Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Wenn der Bock zum Gärtner wird
Im März fand die jährliche Black Hat Europe Konferenz 2013 in Amsterdam statt. Dort trafen sich ethische Hacker, um sich gegenseitig ihre Arbeiten vorzustellen.
Ethische Hacker sind „die Guten“, also Nerds, die bei Sicherheitsfirmen arbeiten und dort laufend die IT-Sicherheit verbessern. Durch das Suchen und Aufspüren potenzieller Angriffsflächen geben sie Unternehmen die Möglichkeit, ihre Sicherheitsfeatures zu optimieren.
Bei Menschen, die per se schon vorsichtig agieren, können diese Black Hats durchaus für paranoide Schübe sorgen. Denn es geht immer noch schlimmer: Ich habe die Zusammenfassung des Vortrags eines gewissen Ben Williams, einem Pentrationstester der Firma NCC-Group, gelesen, der die Sicherheit von Sicherheitsprodukten getestet hat.
Was bedeutet das und zu welchen Schlüssen ist er gekommen?
Er fand heraus, dass 80 % der Produkte, z.B. Firewalls, Antispam-und Antivirus-Filter für E‑Mail und Remote Access Gateways, die er getestet hatte Schwachstellen hatten, über die die Anwendung gehackt werden könnte.
Außerdem stellte er fest, dass die meisten Schwachstellen der Produkte an der webbasierten Benutzeroberfläche/Schnittstelle der Produkte lagen. Das wird Fachleute kaum verwundern, denn es war von jeher ein probates Mittel, die Sicherheit von Produkten durch eine Beschränkung des Zugriffes auf das Internet an der Benutzeroberfläche zu erhöhen.
Zusätzlich bemerkte er, dass alle getesteten Produkte auch anfällig für Cross-Site-Skripting waren und ihnen ein gehärtetes Betriebssystem fehlte. Sein Ergebnis: Unternehmen, die Ihre Produkte regelmäßig durch Dritte testen ließen, erhöhten die Qualität ihre Sicherheit sukzessive. Was natürlich für den Mitarbeiter eines Unternehmens, das Penetrationstests anbietet, auch nicht weiter verwunderlich ist.
Müssen wir nun alle in Panik verfallen oder fatalistisch gleich auf Sicherheitsprodukte verzichten?
Nein, natürlich nicht, denn:
Ja es gibt sie diese Nerds, sowohl auf der guten wie auch auf der bösen Seite der Internetsicherheit. Und ja, wenn sie es wollen, können sie es auch schaffen, das eine oder andere Sicherheitsprodukt zu hacken. Wenn jemand tatsächlich seine gesamte Energie darauf konzentriert, ein Unternehmen zu hacken, ist IT-Sicherheit nie 100-prozentig, weil es einfach viele Variablen gibt, die berücksichtigt werden müssen.
Trotzdem kann man genügend Maßnahmen ergreifen, um es Angreifern aus dem Netz so schwer wie möglich zu machen. Ein Mix aus Sicherheitsprodukten und organisatorischen Maßnahmen ist besser als kein Sicherheitsprodukt. Denn viele zusätzliche Schlösser kosten den Einbrecher viel Zeit und Mühe. Er versucht es dann lieber dort, wo die Tür nicht abgeschlossen ist. Und den Kopf in den Sand zu stecken war noch nie eine Lösung.
Nichtsdestotrotz muss hier der eine oder andere Anbieter von Sicherheitsprodukten noch tätig werden, indem sie beispielsweise dafür sorgen, dass Dritte keinen Einblick in die Funktionsweise ihrer Produkte erlangen. Außerdem steht außer Frage, dass auch hier Sicherheits- und Penetrationstests durchgeführt werden müssen.
Bild: © Gerd Altmann / pixelio.de
Ein Kommentar zu Wenn der Bock zum Gärtner wird
Schreiben Sie einen Kommentar

Über die Autorin:
Diplom-Kauffrau
Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienstleistungen und Security seit 2005 zuständig für übergreifende Kommunikation und Vermarktung technischer Produktlösungen. Verfasst in diesem Kontext regelmäßig Beiträge in der Kundenzeitschrift der DATEV und ist Co-Autorin des Leitfadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „technische Beraterin” der Unternehmer im Bekanntenkreis.

Sicherheit im Internet Wahl des Betriebssystems
Guten Tag sehr sehr guter Artikel, kann ich nur empfehlen.Vielleicht könnte
diese Seite ebenfalls hilfreich bei der Auswahl des Betriebssystems sein.
Wahl des Betriebssystems Viel erfolg weiterhin wünscht Mario Marinelli und Wahl des Betriebssystems