Infor­ma­ti­ons­si­cherheit im Mit­tel­stand. Was bleibt wohl für 2014 im Gedächtnis?

Ent­hül­lungen zu den Geheim­dienst­ak­ti­vi­täten, Spionage-Attacken auf Indus­trie­an­lagen, Dieb­stahl von Mil­lionen Zugangs­daten und sen­siblen Fir­men­daten füllten die Schlag­zeilen. Begleitet wurden diese in 2014 von zwei beson­deren Her­aus­for­de­rungen für die IT-Sicherheit.

Ent­hül­lungen zu den Geheim­dienst­ak­ti­vi­täten, Spionage-Attacken auf Indus­trie­an­lagen, Dieb­stahl von Mil­lionen Zugangs­daten und sen­siblen Fir­men­daten füllten die Schlag­zeilen. Begleitet wurden diese in 2014 von den wahr­scheinlich zwei beson­deren Her­aus­for­de­rungen für die IT-Sicherheit: Updates, Updates Updates… und Phishing-Attacken per E‑Mail.

Vielzahl an Sicher­heits­up­dates und kri­ti­schen Sicherheitslücken

2014 war wohl der bis­herige Höhe­punkt an Mel­dungen zu Sicher­heits­up­dates für eine fast schon unglaub­liche Vielzahl an Sicherheitslücken.

So wurde so gut wie alles, was eine Software, Firmware oder ein Betriebs­system benötigt, gepatcht – teils mehrfach. Dazu gehören die regel­mä­ßigen Updates von Microsoft, Java, Adobe genauso wie die Sicher­heits-Patches für Router, Drucker, etc.

Einen Über­blick dazu geben die Archive vom Bürger-Cert des BSI und die Schwach­stel­len­ampel auf www.buerger-cert.de. Noch beein­dru­ckender sind die secu­ri­tynews auf www.it-sicherheit.de wenn sie dort auf „Alle Sicher­heits­up­dates anzeigen“ klicken.

Auf­fällig war dabei der hohen Anteil an kri­ti­schen bzw. sehr kri­ti­schen Lücken. So waren oft bereits Exploits vor­handen und Angriffs­ver­suche bekannt und eine drin­gende Instal­lation der Patches emp­fohlen worden. Besonders in Erin­nerung bleiben wohl Heart­bleed, Shellshock, Poodle und die Patches für eine OLE-Schnit­t­stelle von Windows.

Als Admi­nis­trator kommt man gar nicht mehr hin­terher, vor allem, wenn nicht klar ist ob und wie man tat­sächlich von den mög­lichen Sicher­heits­lücken betroffen sein könnte bzw. die Updates eine Lücke tat­sächlich geschlossen haben. Und der Ein­druck ent­steht, dass die IT-System und Anwen­dungen sicher­heits­tech­nisch löcherig sein müssen wie ein Schweizer Käse. Erschwerend kommt hinzu, wenn dann auch noch die Updates feh­lerhaft sind und die ver­öf­fent­lichten Security-Updates zurück­ge­zogen werden.

Kein Wunder, dass sich im Internet zu den Sicher­heits­mel­dungen der ver­schie­denen Anbieter immer mehr iro­nische und sar­kas­tische Kom­mentare nach­lesen lassen; und ein infla­tio­näres Des­in­ter­esses dafür erwächst. Nicht zu ver­gessen sind all die Ver­schwö­rungs­theorien die sich dazu hart­näckig halten oder dadurch bestätigt sehen.

Phishing-Attacken per E‑Mail

Ein wei­terer Schwer­punkt waren die großen Wellen an betrü­ge­ri­schen E‑Mails mit dem gefähr­lichen Anhängen oder Links die mehrfach über das Internet hinweg brausten. Diese Mails kamen meist als täu­schend echt wir­kende Pro­vi­der­rech­nungen und/oder Banken-Mails daher. Welche prä­ven­tiven Schutz­maß­nahmen sie im Unter­nehmen dringend umsetzen sollten und warum die Awa­reness der Mit­ar­beiter immer mehr zum wich­tigsten Schutz gegen diese Attacken wird, wurde hier im Blog mehrfach gepostet.

Viren­her­steller ver­künden neue Methoden da der bis­herige Schutz hierzu nicht mehr aus­rei­chend erscheint. Reagieren (Cyber-Response) statt Prä­vention lautet jetzt die Stra­tegie. Mehr dazu können sie hier https://www.dsin-blog.de/virenschutz-chancenlos nachlesen

So gesehen war 2014 ein schwie­riges Jahr für die Infor­ma­ti­ons­si­cherheit. Was wir 2015 erwarten können, erfahren Sie in meinem Aus­blick, der am 07.02. hier im Blog erscheinen wird.

Wir wünschen Ihnen, Ihren Mit­ar­beitern und Ihren Familien eine fröh­liche Zeit und ein schönes Weih­nachtsfest. Danke für das Interesse, das Sie uns bislang ent­ge­gen­ge­bracht haben.In diesem Sinne ein gemeinsam erfolg­reiches und sicheres Jahr 2015!

Bild: © Rainer Sturm / pixelio.de