Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Sicherheitslücke im IE
Und wieder grüßt das Murmeltier – eine weitere Sicherheitslücke im IE.
Für den Anwender ist es mit steigender Bedeutung des Internet zunehmend schmerzlicher, dass er trotz all dem technischen Fortschritt immer noch selbst in der Pflicht ist.
Nun ist es also wieder so weit. Sie erinnern sich? Das letzte Mal ist auch noch gar nicht so lange her: genau 3 Monate (Aktuelle Sicherheitslücke im IE).
Aber keine Angst. Am 21.12.2012 ist die Welt nicht untergegangen – und wird es auch jetzt nicht. Mit etwas Abstand betrachtet ist es auch nur eine Lücke unter vielen. Und gleich die gute Nachricht, es trifft nur die alten Versionen des Internet Explorers; die neueren Versionen 9 und 10 sind nicht betroffen.
Gut, besonders beliebte Programme werden natürlich deutlich häufiger heimgesucht, das bedeutet jedoch nicht automatisch, dass die anderen Programme weniger Fehler/Sicherheitslücken beinhalten.
Viele Anbieter haben bereits ausgefeilte Updatemechanismen in ihre Programme eingebaut – aber eben noch nicht alle. Und bei manchen bekannt gewordenen und ausgenutzten Lücken gibt es eben nicht immer gleich eine Problemlösung. Zudem ist mancher Hersteller gar dazu übergegangen Software-Updates für seine Hardware nach 2 Jahren gänzlich einzustellen.
Letztlich bleibt aber die Verantwortung für die Sicherheit seiner Geräte bei jedem Einzelnen, der ein Stück Software installiert und nutzt – auch wenn PC, Internet und mobile Endgeräte bereits selbstverständlich sind.
Für den ein oder anderen könnte es allerdings recht dramatisch werden. Wer beispielsweise noch das veraltete Betriebssystem XP nutzt, kann nicht auf die Versionen 9 und 10 des IE ausweichen. Und muss entweder das Fix-IT Tool (s.u.) ausführen, seine aktiven Komponenten im IE deaktivieren oder auf einen Alternativen Browser ausweichen. Welche Funktionseinschränkungen durch das Fix-IT oder die manuelle Konfiguration auftreten, muss allerdings ausprobiert werden.
Wenn allerdings über solche Lücken hinaus noch ein paar weitere Sicherheitsmängel vorliegen und beispielsweise der neue Dia-Scanner von Tchibo angeschlossen wird, könnte Conficker eine Renaissance erleben. Der wurde nämlich im Weihnachtsgeschäft mit einem Virus ausgeliefert.
Wer Sicherheit groß schreibt, muss regelmäßig für alle(!) installierten Programme nach einem Sicherheitsupdate (Siehe Blog-Beitrag Updates und Patches) Ausschau halten. Denn: Sobald eine Lücke bekannt ist, kann sie praktisch von jedem ausgenutzt werden, da die Tools im Internet verfügbar sind.
Und hier beginnt ein weiteres Problem für Unternehmen, die über keine Benutzerverwaltung und Softwarerichtlinie verfügen: Welche Software ist denn überhaupt installiert? Bzw.: Wer darf Software denn installieren?
Mit einem Blick auf die letzte Sicherheitsstudie des DsiN liegt der Anteil derer, die über keine Benutzer- und Rechteverwaltung verfügen bei ca. 30 %. Eine beträchtliche Anzahl. Hier bleibt zu hoffen, dass diejenigen, die installieren können, auch genügend Ahnung von der Konfiguration ihres Virenscanners und dem Durchführen von Updates besitzen.
Und für all diejenigen, die noch eine Lösung benötigen:
Microsoft emfiehlt, den Internet Explorer ab der Version 9 zu verwenden. Ist dies nicht möglich, wäre ein Alternativbrowser oder das von Microsoft zur Verfügung gestellte Fix it zu nutzen. Ein umfassendes Sicherheitsupdate folgt, der Termin steht noch nicht fest.
Bild: © Günter Havlena / pixelio.de
4 Kommentare zu Sicherheitslücke im IE
Schreiben Sie einen Kommentar

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

wie wäre es mit.…
.…virtuell in nem anderen OS zu surfen? bei uns standard.
Surfen ok! — Aber…
Ganz so einfach ist es dann doch nicht;-)
Surfen ganz klar: Ja! Dafür gibt es für die besonders Sicherheitsbewussten sogar diverse Boot-CDs, die eine vollständige Trennung von Internet und produktivem System ermöglichen.
Für Unternehmen bietet sich auch eine WTS-Lösung mit einer Remote-Session an, so dass das produktive Unternehmensnetzwerk vom Internet getrennt ist:
Basierend auf WTS wird die Anwendung „Browser“ als published application bereitgestellt. Mittels dieser Anwendung kann direkt auf das Internet zugegriffen werden. Da über diesen Weg lediglich Maus-/Tastaturkommandos einerseits und Bildschirminhalte in die andere Richtung übertragen werden, gilt diese Lösung als sicher.
Interaktives Arbeiten im Web 2.0 mit Collaboration auf gemeinsamen Plattformen oder E‑Mails/Rechnungen, die in DMS-Systemen abgelegt werden etc., machen es da schon schwerer. Bei diesen Lösungen ist der oben beschriebene „Luftspalt“ kaum mehr mit vertretbarem Aufwand aufrecht zu halten. Auch durch die Einbindung von mobilen Endgeräten in den produktiven Betrieb wird es zunehmend schwerer, das klassische Sicherheitsniveau überhaupt noch zu erreichen.
Kommt noch eine Mischung aus klassischem Netzwerk und Cloud-Diensten hinzu, muss ernsthaft über ein neues Sicherheitskonzept nachgedacht werden, das nicht mehr nur das klassische LAN beinhaltet, sondern auch Remote-Zugriff diverser Endgeräte oder die Einbindung von Cloud-Dienstleistungen!
Hierbei muss dann der Nutzen durch die neuen flexiblen Arbeitsweisen und das damit einhergehende Risiko sauber gegeneinander abgewägt werden.
Sinnvoll ist es allemal, rechtzeitig eine 2‑Browser-Strategie zu etablieren, so dass der produktive Betrieb erst gar nicht gestört wird.
heute könnte er kommen
Noch heute, den 14.01.2013, könnte ein Patch für den Internet Explorer erscheinen.
http://www.golem.de/news/sicherheitsloch-im-internet-explorer-microsoft-bringt-patch-ausser-der-reihe-1301–96894.html
Sicherheitsupdate veröffentlicht
Microsoft hat das kumulatives Sicherheitsupdate MS13-008 (KB2799329) für den Internet Explorer veröffentlicht. Hier finden Sie Hilfestellung: http://technet.microsoft.com/de-de/security/bulletin/ms13-008
Viele Grüße, Stefan Brandl