DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Pwn2Own und Pwnium

Sicher­heits­lücken zu finden ist eine Frage der Moti­vation. Für gutes Preisgeld können Firmen auf Ver­an­stal­tungen wie Pwn2Own und Pwnium von Hackern lernen. Nicht nur welche Sicher­heits­lücken sie finden –  sondern auch, wie sie gefunden werden.

 

Alle Jahre wieder – gibt es einen Hacking-Wet­t­­bewerb in Van­couver. Auf den ersten Blick nichts Beson­deres. Es gibt ja überall Ver­an­stal­tungen für alle erdenk­lichen Zwecke. Unter anderem eben auch zum Thema Sicherheit. Und warum nicht auch in Van­couver.

Aber: Sicher­heits­tests für die eigenen Pro­dukte durch­zu­führen ist, ernsthaft betrieben, keine billige Ange­le­genheit. Warum also nicht eine Sicher­heits­kon­ferenz als Gele­genheit nutzen ein Hacking-Spe­k­­takel der beson­deren Art ins Leben zu rufen. Eta­bliert ist bereits der Hacker-Wet­t­­bewerb Pwn2Own. Google hat nun einen eigenen Wett­bewerb ins Leben gerufen. Ziel ist fest­zu­stellen, ob der Browser als „Betriebs­system“ für Online-Anwen­­dungen Sicher­heits­an­griffen standhält.

Nun ja, an das „Stand­halten“ als solches glauben Sicher­heits­ex­perten ohnehin nicht, auch wenn Googles Chrome als der zurzeit sicherste Browser gilt. Sicherheit ist immer nur eine Frage der Zeit und des betrie­benen Auf­wandes – wie im realen Leben auch. Ganz nebenbei: Auch der Internet Explorer und Firefox wurden gehackt!

Browser Tests
Zur Moti­vation der Teil­nehmer: Ruhm und Ehre – und das Preisgeld kann sich natürlich auch sehen lassen: 1 Mio. Dollar! Ebenso wie die Preise für einen erfolg­reichen Hack!
Was der ein oder andere noch nicht weiß: Die meisten Inter­net­firmen bezahlen Geld für gemeldete Sicher­heits­lücken. Ob man davon reich werden kann, ist dahin­ge­stellt. Dazu müssten Aufwand und Ertrag ein­ander gegenüber gestellt werden. Nicht von Ungefähr wird gemunkelt, dass der ein oder andere fähige Pro­gram­mierer die Seiten wechselt, um höhere Ren­diten zu erwirt­schaften.
Im spe­zi­ellen Fall dieser Ver­an­staltung habe ich von einem Aufwand von 6 Wochen gelesen.  Ein beträcht­licher Aufwand – der sich für den ein oder anderen auch bezahlt gemacht hat: „Gla­zunow hatte im Rahmen des Google-Wet­t­­be­­werbs “Pwnium” einen Exploit demons­triert, der Chromes Sandbox voll­ständig umgeht. Er bricht nicht aus der Sandbox aus, er ver­meidet die Sandbox”, sagte Chrome-Security-Team­­­mi­t­­glied Justin Schuh. “Das ist nicht einfach zu erle­digen. Es ist sehr schwierig und des­wegen zahlen wir 60.000 Dollar.”

Und was nehmen wir als Otto-Nor­­mal­­ver­­­braucher aus solchen Ver­an­stal­tungen mit? Wenn jemand ein­brechen will und über genügend Mittel und Aus­dauer verfügt, wird er es schaffen, selbst auf einem neuen Betriebs­system mit sämt­lichen Sicher­heits-Updates!

So nebenbei für die­je­nigen, die auf einen guten Viren­scanner schwören: Ein Hacker ist kein Virus und setzt auch nicht unbe­dingt Malware ein. Den­je­nigen die Know-how absi­chern wollen ist dringend ange­raten, ein gutes Firewall-System mit Ein­dring­lings­er­kennung (IDS) und Ein­dring­lings­prä­vention (IPS), URL-Filter etc. ein zu setzen; admi­nis­triert von einem kom­pe­tenten Admi­nis­trator, der über ein waches Auge, aktu­elles Know-how und eine gute Kom­bi­na­ti­onsgabe verfügt. Gerade ein Hacker ist sich darüber im Klaren, dass nicht immer der direkte Weg zum Ziel führt….

Bild:  © Gerd Altmann / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.