Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Informationssicherheit im Mittelstand. Was bleibt wohl für 2014 im Gedächtnis?
Enthüllungen zu den Geheimdienstaktivitäten, Spionage-Attacken auf Industrieanlagen, Diebstahl von Millionen Zugangsdaten und sensiblen Firmendaten füllten die Schlagzeilen. Begleitet wurden diese in 2014 von zwei besonderen Herausforderungen für die IT-Sicherheit.
Enthüllungen zu den Geheimdienstaktivitäten, Spionage-Attacken auf Industrieanlagen, Diebstahl von Millionen Zugangsdaten und sensiblen Firmendaten füllten die Schlagzeilen. Begleitet wurden diese in 2014 von den wahrscheinlich zwei besonderen Herausforderungen für die IT-Sicherheit: Updates, Updates Updates… und Phishing-Attacken per E‑Mail.
Vielzahl an Sicherheitsupdates und kritischen Sicherheitslücken
2014 war wohl der bisherige Höhepunkt an Meldungen zu Sicherheitsupdates für eine fast schon unglaubliche Vielzahl an Sicherheitslücken.
So wurde so gut wie alles, was eine Software, Firmware oder ein Betriebssystem benötigt, gepatcht – teils mehrfach. Dazu gehören die regelmäßigen Updates von Microsoft, Java, Adobe genauso wie die Sicherheits-Patches für Router, Drucker, etc.
Einen Überblick dazu geben die Archive vom Bürger-Cert des BSI und die Schwachstellenampel auf www.buerger-cert.de. Noch beeindruckender sind die securitynews auf www.it-sicherheit.de wenn sie dort auf „Alle Sicherheitsupdates anzeigen“ klicken.
Auffällig war dabei der hohen Anteil an kritischen bzw. sehr kritischen Lücken. So waren oft bereits Exploits vorhanden und Angriffsversuche bekannt und eine dringende Installation der Patches empfohlen worden. Besonders in Erinnerung bleiben wohl Heartbleed, Shellshock, Poodle und die Patches für eine OLE-Schnittstelle von Windows.
Als Administrator kommt man gar nicht mehr hinterher, vor allem, wenn nicht klar ist ob und wie man tatsächlich von den möglichen Sicherheitslücken betroffen sein könnte bzw. die Updates eine Lücke tatsächlich geschlossen haben. Und der Eindruck entsteht, dass die IT-System und Anwendungen sicherheitstechnisch löcherig sein müssen wie ein Schweizer Käse. Erschwerend kommt hinzu, wenn dann auch noch die Updates fehlerhaft sind und die veröffentlichten Security-Updates zurückgezogen werden.
Kein Wunder, dass sich im Internet zu den Sicherheitsmeldungen der verschiedenen Anbieter immer mehr ironische und sarkastische Kommentare nachlesen lassen; und ein inflationäres Desinteresses dafür erwächst. Nicht zu vergessen sind all die Verschwörungstheorien die sich dazu hartnäckig halten oder dadurch bestätigt sehen.
Phishing-Attacken per E‑Mail
Ein weiterer Schwerpunkt waren die großen Wellen an betrügerischen E‑Mails mit dem gefährlichen Anhängen oder Links die mehrfach über das Internet hinweg brausten. Diese Mails kamen meist als täuschend echt wirkende Providerrechnungen und/oder Banken-Mails daher. Welche präventiven Schutzmaßnahmen sie im Unternehmen dringend umsetzen sollten und warum die Awareness der Mitarbeiter immer mehr zum wichtigsten Schutz gegen diese Attacken wird, wurde hier im Blog mehrfach gepostet.
Virenhersteller verkünden neue Methoden da der bisherige Schutz hierzu nicht mehr ausreichend erscheint. Reagieren (Cyber-Response) statt Prävention lautet jetzt die Strategie. Mehr dazu können sie hier https://www.dsin-blog.de/virenschutz-chancenlos nachlesen
So gesehen war 2014 ein schwieriges Jahr für die Informationssicherheit. Was wir 2015 erwarten können, erfahren Sie in meinem Ausblick, der am 07.02. hier im Blog erscheinen wird.
Wir wünschen Ihnen, Ihren Mitarbeitern und Ihren Familien eine fröhliche Zeit und ein schönes Weihnachtsfest. Danke für das Interesse, das Sie uns bislang entgegengebracht haben.In diesem Sinne ein gemeinsam erfolgreiches und sicheres Jahr 2015!
Bild: © Rainer Sturm / pixelio.de

Stefan Brandl ist seit 1994 bei der DATEV eG in Nürnberg tätig. In der Kommunikation und Vermarktung des Bereichs IT-Lösungen und Security ist er verantwortlich für den DATEV Sicherheitscheck und DATEV-Ansprechpartner für das Handlungsversprechen „Starthilfe Sicherheit für den Mittelstand” vom Verein Deutschland sicher in Netz e.V. (DsiN). U.a. ist er Co-Autor der DsiN-Sicherheitsmonitore „Sicherheitslage im Mittelstand 2011/2012/2013 und 2014”. Seit 2012 betreut er zudem den DsiN-Blog.

Neueste Kommentare