Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Sicherheitslücken überprüfen
Die Meldung von Sicherheitslücken verursacht viel PR-Wirbel, weshalb es auch immer wieder Falschmeldungen darüber gibt.
Wie man herausfinden kann, ob es sich um eine echte Sicherheitslücke oder um eine Falschmeldung handelt, macht ein Papier der Unternehmensberatung Deloitte deutlich:
Der Bekanntheitsgrad, den man erreichen kann, wenn man eine Sicherheitslücke findet, ist verführerisch. Daher ist es für manchen „Hacktivisten“ auch reizvoll, eine Falschmeldung zu platzieren.
So positiv die Aufmerksamkeit für den Finder ist, so katastrophal gestaltet sich der Vorfall für das betroffene Unternehmen, denn es wird vor eine riesige PR-Herausforderung gestellt und kann den Wettlauf mit der Zeit kaum gewinnen.
Die Geschwindigkeit, in der sich die Falschmeldung verbreitet, ist um ein Vielfaches schneller als der Prozess der „Notfallplanung“ im betroffenen Unternehmen.
Dabei kommt es gar nicht so selten vor, dass die Entdecker der Sicherheitslücken diese für ihre Zwecke aus Datenhalden alter Sicherheitslücken recycelt haben – Es handelt sich hierbei also um keine echte Sicherheitslücke.
Der Wegweiser soll die betroffenen Unternehmen oder auch Medienvertreter, denen Datenbestände zugespielt wurden, in die Lage versetzen, festzustellen, ob tatsächlich eine Bedrohung der Datensicherheit vorliegt.
Beispielsweise kombiniert man im Rahmen einer Onlinerecherche Textschnipsel, Passwörter und verschiedene Namen aus der Liste veröffentlichten Datenbestands. So merkt man ziemlich schnell, ob es sich um eine neues oder altes Datenleck handelt.
Die Verfasserin des Leitfadens weist aber auch darauf hin, dass man mit den von ihr vorgestellten Methoden nur feststellen kann, ob der Datenabfluss echt oder eine Falschmeldung ist bzw. ob es sich um recycelte Alt- oder erbeutete Neudaten handelt.
Ob in dem Unternehmen tatsächlich ein Sicherheitsvorfall stattgefunden hat, kann nur intern beurteilt werden, denn dazu müssen andere Methoden angewendet werden.
Bild: © lichtkunst.73 / pixelio.de

Über die Autorin:
Diplom-Kauffrau
Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienstleistungen und Security seit 2005 zuständig für übergreifende Kommunikation und Vermarktung technischer Produktlösungen. Verfasst in diesem Kontext regelmäßig Beiträge in der Kundenzeitschrift der DATEV und ist Co-Autorin des Leitfadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „technische Beraterin” der Unternehmer im Bekanntenkreis.

Neueste Kommentare