DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Wie ent­scheiden Sie, ob Sie einer Anwendung ver­trauen können?

Die heu­tigen Com­puter, Tablets und Smart­phones werden immer besser, immer smarter und immer voll­stän­diger. Android — wie iOS-Geräte werden schon mit allem aus­ge­liefert, was der “normale” Benutzer so braucht: Doku­men­ten­ver­ar­beitung, Tabel­len­kal­ku­lation, Prä­sen­ta­ti­ons­software ist überall dabei, wie natürlich auch die per­sön­lichen Pla­nungs­as­sis­tenten wie Kalender, Auf­ga­ben­ver­wal­tungen und Adress­bücher. Doch noch immer gibt es Situa­tionen, in denen Sie eine “extra App”, eine separate Anwendung, ein spe­zi­elles Pro­gramm benö­tigen — oder einfach mal aus­pro­bieren wollen.

Doch kann ich heute noch Software ver­trauen? Woher weiß ich, dass die instal­lierte Software auf PC oder Smart­phone keinen Unfug anrichtet, Daten aus­späht und ver­schickt, oder gar meine Dateien ver­schlüsselt, und mich damit erpressen will (Stichwort “Ran­somware”)? Wir gehen in diesem Blog­beitrag davon aus, dass das Betriebs­system dies selbst nicht tut.

Her­kunft von Zusatz­software

Alle heute gän­gigen Betriebs­systeme bieten die Mög­lichkeit, mittels so genannter Code­si­gna­turen die Inte­grität von Zusatz­software sowie von dessen Ursprung sicher­zu­stellen. Sie erkennen dies an einer Meldung des Systems: Ent­weder können Sie unbe­kannte Software gar nicht instal­lieren oder Sie werden gefragt, ob Sie wirklich Software aus einer unbe­kannten Quelle instal­lieren möchten – und damit ein grö­ßeres Risiko ein­gehen wollen.

Für Smart­phones ist es ganz ähnlich: Apps, die nicht aus dem zuge­hö­rigen App-Store geladen werden, können gar nicht instal­liert werden. Wenn­gleich die Kon­trolle des Ver­triebs­kanals für App-Anbieter sicherlich einen gewissen Nachteil dar­stellt, ist es für die Sicherheit des Benutzers von Vorteil — wenn denn der App-Store-Anbieter auch die Sicherheit prüft. Hier gibt es große Unter­schiede.

Auf­grund der für Dritt­an­bieter sehr offenen Archi­tektur hat Android zudem einen prin­zip­be­dingten Nachteil: Während Microsoft und Apple vor­geben können, worauf eine App über­haupt Zugriff haben kann, ist diese Ent­scheidung bei Android-Handys voll­ständig dem Benutzer über­lassen. Früher konnten Apps das sogar selbst bestimmen, das geht bei neueren Ver­sionen zum Glück nicht mehr. Bei den PC-Betriebs­­­sys­­­temen kann der Benutzer oder in Firmen der Admi­nis­trator diese Ein­stel­lungen aber auch selbst vor­nehmen — und so gehen viele Anwender das Risiko ein, unbe­kannte und poten­ziell gefähr­liche Apps und Anwen­dungen zu instal­lieren.

Sie wollen eine bestimmte App instal­lieren?

Wenn Sie nun eine App bzw. eine Software unbe­dingt instal­lieren möchten: Was können Sie tun, um abzu­schätzen, ob die Software ver­trau­ens­würdig ist? Hier ein paar Hin­weise:

Ist die Software aus dem App-Store oder muss sie von dubiosen Web­seiten geladen werden? Im ers­teren Fall wird die Software nur den Zugriff bekommen, den Sie ihr geben. Im letz­teren Fall kann es sich auch um einen Tro­janer handeln. Ver­lassen Sie sich auch nicht auf scheinbar “normale” Web­adressen oder Software-Sam­m­­lungen.

Ver­suchen Sie, die Software auf dem PC ohne Admi­nis­tra­tor­rechte zu instal­lieren. Normale Anwen­dungs­software benötigt keine Admin-Rechte. Wenn sie dies doch fordert, seien Sie gewarnt.

Seien Sie bei den Anfragen für Berech­ti­gungen grund­sätzlich miss­trauisch. Warum sollte eine Taschen­lampe-App Zugriff auf das Adressbuch bekommen? Viele dubiose Anwen­dungen ver­langen mehr Berech­ti­gungen als eigentlich erfor­derlich. Lehnen Sie die Anfrage ab, und deinstal­lieren Sie die App wieder.

Wenn Sie beim Besuch von Web­seiten auf­ge­fordert werden, Software zu instal­lieren oder scheinbare Updates unbe­dingt erfor­derlich sind – gerne wird hier ein Update des Adobe Flash Player vor­ge­gaukelt, gehen Sie auf keinen Fall darauf ein und schließen Sie am besten den Browser. Ob ein Update erfor­derlich ist, können Sie auf der Her­steller-Seite der Software leicht fest­stellen.

Bei allen Mög­lich­keiten, das Risiko zu begrenzen: Letztlich muss Ihnen bewusst sein, dass Sie heute durch das Instal­lieren von nicht vom Betriebs­­­system-Her­steller über­prüfter Apps ein hohes Risiko ein­gehen und nicht erwarten können, von Angriffen durch Malware und bös­artige Apps fern­ge­halten zu werden — in dem Moment des “Klicks” über­nehmen Sie die Ver­ant­wortung. Daher mein Rat: Ver­zichten Sie im Zweifel lieber auf die ach so coole App!

 

Bild: © aey / Fotolia.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Dr. Sachar Paulus, Hoch­schule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kup­pinger Cole, arbeitet gleich­zeitig als selb­stän­diger Unter­neh­mens­be­rater für Sicherheit und ist Pro­fessor für Unter­neh­mens­si­cherheit und Risi­ko­ma­nagement an der FH Bran­denburg. Er war Mit­glied der stän­digen Inter­es­sen­ver­tretung der ENISA (Euro­päische Netzwerk- und Infor­ma­ti­ons­si­cher­heits­agentur) und des For­schungs­beirats “RISEPTIS” für Ver­trauen und Sicherheit im Future Internet der Euro­päi­schen Kom­mission. Er ist Vor­stands­vor­sit­zender des Vereins “ISSECO” für sichere Software-Ent­wicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Bran­denburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in ver­schie­denen Lei­tungs­funk­tionen zu Sicherheit tätig, unter anderem Leiter der Kon­zern­si­cherheit und Leiter der Pro­dukt­si­cherheit. Er vertrat SAP als Vor­stands­mit­glied in den beiden Ver­einen “Deutschland Sicher im Netz” und “Tele­TrusT”.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare