DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Wenn der Bock zum Gärtner wird

Bock zum Gärtner

Im März fand die jähr­liche Black Hat Europe Kon­ferenz 2013 in Ams­terdam statt. Dort trafen sich ethische Hacker, um sich gegen­seitig ihre Arbeiten vorzustellen.

 

 

Ethische Hacker sind „die Guten“, also Nerds, die bei Sicher­heits­firmen arbeiten und dort laufend die IT-Sicherheit ver­bessern. Durch das Suchen und Auf­spüren poten­zi­eller Angriffs­flächen geben sie Unter­nehmen die Mög­lichkeit, ihre Sicher­heits­fea­tures zu optimieren.

Bei Men­schen, die per se schon vor­sichtig agieren, können diese Black Hats durchaus für para­noide Schübe sorgen. Denn es geht  immer noch schlimmer: Ich habe die Zusam­men­fassung des Vor­trags eines gewissen Ben Wil­liams, einem Pen­tra­ti­ons­tester der Firma NCC-Group, gelesen, der die Sicherheit von Sicher­heits­pro­dukten getestet hat.

Was bedeutet das und zu welchen Schlüssen ist er gekommen?

Er fand heraus, dass 80 % der Pro­dukte, z.B. Fire­walls, Antispam-und Anti­­virus-Filter für E‑Mail und Remote Access Gateways, die er getestet hatte Schwach­stellen hatten, über die die Anwendung gehackt werden könnte.

Außerdem stellte er fest, dass die meisten Schwach­stellen der Pro­dukte an der web­ba­sierten Benutzeroberfläche/Schnittstelle der Pro­dukte lagen. Das wird Fach­leute kaum ver­wundern, denn es war von jeher ein pro­bates Mittel, die Sicherheit von Pro­dukten durch eine Beschränkung des Zugriffes auf das Internet an der Benut­zer­ober­fläche zu erhöhen.

Zusätzlich bemerkte er, dass alle getes­teten Pro­dukte auch anfällig für Cross-Site-Skripting waren und ihnen ein gehär­tetes Betriebs­system fehlte. Sein Ergebnis: Unter­nehmen, die Ihre Pro­dukte regel­mäßig durch Dritte testen ließen, erhöhten die Qua­lität ihre Sicherheit suk­zessive. Was natürlich für den Mit­ar­beiter eines Unter­nehmens, das Pene­tra­ti­ons­tests anbietet, auch nicht weiter ver­wun­derlich ist.

Müssen wir nun alle in Panik ver­fallen oder fata­lis­tisch gleich auf Sicher­heits­pro­dukte verzichten?

Nein, natürlich nicht, denn:

Ja es gibt sie diese Nerds, sowohl auf der guten wie auch auf der bösen Seite der Inter­net­si­cherheit. Und ja, wenn sie es wollen, können sie es auch schaffen, das eine oder andere Sicher­heits­produkt zu hacken. Wenn jemand tat­sächlich seine gesamte Energie darauf kon­zen­triert, ein Unter­nehmen zu hacken, ist IT-Sicherheit nie 100-pro­­­zentig, weil es einfach viele Variablen gibt, die berück­sichtigt werden müssen.

Trotzdem kann man genügend Maß­nahmen ergreifen, um es Angreifern aus dem Netz so schwer wie möglich zu machen. Ein Mix aus Sicher­heits­pro­dukten und orga­ni­sa­to­ri­schen Maß­nahmen ist besser als kein Sicher­heits­produkt. Denn viele zusätz­liche Schlösser kosten den Ein­brecher viel Zeit und Mühe. Er ver­sucht es dann lieber dort, wo die Tür nicht abge­schlossen ist. Und den Kopf in den Sand zu stecken war noch nie eine Lösung.

Nichts­des­to­trotz muss hier der eine oder andere Anbieter von Sicher­heits­pro­dukten noch tätig werden, indem sie bei­spiels­weise dafür sorgen, dass Dritte keinen Ein­blick in die Funk­ti­ons­weise ihrer Pro­dukte erlangen. Außerdem steht außer Frage, dass auch hier Sicher­heits- und Pene­tra­ti­ons­tests durch­ge­führt werden müssen.

Bild: © Gerd Altmann / pixelio.de

Ein Kommentar zu Wenn der Bock zum Gärtner wird

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekanntenkreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.