Papier: 02.03.02.02 Beseitigung oder Reduzierung von Infektions- und Angriffspunkten
Originalversion
| 1 | Zahlreiche IT-Risiken sind systemischer Natur, das heißt |
| 2 | isoliert betrachtet stellen sie kein Risiko dar, wohl aber |
| 3 | im Zusammenwirken. Hat ein Angreifer es etwa geschafft, die |
| 4 | Daten innerhalb eines Systems zu kompromittieren, verliert |
| 5 | jeder Authentifizierungsmechanismus seinen Wert. Die bloße |
| 6 | Absicherung nur eines Teilbereichs eines IT-Systems ist |
| 7 | unzureichend, um den Schutz zu gewährleisten.[FN:] Der |
| 8 | Aufbau einer sicheren IT ist eine komplexe Aufgabe. Es |
| 9 | bedarf einer konzertierten Strategie, um tatsächlich alle |
| 10 | möglichen Angriffspunkte abzusichern. Grundlage sind die |
| 11 | bereits oben genannten Ziele der IT-Sicherheit.[FN: S. oben |
| 12 | Abschnitt II.3.1.3.] Als maßgeblich in diesem präventiven |
| 13 | Bereich dürfen die vom BSI entwickelten |
| 14 | IT-Grundschutz-Kataloge gelten, welche in den Abschnitten M1 |
| 15 | bis M5 (Maßnahmenkataloge) umfangreiche Programme zur |
| 16 | Vorsorge gegen IT-Risiken enthalten.[FN: BSI, |
| 17 | IT-Grundschutz-Kataloge, Stand: 12. EL (Sep. 2011), abrufbar |
| 18 | unter: |
| 19 | https://gsb.download.bva.bund.de/BSI/ITGSK12EL/IT-Grundschut |
| 20 | z-Kataloge-12-EL.pdf] Diese betreffen die IT-Infrastruktur, |
| 21 | organisatorische und personelle Maßnahmen auf |
| 22 | Unternehmensebene sowie Maßnahmen in Bezug auf Hardware und |
| 23 | Software. |
| 24 | |
| 25 | |
| 26 | I.3.2.2.1 Bereitstellung und Installation von Patches |
| 27 | Da Sicherheitslücken in Software nach wie vor der zentrale |
| 28 | Angriffspunkt für eine Infektion von Computern sind, stellt |
| 29 | die Bereitstellung und das zeitgerechte Einspielen von |
| 30 | Softwarekorrekturen, so genannten Patches, zum Schließen |
| 31 | dieser Lücken eine der wichtigsten Aufgaben im Rahmen der |
| 32 | Sicherungsmaßnahmen dar. Als im Jahre 2003 der SQL Slammer |
| 33 | Wurm Schäden in Höhe von geschätzt einer Milliarde Euro |
| 34 | verursachte,[FN: http://news.cnet.com/2009-1001-983540.html] |
| 35 | hatte Microsoft für die Sicherheitslücke, die der Wurm zur |
| 36 | Verbreitung nutzte, bereits sechs Monate zuvor einen Patch |
| 37 | ausgeliefert.[FN: Tipton/Krause, Information Security |
| 38 | Management Handbook, 2007, S. 179.] Nach Schätzungen der |
| 39 | amerikanischen Ermittlungsbehörde Federal Bureau of |
| 40 | Investigation (FBI) und der Carnegie Mellon University sind |
| 41 | 90 Prozent aller Sicherheitsbrüche auf die Ausnutzung von |
| 42 | Sicherheitslücken zurückzuführen, für die bereits ein Patch |
| 43 | verfügbar war.[FN: Tipton/Krause, Information Security |
| 44 | Management Handbook, 2007, S. 179.] Wie bereits erwähnt, |
| 45 | gibt es aber auch IT-Systeme, insbesondere im mobilen |
| 46 | Bereich, für die die Hersteller der Geräte ihren Kunden |
| 47 | entweder keine oder extrem verspätet Updates zur Verfügung |
| 48 | stellen.[FN: Zu Sicherheitslücken etwa bei Geräten mit dem |
| 49 | mobilen Betriebssystem Android von Google s. u.a. |
| 50 | http://heise.de/-1389329; http://heise.de/-1353977; |
| 51 | http://heise.de/-1399337; zu Problemen beziehungsweise |
| 52 | Verzögerungen bei Updates für das Android Betriebssystem s. |
| 53 | u.a. Eckert, IT-Sicherheit, 7. Aufl. 2012, S. 88; s. ebenf. |
| 54 | http://heise.de/-1247850; s. vor allem zu der deutlich |
| 55 | stärken Verbreitung von bereits veralteten System-Versionen |
| 56 | http://developer.android.com/resources/dashboard/platform-ve |
| 57 | rsions.html] |
| 58 | |
| 59 | |
| 60 | I.3.2.2.2 Entwicklung sicherer Software |
| 61 | Je komplexer die Software wird, desto schwieriger wird es, |
| 62 | einen Programmcode zu schreiben, der frei von Fehlern |
| 63 | ist.[FN: Zum Problem der steigenden Komplexität von Software |
| 64 | s. Schulze, Bedingt abwehrbereit, 2006, S. 75 ff. |
| 65 | m.w.Nachw.] Durch die Tendenz zur steigenden Komplexität und |
| 66 | durch modulare Entwicklungsmodelle steigt die Zahl der |
| 67 | Sicherheitslücken sowohl absolut als auch relativ.[FN: |
| 68 | Gaycken, Cyberwar, 2011, S. 55.] Besonders kritisch ist die |
| 69 | Ausnutzung von Zero-Day-Exploits,[FN: S. oben Abschnitt |
| 70 | II.3.1.5.4. Allgemein zu Zero-Day-Exploits und |
| 71 | Angriffsablauf vgl. Pohl, Hartmut: Zero-Day und |
| 72 | Less-than-Zero-Day Vulnerabilities und Exploits. Risiken |
| 73 | unveröffentlichter Sicherheitslücken. In: Zacharias, |
| 74 | Christoph u.a. (Hrsg.): Forschungsspitzen und |
| 75 | Spitzenforschung. Heidelberg 2009, S. 113-123.] wofür jedoch |
| 76 | Programmierkenntnisse erfordern sind. Zero-Day-Exploits |
| 77 | werden auch gehandelt.[FN: Vgl. ebda., S. 115 f. Die |
| 78 | Aussagen insbesondere über Preise basieren zumeist auf |
| 79 | Vermutungen. Vgl. |
| 80 | http://www.heise.de/security/meldung/Spekulationen-ueber-Sch |
| 81 | warzmarktpreise-fuer-Exploits-1190694.html, |
| 82 | http://securityevaluators.com/files/papers/0daymarket.pdf] |
| 83 | Gegen die Ausnutzung dieser zuvor nicht bekannten Lücken |
| 84 | durch regelmäßig hochgradig professionelle Angreifer ist |
| 85 | eine Verteidigung praktisch nicht möglich. Hiergegen hilft |
| 86 | bestenfalls und auch nur bedingt der Einsatz ausführlich |
| 87 | getesteter Software. Nach Einschätzung des BSI haben die |
| 88 | Software-Hersteller „ihre Mitverantwortung für die |
| 89 | IT-Sicherheit erkannt und arbeiten aktiv daran, ihre |
| 90 | Produkte zu verbessern. Sicherheitslücken werden deshalb |
| 91 | nicht mehr nur ausschließlich von Dritten ‚entdeckt‘, |
| 92 | sondern auch von den Herstellern selbst gemeldet. Zeit |
| 93 | bleibt aber nach wie vor ein kritischer Faktor. |
| 94 | Zero-Day-Angriffe [...] sind mittlerweile die Regel“.[FN: |
| 95 | BSI, Lagebericht IT-Sicherheit in Deutschland 2011, S. 6, |
| 96 | abrufbar unter: |
| 97 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
| 98 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
| 99 | e] |
| 100 | |
| 101 | |
| 102 | I.3.2.2.3 Schulung der Nutzer |
| 103 | Wie dargestellt, ist oftmals der Nutzer die zentrale |
| 104 | Schwachstelle, nicht nur im Fall des Social Engineering. |
| 105 | Oftmals wird die schädliche Software vom Nutzer selbst |
| 106 | installiert, weil sie eine bestimmte Funktion |
| 107 | verspricht.[FN: Beliebt sind etwa Mini-Spiele. Insbesondere |
| 108 | auf Mobilen Geräten stellen die angebotenen Apps eine Gefahr |
| 109 | dar. Ein Beispiel findet sich im IBM X-Force 2011 Mid-Year |
| 110 | Trend and Risk Report, S. 79, abrufbar unter: |
| 111 | http://www-935.ibm.com/services/us/iss/xforce/trendreports/] |
| 112 | Dieses Problem verschärft sich mit der zunehmenden Bedeutung |
| 113 | von Drive-by-Infections und ähnlicher Bedrohungen. Während |
| 114 | in einem Unternehmensumfeld den normalen Benutzern die |
| 115 | Installation von Fremdsoftware regelmäßig nicht möglich sein |
| 116 | sollte, kann die Nutzung des Browsers zumeist schon deshalb |
| 117 | nicht verhindert werden, weil dieser regelmäßig für die |
| 118 | Arbeit benötigt wird. So erfreuen sich browserbasierte |
| 119 | Spiele, die auf Adobe Flash basieren, auch auf Computern des |
| 120 | Arbeitgebers großer Beliebtheit. Adobe Flash ist jedoch, wie |
| 121 | bereits oben dargelegt,[FN: S. oben Abschnitt II.3.1.7.1.] |
| 122 | durch eine Reihe von Sicherheitslücken betroffen. Auch sind |
| 123 | es oftmals die Benutzer, die gängige Sicherheitshinweise |
| 124 | ignorieren oder nicht kennen. |
| 125 | |
| 126 | |
| 127 | I.3.2.2.4 Nutzung sicherer IT-Systeme |
| 128 | Die Nutzung sicherer IT-Systeme ist eng mit den vorgenannten |
| 129 | Strategien verknüpft. Gemeint sind der Einsatz und die |
| 130 | Pflege eines umfassenden Sicherheitskonzepts. Ein solches |
| 131 | Konzept muss sowohl auf Hard- und Softwareebene als auch auf |
| 132 | der Ebene der Nutzer ansetzen. Die soeben beschriebenen |
| 133 | Maßnahmen müssen koordiniert werden. Dies ist eine komplexe |
| 134 | Aufgabe, die von speziell geschultem Personal wahrgenommen |
| 135 | werden muss. Die Aufgaben reichen von der Entwicklung eines |
| 136 | Schutzkonzeptes bis hin zur Überwachung der Umsetzung und |
| 137 | Schulung der Nutzer. Nicht in jedem Bereich kann ein Maximum |
| 138 | an Sicherheit gefordert werden, da die Kosten für nur |
| 139 | geringe Sicherheitszunahmen ab einem gewissen Punkt |
| 140 | exponentiell steigen können. |
Der Text verglichen mit der Originalversion
| 1 | Zahlreiche IT-Risiken sind systemischer Natur, das heißt |
| 2 | isoliert betrachtet stellen sie kein Risiko dar, wohl aber |
| 3 | im Zusammenwirken. Hat ein Angreifer es etwa geschafft, die |
| 4 | Daten innerhalb eines Systems zu kompromittieren, verliert |
| 5 | jeder Authentifizierungsmechanismus seinen Wert. Die bloße |
| 6 | Absicherung nur eines Teilbereichs eines IT-Systems ist |
| 7 | unzureichend, um den Schutz zu gewährleisten.[FN:] Der |
| 8 | Aufbau einer sicheren IT ist eine komplexe Aufgabe. Es |
| 9 | bedarf einer konzertierten Strategie, um tatsächlich alle |
| 10 | möglichen Angriffspunkte abzusichern. Grundlage sind die |
| 11 | bereits oben genannten Ziele der IT-Sicherheit.[FN: S. oben |
| 12 | Abschnitt II.3.1.3.] Als maßgeblich in diesem präventiven |
| 13 | Bereich dürfen die vom BSI entwickelten |
| 14 | IT-Grundschutz-Kataloge gelten, welche in den Abschnitten M1 |
| 15 | bis M5 (Maßnahmenkataloge) umfangreiche Programme zur |
| 16 | Vorsorge gegen IT-Risiken enthalten.[FN: BSI, |
| 17 | IT-Grundschutz-Kataloge, Stand: 12. EL (Sep. 2011), abrufbar |
| 18 | unter: |
| 19 | https://gsb.download.bva.bund.de/BSI/ITGSK12EL/IT-Grundschut |
| 20 | z-Kataloge-12-EL.pdf] Diese betreffen die IT-Infrastruktur, |
| 21 | organisatorische und personelle Maßnahmen auf |
| 22 | Unternehmensebene sowie Maßnahmen in Bezug auf Hardware und |
| 23 | Software. |
| 24 | |
| 25 | |
| 26 | I.3.2.2.1 Bereitstellung und Installation von Patches |
| 27 | Da Sicherheitslücken in Software nach wie vor der zentrale |
| 28 | Angriffspunkt für eine Infektion von Computern sind, stellt |
| 29 | die Bereitstellung und das zeitgerechte Einspielen von |
| 30 | Softwarekorrekturen, so genannten Patches, zum Schließen |
| 31 | dieser Lücken eine der wichtigsten Aufgaben im Rahmen der |
| 32 | Sicherungsmaßnahmen dar. Als im Jahre 2003 der SQL Slammer |
| 33 | Wurm Schäden in Höhe von geschätzt einer Milliarde Euro |
| 34 | verursachte,[FN: http://news.cnet.com/2009-1001-983540.html] |
| 35 | hatte Microsoft für die Sicherheitslücke, die der Wurm zur |
| 36 | Verbreitung nutzte, bereits sechs Monate zuvor einen Patch |
| 37 | ausgeliefert.[FN: Tipton/Krause, Information Security |
| 38 | Management Handbook, 2007, S. 179.] Nach Schätzungen der |
| 39 | amerikanischen Ermittlungsbehörde Federal Bureau of |
| 40 | Investigation (FBI) und der Carnegie Mellon University sind |
| 41 | 90 Prozent aller Sicherheitsbrüche auf die Ausnutzung von |
| 42 | Sicherheitslücken zurückzuführen, für die bereits ein Patch |
| 43 | verfügbar war.[FN: Tipton/Krause, Information Security |
| 44 | Management Handbook, 2007, S. 179.] Wie bereits erwähnt, |
| 45 | gibt es aber auch IT-Systeme, insbesondere im mobilen |
| 46 | Bereich, für die die Hersteller der Geräte ihren Kunden |
| 47 | entweder keine oder extrem verspätet Updates zur Verfügung |
| 48 | stellen.[FN: Zu Sicherheitslücken etwa bei Geräten mit dem |
| 49 | mobilen Betriebssystem Android von Google s. u.a. |
| 50 | http://heise.de/-1389329; http://heise.de/-1353977; |
| 51 | http://heise.de/-1399337; zu Problemen beziehungsweise |
| 52 | Verzögerungen bei Updates für das Android Betriebssystem s. |
| 53 | u.a. Eckert, IT-Sicherheit, 7. Aufl. 2012, S. 88; s. ebenf. |
| 54 | http://heise.de/-1247850; s. vor allem zu der deutlich |
| 55 | stärken Verbreitung von bereits veralteten System-Versionen |
| 56 | http://developer.android.com/resources/dashboard/platform-ve |
| 57 | rsions.html] |
| 58 | |
| 59 | |
| 60 | I.3.2.2.2 Entwicklung sicherer Software |
| 61 | Je komplexer die Software wird, desto schwieriger wird es, |
| 62 | einen Programmcode zu schreiben, der frei von Fehlern |
| 63 | ist.[FN: Zum Problem der steigenden Komplexität von Software |
| 64 | s. Schulze, Bedingt abwehrbereit, 2006, S. 75 ff. |
| 65 | m.w.Nachw.] Durch die Tendenz zur steigenden Komplexität und |
| 66 | durch modulare Entwicklungsmodelle steigt die Zahl der |
| 67 | Sicherheitslücken sowohl absolut als auch relativ.[FN: |
| 68 | Gaycken, Cyberwar, 2011, S. 55.] Besonders kritisch ist die |
| 69 | Ausnutzung von Zero-Day-Exploits,[FN: S. oben Abschnitt |
| 70 | II.3.1.5.4. Allgemein zu Zero-Day-Exploits und |
| 71 | Angriffsablauf vgl. Pohl, Hartmut: Zero-Day und |
| 72 | Less-than-Zero-Day Vulnerabilities und Exploits. Risiken |
| 73 | unveröffentlichter Sicherheitslücken. In: Zacharias, |
| 74 | Christoph u.a. (Hrsg.): Forschungsspitzen und |
| 75 | Spitzenforschung. Heidelberg 2009, S. 113-123.] wofür jedoch |
| 76 | Programmierkenntnisse erfordern sind. Zero-Day-Exploits |
| 77 | werden auch gehandelt.[FN: Vgl. ebda., S. 115 f. Die |
| 78 | Aussagen insbesondere über Preise basieren zumeist auf |
| 79 | Vermutungen. Vgl. |
| 80 | http://www.heise.de/security/meldung/Spekulationen-ueber-Sch |
| 81 | warzmarktpreise-fuer-Exploits-1190694.html, |
| 82 | http://securityevaluators.com/files/papers/0daymarket.pdf] |
| 83 | Gegen die Ausnutzung dieser zuvor nicht bekannten Lücken |
| 84 | durch regelmäßig hochgradig professionelle Angreifer ist |
| 85 | eine Verteidigung praktisch nicht möglich. Hiergegen hilft |
| 86 | bestenfalls und auch nur bedingt der Einsatz ausführlich |
| 87 | getesteter Software. Nach Einschätzung des BSI haben die |
| 88 | Software-Hersteller „ihre Mitverantwortung für die |
| 89 | IT-Sicherheit erkannt und arbeiten aktiv daran, ihre |
| 90 | Produkte zu verbessern. Sicherheitslücken werden deshalb |
| 91 | nicht mehr nur ausschließlich von Dritten ‚entdeckt‘, |
| 92 | sondern auch von den Herstellern selbst gemeldet. Zeit |
| 93 | bleibt aber nach wie vor ein kritischer Faktor. |
| 94 | Zero-Day-Angriffe [...] sind mittlerweile die Regel“.[FN: |
| 95 | BSI, Lagebericht IT-Sicherheit in Deutschland 2011, S. 6, |
| 96 | abrufbar unter: |
| 97 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
| 98 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
| 99 | e] |
| 100 | |
| 101 | |
| 102 | I.3.2.2.3 Schulung der Nutzer |
| 103 | Wie dargestellt, ist oftmals der Nutzer die zentrale |
| 104 | Schwachstelle, nicht nur im Fall des Social Engineering. |
| 105 | Oftmals wird die schädliche Software vom Nutzer selbst |
| 106 | installiert, weil sie eine bestimmte Funktion |
| 107 | verspricht.[FN: Beliebt sind etwa Mini-Spiele. Insbesondere |
| 108 | auf Mobilen Geräten stellen die angebotenen Apps eine Gefahr |
| 109 | dar. Ein Beispiel findet sich im IBM X-Force 2011 Mid-Year |
| 110 | Trend and Risk Report, S. 79, abrufbar unter: |
| 111 | http://www-935.ibm.com/services/us/iss/xforce/trendreports/] |
| 112 | Dieses Problem verschärft sich mit der zunehmenden Bedeutung |
| 113 | von Drive-by-Infections und ähnlicher Bedrohungen. Während |
| 114 | in einem Unternehmensumfeld den normalen Benutzern die |
| 115 | Installation von Fremdsoftware regelmäßig nicht möglich sein |
| 116 | sollte, kann die Nutzung des Browsers zumeist schon deshalb |
| 117 | nicht verhindert werden, weil dieser regelmäßig für die |
| 118 | Arbeit benötigt wird. So erfreuen sich browserbasierte |
| 119 | Spiele, die auf Adobe Flash basieren, auch auf Computern des |
| 120 | Arbeitgebers großer Beliebtheit. Adobe Flash ist jedoch, wie |
| 121 | bereits oben dargelegt,[FN: S. oben Abschnitt II.3.1.7.1.] |
| 122 | durch eine Reihe von Sicherheitslücken betroffen. Auch sind |
| 123 | es oftmals die Benutzer, die gängige Sicherheitshinweise |
| 124 | ignorieren oder nicht kennen. |
| 125 | |
| 126 | |
| 127 | I.3.2.2.4 Nutzung sicherer IT-Systeme |
| 128 | Die Nutzung sicherer IT-Systeme ist eng mit den vorgenannten |
| 129 | Strategien verknüpft. Gemeint sind der Einsatz und die |
| 130 | Pflege eines umfassenden Sicherheitskonzepts. Ein solches |
| 131 | Konzept muss sowohl auf Hard- und Softwareebene als auch auf |
| 132 | der Ebene der Nutzer ansetzen. Die soeben beschriebenen |
| 133 | Maßnahmen müssen koordiniert werden. Dies ist eine komplexe |
| 134 | Aufgabe, die von speziell geschultem Personal wahrgenommen |
| 135 | werden muss. Die Aufgaben reichen von der Entwicklung eines |
| 136 | Schutzkonzeptes bis hin zur Überwachung der Umsetzung und |
| 137 | Schulung der Nutzer. Nicht in jedem Bereich kann ein Maximum |
| 138 | an Sicherheit gefordert werden, da die Kosten für nur |
| 139 | geringe Sicherheitszunahmen ab einem gewissen Punkt |
| 140 | exponentiell steigen können. |
-
Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.
-
Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.
-
Sie können hier auch eine neue Version des Papiers einbringen.
Vorschlag