DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Des einen Freud, des anderen Leid

Des einen Freud des anderen Leid

Ein vor­ei­liger Klick,schon wird zusätz­liche Software instal­liert. Sicher­heits-Updates mit Dritt­an­bieter Software zu koppeln ist bei zuneh­mender Ver­netzung und „always-on“ eine frag­würdige Praxis. Allzu leicht öffnen sich neue (Security-)Baustellen.

 

Java. Schon wieder! Naja, es muss halt sein, wenn es sein muss.
Wie schon (mehrfach) geschrieben, müssen manche Kom­po­nenten eben recht oft aktua­li­siert werden. Da fällt es den Sicher­heits-Aposteln natürlich leicht, dafür zu plä­dieren, nur die betriebs­not­wendige Software zu instal­lieren. Gut, dazu muss man erst eine Bestands­auf­nahme machen und abgleichen was wirklich benötigt wird. Wer aller­dings erst die Erfahrung braucht. Bitte! 2013 fängt ja schon mal gut an.

In den lau­fenden Update-Reigen kommt nun eine gängige Praxis mal wieder auf den Prüf­stand: Crapware & Co! Ja, nicht nur soge­nannte Freeware oder neue PCs, Note­books etc. werden darüber finan­ziert. Auch Sicher­heits-Updates!

Crapware — Noch nie gehört? Macht nichts. Namen sind aus­tauschbar. Es war nur eine Frage der Zeit, bis irgendeine Com­munity das Thema wieder auf­greift. Dabei sind die Namen nur so lange spannend, bis die Über­setzung zuschlägt: Crapware bei­spiels­weise zu Deutsch: Schrott­software – zumindest für den Betrof­fenen; oder höflich und all­ge­mein­gültig for­mu­liert: “Drit­t­an­­bieter-Software“.

Alles hat eben seinen Preis. Wer nichts bezahlen will, wird nicht nur mit Werbung, sondern auch mit Software bedacht, die eigentlich keiner braucht. Mancher Hardware-Her­steller kann mit vor­in­stal­lierter Software den Markt­preis unter den der Kon­kurrenz drücken. Als Kunde sollte man sich dann ernsthaft Gedanken über den Nutzen, die Lizenzen und auch den damit ein­her­ge­henden Sicher­heits­lücken machen, um nicht am Ende als der Dumme dazu­stehen.

Neu ist dieses Ver­fahren nicht. Auch mit dem Sicher­heits-Update von Java erhält der unbe­darfte Nutzer – also der, der schön alles mit OK anklickt, was ihm der wohl­ge­sonnene Anbieter als Sicher­heits-Update liefert, seit langem auch „Dritt­an­bieter Software“ wie die Ask-Toolbar etc. ange­boten oder instal­liert. Aller­dings darf man natürlich in Frage stellen, ob eine solche Praxis den Sicher­heits­ge­danken tat­sächlich folgt. Denn jede neue Software eröffnet unter Umständen unzählige Lücken und damit neue Mög­lich­keiten und Angriffs­flächen.

Dem Anwender wird einmal mehr vor Augen geführt, wie peinlich genau darauf geachtet werden muss, was instal­liert wird. Und bei einer solchen Praxis darüber hinaus auch, über welches Know-how der­jenige ver­fügen sollte.

Wenn ein Auto-Update-Mecha­­nismus dann auch noch unge­fragt instal­liert, sollte jeder Betroffene ernsthaft hin­ter­fragen, ob in diesem Fall die JRE (Java Runtime Edi­tition, zur Aus­führung von Java-Applets, bei­spiels­weise im Browser) tat­sächlich benötigt wird, und diese, wenn ent­behrlich, deinstal­lieren. Ebenso wie jede andere Software, die aus Sicht des Unter­nehmens keinen Nutzen stiftet. Der Fachmann nennt dies „Härten“, da im Sinne einer Pro­phylaxe unnötige Lücken und Gefähr­dungen ver­mieden werden.

Bild:  © Gerd Altmann / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.