DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Sicher­heits­lücke im IE

Lücke Internet Explorer

Und wieder grüßt das Mur­meltier – eine weitere Sicher­heits­lücke im IE.
Für den Anwender ist es mit stei­gender Bedeutung des Internet zunehmend schmerz­licher, dass er trotz all dem tech­ni­schen Fort­schritt immer noch selbst in der Pflicht ist.

 


Nun ist es also wieder so weit. Sie erinnern sich? Das letzte Mal ist auch noch gar nicht so lange her: genau 3 Monate (Aktuelle Sicher­heits­lücke im IE).

Aber keine Angst. Am 21.12.2012 ist die Welt nicht unter­ge­gangen – und wird es auch jetzt nicht. Mit etwas Abstand betrachtet ist es auch nur eine Lücke unter vielen. Und gleich die gute Nach­richt, es trifft nur die alten Ver­sionen des Internet Explorers; die neueren Ver­sionen 9 und 10 sind nicht betroffen.

Gut, besonders beliebte Pro­gramme werden natürlich deutlich häu­figer heim­ge­sucht, das bedeutet jedoch nicht auto­ma­tisch, dass die anderen Pro­gramme weniger Fehler/Sicherheitslücken beinhalten.

Viele Anbieter haben bereits aus­ge­feilte Updateme­cha­nismen in ihre Pro­gramme ein­gebaut – aber eben noch nicht alle. Und bei manchen bekannt gewor­denen und aus­ge­nutzten Lücken gibt es eben nicht immer gleich eine Pro­blem­lösung. Zudem ist mancher Her­steller gar dazu über­ge­gangen Software-Updates für seine Hardware nach 2 Jahren gänzlich ein­zu­stellen.

Letztlich bleibt aber die Ver­ant­wortung für die Sicherheit seiner Geräte bei jedem Ein­zelnen, der ein Stück Software instal­liert und nutzt – auch wenn PC, Internet und mobile End­geräte bereits selbst­ver­ständlich sind.

Für den ein oder anderen könnte es aller­dings recht dra­ma­tisch werden. Wer bei­spiels­weise noch das ver­altete Betriebs­system XP nutzt, kann nicht auf die Ver­sionen 9 und 10 des IE aus­weichen. Und muss ent­weder das Fix-IT Tool (s.u.) aus­führen, seine aktiven Kom­po­nenten im IE deak­ti­vieren oder auf einen Alter­na­tiven Browser aus­weichen. Welche Funk­ti­ons­ein­schrän­kungen durch das Fix-IT oder die manuelle Kon­fi­gu­ration auf­treten, muss aller­dings aus­pro­biert werden.

Wenn aller­dings über solche Lücken hinaus noch ein paar weitere Sicher­heits­mängel vor­liegen und bei­spiels­weise der neue Dia-Scanner von Tchibo ange­schlossen wird, könnte Con­ficker eine Renais­sance erleben. Der wurde nämlich im Weih­nachts­ge­schäft mit einem Virus aus­ge­liefert.

Wer Sicherheit groß schreibt, muss regel­mäßig für alle(!) instal­lierten Pro­gramme nach einem Sicher­heits­update (Siehe Blog-Beitrag Updates und Patches) Aus­schau halten. Denn: Sobald eine Lücke bekannt ist, kann sie prak­tisch von jedem aus­ge­nutzt werden, da die Tools im Internet ver­fügbar sind.

Und hier beginnt ein wei­teres Problem für Unter­nehmen, die über keine Benut­zer­ver­waltung und Soft­ware­richt­linie ver­fügen: Welche Software ist denn über­haupt instal­liert? Bzw.: Wer darf Software denn instal­lieren?

Mit einem Blick auf die letzte Sicher­heits­studie des DsiN liegt der Anteil derer, die über keine Benutzer- und Rech­te­ver­waltung ver­fügen bei ca. 30 %. Eine beträcht­liche Anzahl. Hier bleibt zu hoffen, dass die­je­nigen, die instal­lieren können, auch genügend Ahnung von der Kon­fi­gu­ration ihres Viren­scanners und dem Durch­führen von Updates besitzen.

Und für all die­je­nigen, die noch eine Lösung benö­tigen:

Microsoft emfiehlt, den Internet Explorer ab der Version 9 zu ver­wenden. Ist dies nicht möglich, wäre ein Alter­na­tiv­browser oder das von Microsoft zur Ver­fügung gestellte Fix it zu nutzen. Ein umfas­sendes Sicher­heits­update folgt, der Termin steht noch nicht fest.

Bild:  © Günter Havlena / pixelio.de

 

 

4 Kommentare zu Sicherheitslücke im IE

  • teovia sagt:

    wie wäre es mit.…
    .…vir­tuell in nem anderen OS zu surfen? bei uns standard.

    • Feuchter, Bernd sagt:

      Surfen ok! — Aber…
      Ganz so einfach ist es dann doch nicht;-)
      Surfen ganz klar: Ja! Dafür gibt es für die besonders Sicher­heits­be­wussten sogar diverse Boot-CDs, die eine voll­ständige Trennung von Internet und pro­duk­tivem System ermög­lichen.
      Für Unter­nehmen bietet sich auch eine WTS-Lösung mit einer Remote-Session an, so dass das pro­duktive Unter­neh­mens­netzwerk vom Internet getrennt ist:
      Basierend auf WTS wird die Anwendung „Browser“ als published app­li­cation bereit­ge­stellt. Mittels dieser Anwendung kann direkt auf das Internet zuge­griffen werden. Da über diesen Weg lediglich Maus-/Tas­ta­tur­kom­mandos einer­seits und Bild­schir­min­halte in die andere Richtung über­tragen werden, gilt diese Lösung als sicher.

      Inter­ak­tives Arbeiten im Web 2.0 mit Col­la­bo­ration auf gemein­samen Platt­formen oder E‑Mails/Rechnungen, die in DMS-Sys­temen abgelegt werden etc., machen es da schon schwerer. Bei diesen Lösungen ist der oben beschriebene „Luft­spalt“ kaum mehr mit ver­tret­barem Aufwand auf­recht zu halten. Auch durch die Ein­bindung von mobilen End­ge­räten in den pro­duk­tiven Betrieb wird es zunehmend schwerer, das klas­sische Sicher­heits­niveau über­haupt noch zu erreichen.
      Kommt noch eine Mischung aus klas­si­schem Netzwerk und Cloud-Diensten hinzu, muss ernsthaft über ein neues Sicher­heits­konzept nach­ge­dacht werden, das nicht mehr nur das klas­sische LAN beinhaltet, sondern auch Remote-Zugriff diverser End­geräte oder die Ein­bindung von Cloud-Dienst­leis­tungen!
      Hierbei muss dann der Nutzen durch die neuen fle­xiblen Arbeits­weisen und das damit ein­her­ge­hende Risiko sauber gegen­ein­ander abgewägt werden.

      Sinnvoll ist es allemal, recht­zeitig eine 2‑Browser-Stra­tegie zu eta­blieren, so dass der pro­duktive Betrieb erst gar nicht gestört wird.

  • Feuchter, Bernd sagt:

    heute könnte er kommen
    Noch heute, den 14.01.2013, könnte ein Patch für den Internet Explorer erscheinen.
    http://www.golem.de/news/sicherheitsloch-im-internet-explorer-microsoft-bringt-patch-ausser-der-reihe-1301–96894.html

  • Stefan Brandl sagt:

    Sicher­heits­update ver­öf­fent­licht
    Microsoft hat das kumu­la­tives Sicher­heits­update MS13-008 (KB2799329) für den Internet Explorer ver­öf­fent­licht. Hier finden Sie Hil­fe­stellung: http://technet.microsoft.com/de-de/security/bulletin/ms13-008
    Viele Grüße, Stefan Brandl

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.