DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Die evo­lu­tionäre Ent­stehung von Sicherheitslücken

Der Einsatz von abge­kün­digter Software bedeutet mehr als das Aus­laufen der Wartung und Pflege. Der Genuss von abge­lau­fener Software führt zu Unver­träg­lich­keiten, Stö­rungen und öffnet Angriffen und Schad­software die Tür.

Software altert: Eines der Pro­bleme ist die Lauf­fä­higkeit auf neuen Platt­formen. Ein anderes ist jedoch, dass Software in einer sich stetig wei­ter­ent­wi­ckelnden, neuen Umgebung ange­passt werden muss.

Alte und abge­kün­digte Software
Wer nun mit einem Auge zum Betriebs­system XP schielt, könnte denken „Tot­ge­sagte leben länger“. Dieses Betriebs­system ist mit 10,90  %  noch immer im Einsatz. Geht doch!
XP ist nur ein Bei­spiel für über­al­terte Software und es ist ein Betriebs­system. Wer nun aber glaubt, andere Software wird schneller ersetzt, irrt. Gerade in Firmen gilt: „never change a running system“. Fassen Sie sich mal an die Nase: wie alt ist ihr Text­ver­ar­bei­tungs­pro­gramm? Kennen Sie über­haupt sämt­liche Software, die bei Ihnen auf den Fest­platten schlummert? Bei bran­chen­spe­zi­fi­scher Software oder gar Spe­zi­al­software ist eine neue Version zudem meist teuer. Der Wider­stand gegen ein Update steigt jedoch nicht nur mit dem Preis. Je stärker eine neue Version in die gewohnten, betriebs­in­ternen Abläufe ein­greift, desto größer sind nicht nur die Wider­stände sondern auch die Kosten, die mit einer Anpassung der Abläufe einhergehen.
Das Alter alleine macht jedoch nicht das Problem. Solange eine Software noch gewartet wird, also auf neue Platt­formen, neue Hardware und neue Umge­bungen ange­passt wird, werden Lücken geschlossen und Fehl­funk­tionen behoben.

Software-Wei­­ter­en­t­­wicklung reisst Lücken
Pro­ble­ma­tisch wird es erst, wenn sich sowohl die Plattform, auf der die Software läuft, die tech­nische Basis und die Schnitt­stellen zu anderen Pro­grammen oder Modulen nicht mehr ange­passt wird. Mit zuneh­mender Zeit schleichen sich Unver­träg­lich­keiten, Per­for­mance­pro­bleme, Fehl­funk­tionen und Sicher­heits­lücken ein. Ja, es können nicht nur bisher unbe­kannte Sicher­heits­lücken ent­deckt und nicht mehr geschlossen werden.
Heise schreibt hierzu in einem Beitrag „Auch Software hat nur eine begrenzte Halt­barkeit”. Natürlich gehen bei Software nicht, wie bei einer Flug­zeug­turbine, Teile auf­grund von Ver­schleiß kaputt. Aber ver­än­derte Ein­satz­be­din­gungen fördern bislang unent­deckte Bugs zutage; neu ent­deckte Sicher­heits­lücken machen ein Pro­gramm von heute auf morgen zu einem Ein­fallstor für Schäd­linge; und ver­än­derte Betriebs­um­ge­bungen führen zu Fehlfunktionen.“
Darüber hinaus fördert das neu­artige Zusam­men­spiel und die ver­än­derte Umgebung auch das Ent­stehen neuer Lücken.
 

Fazit:
Auch wenn es vom Anwender nicht so wahr­ge­nommen wird, ist die Soft­ware­land­schaft ein fili­granes Gebilde, das einer stän­digen Pflege bedarf um dau­erhaft richtig zu funktionieren.
Leider zeigen aktuelle Bei­spiele (Spiele, Mul­ti­media, Auto­mobile etc.) dass das Bewusstsein für einen ver­ant­wor­tungs­vollen Umgang mit Sicher­heits­lücken ver­bes­se­rungs­fähig ist.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.