Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Des einen Freud, des anderen Leid
Ein voreiliger Klick,schon wird zusätzliche Software installiert. Sicherheits-Updates mit Drittanbieter Software zu koppeln ist bei zunehmender Vernetzung und „always-on“ eine fragwürdige Praxis. Allzu leicht öffnen sich neue (Security-)Baustellen.
Java. Schon wieder! Naja, es muss halt sein, wenn es sein muss.
Wie schon (mehrfach) geschrieben, müssen manche Komponenten eben recht oft aktualisiert werden. Da fällt es den Sicherheits-Aposteln natürlich leicht, dafür zu plädieren, nur die betriebsnotwendige Software zu installieren. Gut, dazu muss man erst eine Bestandsaufnahme machen und abgleichen was wirklich benötigt wird. Wer allerdings erst die Erfahrung braucht. Bitte! 2013 fängt ja schon mal gut an.
In den laufenden Update-Reigen kommt nun eine gängige Praxis mal wieder auf den Prüfstand: Crapware & Co! Ja, nicht nur sogenannte Freeware oder neue PCs, Notebooks etc. werden darüber finanziert. Auch Sicherheits-Updates!
Crapware — Noch nie gehört? Macht nichts. Namen sind austauschbar. Es war nur eine Frage der Zeit, bis irgendeine Community das Thema wieder aufgreift. Dabei sind die Namen nur so lange spannend, bis die Übersetzung zuschlägt: Crapware beispielsweise zu Deutsch: Schrottsoftware – zumindest für den Betroffenen; oder höflich und allgemeingültig formuliert: “Drittanbieter-Software“.
Alles hat eben seinen Preis. Wer nichts bezahlen will, wird nicht nur mit Werbung, sondern auch mit Software bedacht, die eigentlich keiner braucht. Mancher Hardware-Hersteller kann mit vorinstallierter Software den Marktpreis unter den der Konkurrenz drücken. Als Kunde sollte man sich dann ernsthaft Gedanken über den Nutzen, die Lizenzen und auch den damit einhergehenden Sicherheitslücken machen, um nicht am Ende als der Dumme dazustehen.
Neu ist dieses Verfahren nicht. Auch mit dem Sicherheits-Update von Java erhält der unbedarfte Nutzer – also der, der schön alles mit OK anklickt, was ihm der wohlgesonnene Anbieter als Sicherheits-Update liefert, seit langem auch „Drittanbieter Software“ wie die Ask-Toolbar etc. angeboten oder installiert. Allerdings darf man natürlich in Frage stellen, ob eine solche Praxis den Sicherheitsgedanken tatsächlich folgt. Denn jede neue Software eröffnet unter Umständen unzählige Lücken und damit neue Möglichkeiten und Angriffsflächen.
Dem Anwender wird einmal mehr vor Augen geführt, wie peinlich genau darauf geachtet werden muss, was installiert wird. Und bei einer solchen Praxis darüber hinaus auch, über welches Know-how derjenige verfügen sollte.
Wenn ein Auto-Update-Mechanismus dann auch noch ungefragt installiert, sollte jeder Betroffene ernsthaft hinterfragen, ob in diesem Fall die JRE (Java Runtime Editition, zur Ausführung von Java-Applets, beispielsweise im Browser) tatsächlich benötigt wird, und diese, wenn entbehrlich, deinstallieren. Ebenso wie jede andere Software, die aus Sicht des Unternehmens keinen Nutzen stiftet. Der Fachmann nennt dies „Härten“, da im Sinne einer Prophylaxe unnötige Lücken und Gefährdungen vermieden werden.
Bild: © Gerd Altmann / pixelio.de

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

Neueste Kommentare