DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Eigentlich soll IT doch nur funk­tio­nieren

updates_2013_puzzle

Wie einfach war es noch zu Zeiten von DOS. Die kri­ti­schen Lücken allein in einer Woche machen es Internet-Usern schon schwer – oder aber leicht. Wer resi­gniert hat ein leichtes Leben – das aber viel­leicht nur kurz…

 

 

Wie einfach war es noch zu Zeiten von DOS. Heute den Über­blick zu behalten, was für den sicheren Betrieb der IT not­wendig ist, wird zunehmend schwerer. Und dabei geht es noch nicht einmal um die ver­netzten Pro­zesse mit anderen Unter­nehmen.

Java, Java und nochmal Java

Doch Java ist nicht gleich Java. Nach­haltige Pro­bleme bereitet nur ein kleiner Teil von Java, nämlich der, welcher für die Aus­führung von Java-Applets im Browser benötigt wird.

Und was sagt Ihnen das?

Jetzt müssten Sie natürlich wissen, ob sie Java wirklich brauchen. Dann könnten Sie eine fun­dierte Ent­scheidung treffen.
Hätte ich Ihnen auch gerne mit­ge­teilt, aber ich weiß ja nicht, auf welchen Seiten Sie zugange sind, und wie diese auf­gebaut sind: Einige Seiten setzen Java zwingend voraus.

Mög­liche Lösungen?

Eigentlich gab es für eine kri­tische Schwach­stelle in der Java-Lauf­­zei­t­u­m­­gebung 7update10 bereits am 14.01.2013 einen Sicher­heits­patch und das BSI nahm seine Emp­fehlung zum Deak­­ti­­vieren-/-instal­­lieren zurück.

Alles wieder gut, so schien es. Aller­dings haben der pol­nische Sicher­heits­for­scher Adam Gowdiak und auch die Firma Immunity, die Update­po­litik von Oracle kri­ti­siert. Das US-Cert riet wei­terhin vom Einsatz von Oracles Java Browser-Plug-In ab. Bereits am 17.01. stützte eine Meldung über eine doch nicht geschlossene kri­tische Lücke diese Emp­fehlung.

Und jetzt?

Heute sind wir einen Schritt wei­ter­ge­kommen: Seit der Version 7update11 ist eine weitere Lücke geschlossen. Der Security-level ist auf hoch gestellt, so dass unsi­gnierte Applets nicht aus­ge­führt werden können. Aber leider kann diese Sicher­heits­vor­kehrung, laut Gowdiak, umgangen werden. Ein echtes High­light ist dagegen die Option das Java PlugIn für Browser abzu­schalten – oder gleich Java  zu deinstal­lieren. Wer hätte das gedacht!

Wer sich also allein die letzten beiden Wochen vor Augen führt, kann fol­gende Lehren aus dem Umgang mit Sicher­heits­lücken ziehen:

Prüfen Sie, welche Software sie wirklich im täg­lichen Einsatz brauchen – und deak­ti­vieren bzw. deinstal­lieren Sie den Rest.

Warum? Nun, ich habe hier das Bei­spiel Java Plug-In aus­ge­führt.
Grund­sätzlich gilt jedoch für jede Software, dass sie (viele;-) Fehler und Lücken ent­halten. Es ist nur eine Frage des Zufalls, ob diese von einem guten Hacker oder einem bösen Cracker gefunden wird. Also ob dem Her­steller die Gele­genheit zur Nach­bes­serung über ein Sicher­heits­update gegeben wird, oder ob daraus mit kri­mi­neller Energie Kapital geschlagen wird.

Das Vor­gehen hat auch einen ange­nehmen Neben­effekt: Je weniger Sie instal­liert haben, desto geringer ist der Aufwand für Wartung und Pflege, z.B. bei Sicher­heits­lücken…

Bild:  © Gerd Altmann / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.