Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Die rote Pille – oder doch die blaue?
Die Matrix umgibt uns – daran wird in Zeiten zunehmender Globalisierung auch kein Staat mehr etwas ändern. Die Menschen wollen etwas wie den Hacker-Paragrafen? Nein, nicht wirklich. Eigentlich wünschen sie sich nur ihre Ruhe.
Im Gegensatz zum Film hat man als Administrator sicher nicht die Wahl, das gesamte System zu revolutionieren. Aber schicksalsergeben die Hände in den Schoß zu legen, ist ebenfalls keine Antwort auf die aktuellen Gefährdungen.
Was also tun?
Auch wenn der Vergleich abgedroschen wirkt: Airbag, Sicherheitsgurt und Co. können leichte und mittlere Gefahrenlagen durchaus meistern. Es geht bei allen Maßnahmen immer um die Verhältnismäßigkeit (§ 9 BDSG – Technische und organisatorische Maßnahmen – Datensicherheit) von eingesetzten Mitteln und der Schutzwürdigkeit eines Unternehmenswertes.
Es gibt diverse Maßnahmen und Tools, um die Sicherheit im eigenen Netzwerk zu analysieren und dieses abzusichern. Interessant ist dabei, das rechtliche und technische Umfeld zu betrachten. Vor allem, da es sich abzeichnet, dass immer mehr Expertise erforderlich ist. Durch die seit einem Jahr deutlich mehr gewordenen Meldungen über Router-Schwachstellen, Missbrauch von USB-Geräten, ungeschützten „Smart“-Geräten mit unsichere Firmware und ungenügenden Sicherheitsupdates diverser Hardware ist der normale Anwender schlicht überfordert.
Der Hackerparagraf
Wie war das noch „damals“: Seit 2007 ist das „Vorbereiten des Ausspähens und Abfangens von Daten“ in § 202c des deutschen Strafgesetzbuches unter Strafe gestellt.
Seit dieser Zeit bangen die Anbieter von Netzwerk-Sicherheitstests um ihre Reputation. Keine Netzwerk-Penetration ohne ausdrückliche, schriftliche Genehmigung. Wer seine IT schon mal hat prüfen lassen, kennt die Problematik. Wer dies mit geeigneten Administrationswerkzeugen selbst in die Hand nehmen möchte, steht bewusst oder unbewusst mit einem Bein im Gefängnis.
Auf der anderen Seite macht die deutsche Gerichtsbarkeit an den Grenzen unseres Staates halt, ggf. erweitert durch Rechtshilfe-Abkommen mit anderen Staaten. Etwas kurz gedacht für ein internationales Problem.
Ein nationales Gesetz alleine nützt wenig auf dem internationalen Parkett.
ZMap kartiert das Internet
Wie steht es heute, im Jahr 2014? Nein, es geht nicht schon wieder um die Geheimdienste der „Five Eyes“. Heute gibt es für jedermann Tools wie ZMap, die außerhalb unseres Rechtsraumes eingesetzt werden können. Natürlich auch bei uns, wenn hierdurch keine Vorbereitungshandlung zu einer Computerstraftat erfolgt.
Was man damit machen kann, klingt einfach: „aktive Kartierung und Sammlung verletzlicher Systeme weltweit“. Das freut Bot-Netz-Betreiber weltweit, denn es öffnet die Tür für weiterführende Angriffe. Man stelle sich vor, zigtausende von PCs und Servern halten die neuesten Schädlinge bereit. Und diese stehen noch nicht auf den „Blacklists“ der Antiviren-Hersteller.
Ein abschließendes Bild über die aktuelle Gefahrenlage ist damit nicht mehr möglich.
Symantecs Statement
„Antivirensoftware wird immer nutzloser. Stattdessen fokussieren Sicherheitsunternehmen mehr auf Schadensbegrenzung. Zu dem Schluss kommt Symantecs Vizechef Brian Dye“. Nun, so schwarz kann man es nur aus Sicht eines Herstellers mit Blick auf den Deckungsbeitrag sehen.
Tatsächlich müssen eben weitere Maßnahmen ergriffen werden, die – wie im gleichen Beitrag dargestellt — vom Hersteller scheinbar vernachlässigt wurden.
Aufrüstung der Verteidigungslinien erforderlich
Alles zusammengenommen lässt eigentlich nur einen Schluss zu: Besteht der einzige Schutz eines Unternehmens in einem Antiviren-Programm, taugt dieser nur noch als Feigenblatt.
Der DsiN Sicherheitsmonitor Mittelstand 2014 zeigt schwere Mängel bei der IT-Sicherheit im Mittelstand. Da verwundert es nicht, dass 38 Prozent aller Internetnutzer in den vergangenen zwölf Monaten Opfer von Computer- und Internetkriminalität geworden sind.
BITKOM-Präsident Prof. Dieter Kempf: „Für ein insgesamt höheres Schutzniveau müssen wir an drei Stellen ansetzen: IT-Produkte und Online-Dienste sollten noch sicherer und die Strafverfolgung verbessert werden. Zudem sollten die Nutzer mögliche Gefahren kennen und entsprechend handeln.“ Erschwerend für betroffene Unternehmen kommt hinzu, dass immer öfter IT-Sicherheitsvorfälle bekannt werden.
Fazit:
Kennen der Unternehmenswerte und der Gefahren sind die Grundlagen jeglicher Sicherheitsvorkehrungen. Dies gilt nicht nur für die Administration der IT, sondern auch für die Nutzung durch den Mitarbeiter.
Wie diverse Tools zeigen, ist ein Untertauchen in der Masse nicht möglich – dies gilt für die Nutzung des Internets wie auch für die Sicherheitslücken der eigenen IT. Der Pflege von Firewall-Regeln und dem Einspielen von Sicherheits-Updates sollte besondere Aufmerksamkeit gewidmet werden. Die Kenntnis über alle im Netzwerk angemeldeten und gesteckten Geräte und deren Firmware bzw. Treiberstand ist hierbei grundlegend – gerade für den Brückenkopf ins Internet.
Fehlt eigenes Know-how sichern Security-Dienstleistungen den Internetzugang ab. Große Business-Lösungen übernehmen einen sicherheitstechnischen Full-Service.
Verhaltensrichtlinien für den Mitarbeiter und dessen Berechtigungen runden die technischen Vorkehrungen ab.
Bild: © Paul-Georg Meister / pixelio.de

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

Neueste Kommentare