Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Eigentlich soll IT doch nur funktionieren
Wie einfach war es noch zu Zeiten von DOS. Die kritischen Lücken allein in einer Woche machen es Internet-Usern schon schwer – oder aber leicht. Wer resigniert hat ein leichtes Leben – das aber vielleicht nur kurz…
Wie einfach war es noch zu Zeiten von DOS. Heute den Überblick zu behalten, was für den sicheren Betrieb der IT notwendig ist, wird zunehmend schwerer. Und dabei geht es noch nicht einmal um die vernetzten Prozesse mit anderen Unternehmen.
Java, Java und nochmal Java
Doch Java ist nicht gleich Java. Nachhaltige Probleme bereitet nur ein kleiner Teil von Java, nämlich der, welcher für die Ausführung von Java-Applets im Browser benötigt wird.
Und was sagt Ihnen das?
Jetzt müssten Sie natürlich wissen, ob sie Java wirklich brauchen. Dann könnten Sie eine fundierte Entscheidung treffen.
Hätte ich Ihnen auch gerne mitgeteilt, aber ich weiß ja nicht, auf welchen Seiten Sie zugange sind, und wie diese aufgebaut sind: Einige Seiten setzen Java zwingend voraus.
Mögliche Lösungen?
Eigentlich gab es für eine kritische Schwachstelle in der Java-Laufzeitumgebung 7update10 bereits am 14.01.2013 einen Sicherheitspatch und das BSI nahm seine Empfehlung zum Deaktivieren-/-installieren zurück.
Alles wieder gut, so schien es. Allerdings haben der polnische Sicherheitsforscher Adam Gowdiak und auch die Firma Immunity, die Updatepolitik von Oracle kritisiert. Das US-Cert riet weiterhin vom Einsatz von Oracles Java Browser-Plug-In ab. Bereits am 17.01. stützte eine Meldung über eine doch nicht geschlossene kritische Lücke diese Empfehlung.
Und jetzt?
Heute sind wir einen Schritt weitergekommen: Seit der Version 7update11 ist eine weitere Lücke geschlossen. Der Security-level ist auf hoch gestellt, so dass unsignierte Applets nicht ausgeführt werden können. Aber leider kann diese Sicherheitsvorkehrung, laut Gowdiak, umgangen werden. Ein echtes Highlight ist dagegen die Option das Java PlugIn für Browser abzuschalten – oder gleich Java zu deinstallieren. Wer hätte das gedacht!
Wer sich also allein die letzten beiden Wochen vor Augen führt, kann folgende Lehren aus dem Umgang mit Sicherheitslücken ziehen:
Prüfen Sie, welche Software sie wirklich im täglichen Einsatz brauchen – und deaktivieren bzw. deinstallieren Sie den Rest.
Warum? Nun, ich habe hier das Beispiel Java Plug-In ausgeführt.
Grundsätzlich gilt jedoch für jede Software, dass sie (viele;-) Fehler und Lücken enthalten. Es ist nur eine Frage des Zufalls, ob diese von einem guten Hacker oder einem bösen Cracker gefunden wird. Also ob dem Hersteller die Gelegenheit zur Nachbesserung über ein Sicherheitsupdate gegeben wird, oder ob daraus mit krimineller Energie Kapital geschlagen wird.
Das Vorgehen hat auch einen angenehmen Nebeneffekt: Je weniger Sie installiert haben, desto geringer ist der Aufwand für Wartung und Pflege, z.B. bei Sicherheitslücken…
Bild: © Gerd Altmann / pixelio.de
Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare