DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Sicher­heits­lücken über­prüfen

Sicherheitslücke überprüfen

Die Meldung von Sicher­heits­lücken ver­ur­sacht viel PR-Wirbel, weshalb es auch immer wieder Falsch­mel­dungen darüber gibt.

 

 

Wie man her­aus­finden kann, ob es sich um eine echte Sicher­heits­lücke oder um eine Falsch­meldung handelt, macht ein Papier der Unter­neh­mens­be­ratung Deloitte deutlich:

Der Bekannt­heitsgrad, den man erreichen kann, wenn man eine Sicher­heits­lücke findet, ist ver­füh­re­risch. Daher ist es für manchen „Hack­ti­visten“ auch reizvoll, eine Falsch­meldung zu plat­zieren.

So positiv die Auf­merk­samkeit für den Finder ist, so kata­strophal gestaltet sich der Vorfall für das betroffene Unter­nehmen, denn es wird vor eine riesige PR-Her­aus­­for­­derung gestellt und kann den Wettlauf mit der Zeit kaum gewinnen.
Die Geschwin­digkeit, in der sich die Falsch­meldung ver­breitet, ist um ein Viel­faches schneller als der Prozess der „Not­fall­planung“ im betrof­fenen Unter­nehmen.

Dabei kommt es gar nicht so selten vor, dass die Ent­decker der Sicher­heits­lücken diese für ihre Zwecke aus Daten­halden alter Sicher­heits­lücken recycelt haben – Es handelt sich hierbei also um keine echte Sicher­heits­lücke.

Der Weg­weiser soll die betrof­fenen Unter­nehmen oder auch Medi­en­ver­treter, denen Daten­be­stände zuge­spielt wurden, in die Lage ver­setzen, fest­zu­stellen, ob tat­sächlich eine Bedrohung der Daten­si­cherheit vor­liegt.

Bei­spiels­weise kom­bi­niert man im Rahmen einer Online­recherche Text­schnipsel, Pass­wörter und ver­schiedene Namen aus der Liste ver­öf­fent­lichten Daten­be­stands. So merkt man ziemlich schnell, ob es sich um eine neues oder altes Datenleck handelt.

Die Ver­fas­serin des Leit­fadens weist aber auch darauf hin, dass man mit den von ihr vor­ge­stellten Methoden nur fest­stellen kann, ob der Daten­ab­fluss echt oder eine Falsch­meldung ist bzw. ob es sich um recy­celte Alt- oder erbeutete Neu­daten handelt.

Ob in dem Unter­nehmen tat­sächlich ein Sicher­heits­vorfall statt­ge­funden hat, kann nur intern beur­teilt werden, denn dazu müssen andere Methoden ange­wendet werden.

Bild:  © lichtkunst.73 / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekann­ten­kreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.