, virtuellen Desktops und Servern, mobilen Geräten, auf Netzwerkebene oder am Internet- und E-Mail-Gateway. Klingt simpel, ist jedoch in den wenigsten Unternehmen bislang Realität.

Comments are closed.