DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Löch­riger Internetschutz

Löchriger Internetsschutz

 

Tempora und Prism werfen ihre Schatten:  Das Statement „Bei uns ist ja noch nichts pas­siert“ klingt seither nicht mehr so über­zeugend. Die DsiN Studie IT-Sicherheit zeigt, dass Unter­nehmen gut beraten sind, Ihre Kom­mu­ni­ka­ti­ons­kanäle abzusichern.

 

 

 

Die DsiN-Studie zeigt deutlich, dass heute die Gefahren aus dem Internet nicht nur wahr­ge­nommen werden, sondern dass geeignete Schutz­vor­keh­rungen tat­sächlich bereits imple­men­tiert sind. In dem Zusam­menhang mutet es dann etwas seltsam an, wenn gleich­zeitig von Seiten des BSI gemeldet wird, dass „die Zahl der von Phishing betrof­fenen Inter­net­nutzer im ver­gan­genen Jahr dras­tisch ange­stiegen ist“.

Die Erklärung hierfür ist aller­dings so simpel wie unan­genehm: Neue bzw. unbe­kannte Sicher­heits­lücken machen Pro­gramme angreifbar, sodass bei­spiels­weise Admi­­nis­­trator-Rechte erlangt und Schad­software instal­liert werden kann. Aber nun sind doch auch mit Anti­vi­ren­pro­grammen und Fire­walls gerade die Sicher­heits-Pro­­­gramme instal­liert, die von sich behaupten, genau dies zu ver­hindern? Doch ganz so einfach gestaltet sich dies nicht: Erst nach einer Inku­ba­ti­onszeit von meh­reren Stunden kann Malware durch AV-Her­steller ent­deckt werden. Dann folgt die Analyse. Erst zum Schluss werden die Signa­turen ver­teilt. Ver­hal­tens­ba­sierte Mecha­nismen und Fire­walls können unter­stützen, doch deren Mel­dungen müssen erst einmal ver­standen werden.

Cloud-Lösungen: Segen und Fluch

Anti­vi­ren­pro­gramme haben, je nach Kon­fi­gu­ration, auch Zugriff auf alle Dateien, selbst bei­spiels­weise Patent­an­mel­dungen. Ein Schelm wer Böses dabei denkt.
Zum Schutz vor Malware ist es dann wenig hilf­reich für ver­trau­liche Daten, dass „ver­dächtige“ Dateien zum zen­tralen Viren­scanner in die Cloud über­mittelt werden. Zudem: Wie viele Unter­nehmen sind sich wohl bewusst, dass Berufs­recht, Straf­recht oder andere gesetz­liche Rege­lungen wie bei­spiels­weise das Bun­des­da­ten­schutz­gesetz auch für die Auswahl ihrer Sicher­heits­software eine Rolle spielen können?

Zuneh­mende Digi­ta­li­sierung erfordert Feingefühl

Die Digi­ta­li­sierung von Pro­zessen ist wesentlich für die Zukunfts­fä­higkeit des Standorts Deutschland. Eine wichtige Rolle spielt dabei das Kom­mu­ni­ka­ti­ons­medium E‑Mail. Dies ist natürlich auch den Her­stellern von Schad­software nicht unbe­kannt. Spam ist die harmlose Variante von Stö­rungen. Doch unter die Flut von E‑Mails mischen sich auch die­je­nigen, die ent­weder Schad­software mit­bringen, oder auf Server ver­weisen, die Malware bereithalten.

Dies allein ist noch nicht kri­tisch. Leider findet sich jedoch immer ein Anwender, der durch unbe­dachtes Handeln selbst aus­ge­klü­gelte Sicher­heits­systeme aus­hebelt und den gesamten Inter­net­schutz wieder aufs Spiel setzt – unge­wollt und unbewusst.

Ein ver­ant­wor­tungs­be­wusster Umgang mit E‑Mails ist jedoch die Vor­aus­setzung für eine sichere Kom­mu­ni­kation. Die Grund­regeln im Umgang mit E‑Mails (z.B. Spam, Phishing und gefälschte Absen­der­adressen) sollte daher jeder Mit­ar­beiter beherrschen.

Links auf Schäd­linge tricksen Anti­vi­ren­pro­gramme aus

Der kleine Unter­schied von E‑Mails mit Links zu denen mit Schad­software ist nicht zu unter­schätzen: Schad­software per E‑Mail muss (hof­fentlich) erst durch einen E‑Mail-Filter des Anti­vi­ren­pro­gramms. Es ist von den Scha­d­­software-Erstellern mehr oder weniger ein Schuss ins Blaue. Der ver­sendete Link dagegen selbst stellt noch keinen Schädling dar und wird vom Viren­scanner durch­ge­lassen: Hier beginnt dann (hof­fentlich) die Arbeit der Firewall! Wer nicht regel­mäßig die Firewall so kon­fi­gu­riert, dass die neu­esten Malware-Server mit ihren stets aktua­li­sierten neuen Vari­anten an Schad­software geblockt werden, hat recht schnell ver­loren. Gerne laufen auf den Seiten, die aus der E‑Mail heraus auf­ge­rufen werden, Java­­Script-Ana­­ly­­se­­tools. Diese ana­ly­sieren sämt­liche instal­lierte Software auf Ver­si­ons­stand und deren Schwach­stellen. Der PC wird dann anschließend mit einem pas­senden Blu­men­strauß an Schäd­lingen beglückt. Diese maß­ge­schnei­derten Angriffe führen somit häufig zu einer Infektion.

Es ist also durchaus ratsam als Anwender nicht auf alles zu klicken, was sich einem dar­bietet: Selbst guter Inter­net­schutz ist also gerade für neue Schäd­linge noch recht löchrig.

Zwei Fliegen mit einer Klappe

Auch wenn die E‑Mail heute der meist­ge­nutzte Kom­mu­ni­ka­ti­ons­kanal im Business-Umfeld ist, ist es leider noch nicht üblich E‑Mails so zu ver­senden, dass der Absender ein­deutig iden­ti­fi­zierbar ist: Es ist ein leichtes, Absen­der­an­gaben zu fäl­schen. Mit etwas Social Engi­neering lassen sich E‑Mails leicht auf Ziel­per­sonen und Unter­nehmen abstimmen. Selbst bei all­ge­meinen Phishing-Mails ist sprachlich kaum mehr etwas aus­zu­setzen – vom her­vor­ragend ange­passten Look & Feel der gefälschten Inter­net­seiten ganz zu schweigen. Der gerne genannte Sicher­heits­hinweis, Absender und Betreff zu prüfen, ist nur noch Maku­latur. Standard E‑Mails sind damit für (rechts­ver­bind­liche) geschäft­liche Kor­re­spondenz nicht geeignet.

Darüber hinaus zeigt die DsiN-Studie zur IT-Sicherheit im Mit­tel­stand, dass bei der digi­talen Kom­mu­ni­kation noch zu wenig Wert auf Inte­grität, Authen­ti­zität und Ver­trau­lichkeit gelegt werden. Laut der Studie haben lediglich 44 Prozent der mit­tel­stän­di­schen Unter­nehmen in Deutschland Vor­keh­rungen zur E‑Mail-Sicherheit getroffen. E‑Mail-Sicherheit meint hier nicht nur, dass die Ver­trau­lichkeit sicher gestellt ist. Es geht dabei auch um die Gewähr­leistung der Inte­grität einer E‑Mail, den Absender und die Rechtsverbindlichkeit.

Die Lösung für beide Sach­ver­halte ist denkbar einfach: Mit einer Signatur kann zum einen sicher­ge­stellt werden, wer der Absender einer E‑Mail ist und, ob diese unver­ändert über­mittelt wurde. Durch die Klas­si­fi­zierung in signierte und unsi­gnierte E‑Mails kann die ernst­zu­neh­mende geschäft­liche Kor­re­spondenz schnell und zuver­lässig aus­sor­tiert werden. Die Zeiten, in denen Geschäfts­briefe ver­se­hentlich in den Spam-Ordner aus­sor­tiert und Schäd­linge zuge­stellt werden, wären vorbei.

Über diese Schutz­maß­nahme hinaus sollten geschäfts­kri­tische Infor­ma­tionen und Daten via E‑Mail natürlich aus­schließlich ver­schlüsselt ver­sendet werden. So wird es unbe­rech­tigten Dritten erschwert bzw. unmöglich mit­zu­lesen. Gerade für inno­vative Unter­nehmen ist dies in Zeiten von Prism und Tempora geradezu über­le­bens­wichtig, da diverse Geheim­dienste sogar ein Mandat haben, die eigene Wirt­schaft zu fördern – auch mit dem Know-how aus­län­di­scher Firmen.

Inter­essant ist in dem Zusam­menhang auch die Dis­kussion um Anony­mi­sie­rungs­netz­werke, wie bei­spiels­weise das Tor-Projekt: Dieses hat zum Ziel, die Nutzung von Internet-Diensten zu ver­schleiern, um der Daten­sam­melwut vieler Inter­net­seiten zu ent­kommen. Für die ver­trau­liche Über­mittlung von Inhalten einer E‑Mail sind diese Anony­mi­sie­rungs­dienste jedoch unge­eignet. Siehe dazu auch den Abschnitt “Sicheres Surfen im Netz” im ZDF heute journal vom 10.07.2013.
 

Bild:  © S.Hofschlaeger / pixelio.de

2 Kommentare zu Löchriger Internetschutz

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.