Wenn der Bock zum Gärtner wird

Im März fand die jähr­liche Black Hat Europe Kon­ferenz 2013 in Ams­terdam statt. Dort trafen sich ethische Hacker, um sich gegen­seitig ihre Arbeiten vorzustellen.

Ethische Hacker sind „die Guten“, also Nerds, die bei Sicher­heits­firmen arbeiten und dort laufend die IT-Sicherheit ver­bessern. Durch das Suchen und Auf­spüren poten­zi­eller Angriffs­flächen geben sie Unter­nehmen die Mög­lichkeit, ihre Sicher­heits­fea­tures zu optimieren.

Bei Men­schen, die per se schon vor­sichtig agieren, können diese Black Hats durchaus für para­noide Schübe sorgen. Denn es geht  immer noch schlimmer: Ich habe die Zusam­men­fassung des Vor­trags eines gewissen Ben Wil­liams, einem Pen­tra­ti­ons­tester der Firma NCC-Group, gelesen, der die Sicherheit von Sicher­heits­pro­dukten getestet hat.

Was bedeutet das und zu welchen Schlüssen ist er gekommen?

Er fand heraus, dass 80 % der Pro­dukte, z.B. Fire­walls, Antispam-und Anti­­virus-Filter für E‑Mail und Remote Access Gateways, die er getestet hatte Schwach­stellen hatten, über die die Anwendung gehackt werden könnte.

Außerdem stellte er fest, dass die meisten Schwach­stellen der Pro­dukte an der web­ba­sierten Benutzeroberfläche/Schnittstelle der Pro­dukte lagen. Das wird Fach­leute kaum ver­wundern, denn es war von jeher ein pro­bates Mittel, die Sicherheit von Pro­dukten durch eine Beschränkung des Zugriffes auf das Internet an der Benut­zer­ober­fläche zu erhöhen.

Zusätzlich bemerkte er, dass alle getes­teten Pro­dukte auch anfällig für Cross-Site-Skripting waren und ihnen ein gehär­tetes Betriebs­system fehlte. Sein Ergebnis: Unter­nehmen, die Ihre Pro­dukte regel­mäßig durch Dritte testen ließen, erhöhten die Qua­lität ihre Sicherheit suk­zessive. Was natürlich für den Mit­ar­beiter eines Unter­nehmens, das Pene­tra­ti­ons­tests anbietet, auch nicht weiter ver­wun­derlich ist.

Müssen wir nun alle in Panik ver­fallen oder fata­lis­tisch gleich auf Sicher­heits­pro­dukte verzichten?

Nein, natürlich nicht, denn:

Ja es gibt sie diese Nerds, sowohl auf der guten wie auch auf der bösen Seite der Inter­net­si­cherheit. Und ja, wenn sie es wollen, können sie es auch schaffen, das eine oder andere Sicher­heits­produkt zu hacken. Wenn jemand tat­sächlich seine gesamte Energie darauf kon­zen­triert, ein Unter­nehmen zu hacken, ist IT-Sicherheit nie 100-pro­­­zentig, weil es einfach viele Variablen gibt, die berück­sichtigt werden müssen.

Trotzdem kann man genügend Maß­nahmen ergreifen, um es Angreifern aus dem Netz so schwer wie möglich zu machen. Ein Mix aus Sicher­heits­pro­dukten und orga­ni­sa­to­ri­schen Maß­nahmen ist besser als kein Sicher­heits­produkt. Denn viele zusätz­liche Schlösser kosten den Ein­brecher viel Zeit und Mühe. Er ver­sucht es dann lieber dort, wo die Tür nicht abge­schlossen ist. Und den Kopf in den Sand zu stecken war noch nie eine Lösung.

Nichts­des­to­trotz muss hier der eine oder andere Anbieter von Sicher­heits­pro­dukten noch tätig werden, indem sie bei­spiels­weise dafür sorgen, dass Dritte keinen Ein­blick in die Funk­ti­ons­weise ihrer Pro­dukte erlangen. Außerdem steht außer Frage, dass auch hier Sicher­heits- und Pene­tra­ti­ons­tests durch­ge­führt werden müssen.

Bild: © Gerd Altmann / pixelio.de