Die rote Pille – oder doch die blaue?

Die Matrix umgibt uns – daran wird in Zeiten zuneh­mender Glo­ba­li­sierung auch kein Staat mehr etwas ändern. Die Men­schen wollen etwas wie den Hacker-Para­­grafen? Nein, nicht wirklich. Eigentlich wün­schen sie sich nur ihre Ruhe.

Im Gegensatz zum Film hat man als Admi­nis­trator sicher nicht die Wahl, das gesamte System zu revo­lu­tio­nieren. Aber schick­sals­er­geben die Hände in den Schoß zu legen, ist eben­falls keine Antwort auf die aktu­ellen Gefährdungen.

Was also tun?
Auch wenn der Ver­gleich abge­dro­schen wirkt: Airbag, Sicher­heitsgurt und Co. können leichte und mittlere Gefah­ren­lagen durchaus meistern. Es geht bei allen Maß­nahmen immer um die Ver­hält­nis­mä­ßigkeit (§ 9 BDSG – Tech­nische und orga­ni­sa­to­rische Maß­nahmen – Daten­si­cherheit) von ein­ge­setzten Mitteln und der Schutz­wür­digkeit  eines Unternehmenswertes.
Es gibt diverse Maß­nahmen und Tools, um die Sicherheit im eigenen Netzwerk zu ana­ly­sieren und dieses abzu­si­chern. Inter­essant ist dabei, das recht­liche und tech­nische Umfeld zu betrachten. Vor allem, da es sich abzeichnet, dass immer mehr Expertise erfor­derlich ist. Durch die seit einem Jahr deutlich mehr gewor­denen Mel­dungen über Router-Schwach­stellen, Miss­brauch von USB-Geräten, unge­schützten „Smart“-Geräten mit unsi­chere Firmware und unge­nü­genden Sicher­heits­up­dates diverser Hardware ist der normale Anwender schlicht überfordert.

Der Hacker­pa­ragraf
Wie war das noch „damals“: Seit 2007 ist das „Vor­be­reiten des Aus­spähens und Abfangens von Daten“ in § 202c des deut­schen Straf­ge­setz­buches unter Strafe gestellt.
Seit dieser Zeit bangen die Anbieter von Netzwerk-Sicher­heits­­­tests um ihre Repu­tation. Keine Netzwerk-Pene­­tration ohne aus­drück­liche, schrift­liche Geneh­migung. Wer seine IT schon mal hat prüfen lassen, kennt die Pro­ble­matik. Wer dies mit geeig­neten Admi­nis­tra­ti­ons­werk­zeugen selbst in die Hand nehmen möchte, steht bewusst oder unbe­wusst mit einem Bein im Gefängnis.
Auf der anderen Seite macht die deutsche Gerichts­barkeit an den Grenzen unseres Staates halt, ggf. erweitert durch Rechts­hilfe-Abkommen mit anderen Staaten. Etwas kurz gedacht für ein inter­na­tio­nales Problem.
Ein natio­nales Gesetz alleine nützt wenig auf dem inter­na­tio­nalen Parkett.

ZMap kar­tiert das Internet
Wie steht es heute, im Jahr 2014? Nein, es geht nicht schon wieder um die Geheim­dienste der „Five Eyes“. Heute gibt es für jedermann Tools wie ZMap, die außerhalb unseres Rechts­raumes ein­ge­setzt werden können. Natürlich auch bei uns, wenn hier­durch keine Vor­be­rei­tungs­handlung zu einer Com­pu­ter­straftat erfolgt.
Was man damit machen kann, klingt einfach: „aktive Kar­tierung und Sammlung ver­letz­licher Systeme weltweit“. Das freut Bot-Netz-Betreiber weltweit, denn es öffnet die Tür für wei­ter­füh­rende Angriffe. Man stelle sich vor, zig­tau­sende von PCs und Servern halten die neu­esten Schäd­linge bereit. Und diese stehen noch nicht auf den „Black­lists“ der Antiviren-Hersteller.
Ein abschlie­ßendes Bild über die aktuelle Gefah­renlage ist damit nicht mehr möglich.

Symantecs Statement
„Anti­vi­ren­software wird immer nutz­loser. Statt­dessen fokus­sieren Sicher­heits­un­ter­nehmen mehr auf Scha­dens­be­grenzung. Zu dem Schluss kommt Symantecs Vizechef Brian Dye“. Nun, so schwarz kann man es nur aus Sicht eines Her­stellers mit Blick auf den Deckungs­beitrag sehen.
Tat­sächlich müssen eben weitere Maß­nahmen ergriffen werden, die – wie im gleichen Beitrag dar­ge­stellt — vom Her­steller scheinbar ver­nach­lässigt wurden.

Auf­rüstung der Ver­tei­di­gungs­linien erforderlich
Alles zusam­men­ge­nommen lässt eigentlich nur einen Schluss zu: Besteht der einzige Schutz eines Unter­nehmens in einem Anti­­viren-Pro­­­gramm, taugt dieser nur noch als Feigenblatt.
Der DsiN Sicher­heits­mo­nitor Mit­tel­stand 2014  zeigt schwere Mängel bei der IT-Sicherheit im Mit­tel­stand. Da ver­wundert es nicht, dass 38 Prozent aller Inter­net­nutzer in den ver­gan­genen zwölf Monaten Opfer von Com­­puter- und Inter­net­kri­mi­na­lität geworden sind.
BITKOM-Prä­­sident Prof. Dieter Kempf: „Für ein ins­gesamt höheres Schutz­niveau müssen wir an drei Stellen ansetzen: IT-Pro­­­dukte und Online-Dienste sollten noch sicherer und die Straf­ver­folgung ver­bessert werden. Zudem sollten die Nutzer mög­liche Gefahren kennen und ent­spre­chend handeln.“ Erschwerend für betroffene Unter­nehmen kommt hinzu, dass immer öfter IT-Sicher­heits­­­vor­­­fälle  bekannt werden.

Fazit:
Kennen der Unter­neh­mens­werte und der Gefahren sind die Grund­lagen jeg­licher Sicher­heits­vor­keh­rungen. Dies gilt nicht nur für die Admi­nis­tration der IT, sondern auch für die Nutzung durch den Mitarbeiter.
Wie diverse Tools zeigen, ist ein Unter­tauchen in der Masse nicht möglich – dies gilt für die Nutzung des Internets wie auch für die Sicher­heits­lücken der eigenen IT. Der Pflege von Firewall-Regeln und dem Ein­spielen von Sicher­heits-Updates  sollte besondere Auf­merk­samkeit gewidmet werden. Die Kenntnis über alle im Netzwerk ange­mel­deten und gesteckten Geräte  und deren Firmware bzw. Trei­ber­stand ist hierbei grund­legend – gerade für den Brü­ckenkopf  ins Internet.
Fehlt eigenes Know-how sichern Security-Dienst­­leis­­tungen den Inter­net­zugang ab. Große Business-Lösungen über­nehmen einen sicher­heits­tech­ni­schen Full-Service.
Ver­hal­tens­richt­linien für den Mit­ar­beiter und dessen Berech­ti­gungen  runden die tech­ni­schen Vor­keh­rungen ab.

Bild:  © Paul-Georg Meister / pixelio.de