02.03.02.02 Beseitigung oder Reduzierung von Infektions- und Angriffspunkten

1-1 von 1
  • 02.03.02.02 Beseitigung oder Reduzierung von Infektions- und Angriffspunkten (Originalversion)

    von EnqueteSekretariat, angelegt
    1 Zahlreiche IT-Risiken sind systemischer Natur, das heißt
    2 isoliert betrachtet stellen sie kein Risiko dar, wohl aber
    3 im Zusammenwirken. Hat ein Angreifer es etwa geschafft, die
    4 Daten innerhalb eines Systems zu kompromittieren, verliert
    5 jeder Authentifizierungsmechanismus seinen Wert. Die bloße
    6 Absicherung nur eines Teilbereichs eines IT-Systems ist
    7 unzureichend, um den Schutz zu gewährleisten.[FN:] Der
    8 Aufbau einer sicheren IT ist eine komplexe Aufgabe. Es
    9 bedarf einer konzertierten Strategie, um tatsächlich alle
    10 möglichen Angriffspunkte abzusichern. Grundlage sind die
    11 bereits oben genannten Ziele der IT-Sicherheit.[FN: S. oben
    12 Abschnitt II.3.1.3.] Als maßgeblich in diesem präventiven
    13 Bereich dürfen die vom BSI entwickelten
    14 IT-Grundschutz-Kataloge gelten, welche in den Abschnitten M1
    15 bis M5 (Maßnahmenkataloge) umfangreiche Programme zur
    16 Vorsorge gegen IT-Risiken enthalten.[FN: BSI,
    17 IT-Grundschutz-Kataloge, Stand: 12. EL (Sep. 2011), abrufbar
    18 unter:
    19 https://gsb.download.bva.bund.de/BSI/ITGSK12EL/IT-Grundschut
    20 z-Kataloge-12-EL.pdf] Diese betreffen die IT-Infrastruktur,
    21 organisatorische und personelle Maßnahmen auf
    22 Unternehmensebene sowie Maßnahmen in Bezug auf Hardware und
    23 Software.
    24
    25
    26 I.3.2.2.1 Bereitstellung und Installation von Patches
    27 Da Sicherheitslücken in Software nach wie vor der zentrale
    28 Angriffspunkt für eine Infektion von Computern sind, stellt
    29 die Bereitstellung und das zeitgerechte Einspielen von
    30 Softwarekorrekturen, so genannten Patches, zum Schließen
    31 dieser Lücken eine der wichtigsten Aufgaben im Rahmen der
    32 Sicherungsmaßnahmen dar. Als im Jahre 2003 der SQL Slammer
    33 Wurm Schäden in Höhe von geschätzt einer Milliarde Euro
    34 verursachte,[FN: http://news.cnet.com/2009-1001-983540.html]
    35 hatte Microsoft für die Sicherheitslücke, die der Wurm zur
    36 Verbreitung nutzte, bereits sechs Monate zuvor einen Patch
    37 ausgeliefert.[FN: Tipton/Krause, Information Security
    38 Management Handbook, 2007, S. 179.] Nach Schätzungen der
    39 amerikanischen Ermittlungsbehörde Federal Bureau of
    40 Investigation (FBI) und der Carnegie Mellon University sind
    41 90 Prozent aller Sicherheitsbrüche auf die Ausnutzung von
    42 Sicherheitslücken zurückzuführen, für die bereits ein Patch
    43 verfügbar war.[FN: Tipton/Krause, Information Security
    44 Management Handbook, 2007, S. 179.] Wie bereits erwähnt,
    45 gibt es aber auch IT-Systeme, insbesondere im mobilen
    46 Bereich, für die die Hersteller der Geräte ihren Kunden
    47 entweder keine oder extrem verspätet Updates zur Verfügung
    48 stellen.[FN: Zu Sicherheitslücken etwa bei Geräten mit dem
    49 mobilen Betriebssystem Android von Google s. u.a.
    50 http://heise.de/-1389329; http://heise.de/-1353977;
    51 http://heise.de/-1399337; zu Problemen beziehungsweise
    52 Verzögerungen bei Updates für das Android Betriebssystem s.
    53 u.a. Eckert, IT-Sicherheit, 7. Aufl. 2012, S. 88; s. ebenf.
    54 http://heise.de/-1247850; s. vor allem zu der deutlich
    55 stärken Verbreitung von bereits veralteten System-Versionen
    56 http://developer.android.com/resources/dashboard/platform-ve
    57 rsions.html]
    58
    59
    60 I.3.2.2.2 Entwicklung sicherer Software
    61 Je komplexer die Software wird, desto schwieriger wird es,
    62 einen Programmcode zu schreiben, der frei von Fehlern
    63 ist.[FN: Zum Problem der steigenden Komplexität von Software
    64 s. Schulze, Bedingt abwehrbereit, 2006, S. 75 ff.
    65 m.w.Nachw.] Durch die Tendenz zur steigenden Komplexität und
    66 durch modulare Entwicklungsmodelle steigt die Zahl der
    67 Sicherheitslücken sowohl absolut als auch relativ.[FN:
    68 Gaycken, Cyberwar, 2011, S. 55.] Besonders kritisch ist die
    69 Ausnutzung von Zero-Day-Exploits,[FN: S. oben Abschnitt
    70 II.3.1.5.4. Allgemein zu Zero-Day-Exploits und
    71 Angriffsablauf vgl. Pohl, Hartmut: Zero-Day und
    72 Less-than-Zero-Day Vulnerabilities und Exploits. Risiken
    73 unveröffentlichter Sicherheitslücken. In: Zacharias,
    74 Christoph u.a. (Hrsg.): Forschungsspitzen und
    75 Spitzenforschung. Heidelberg 2009, S. 113-123.] wofür jedoch
    76 Programmierkenntnisse erfordern sind. Zero-Day-Exploits
    77 werden auch gehandelt.[FN: Vgl. ebda., S. 115 f. Die
    78 Aussagen insbesondere über Preise basieren zumeist auf
    79 Vermutungen. Vgl.
    80 http://www.heise.de/security/meldung/Spekulationen-ueber-Sch
    81 warzmarktpreise-fuer-Exploits-1190694.html,
    82 http://securityevaluators.com/files/papers/0daymarket.pdf]
    83 Gegen die Ausnutzung dieser zuvor nicht bekannten Lücken
    84 durch regelmäßig hochgradig professionelle Angreifer ist
    85 eine Verteidigung praktisch nicht möglich. Hiergegen hilft
    86 bestenfalls und auch nur bedingt der Einsatz ausführlich
    87 getesteter Software. Nach Einschätzung des BSI haben die
    88 Software-Hersteller „ihre Mitverantwortung für die
    89 IT-Sicherheit erkannt und arbeiten aktiv daran, ihre
    90 Produkte zu verbessern. Sicherheitslücken werden deshalb
    91 nicht mehr nur ausschließlich von Dritten ‚entdeckt‘,
    92 sondern auch von den Herstellern selbst gemeldet. Zeit
    93 bleibt aber nach wie vor ein kritischer Faktor.
    94 Zero-Day-Angriffe [...] sind mittlerweile die Regel“.[FN:
    95 BSI, Lagebericht IT-Sicherheit in Deutschland 2011, S. 6,
    96 abrufbar unter:
    97 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    98 ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil
    99 e]
    100
    101
    102 I.3.2.2.3 Schulung der Nutzer
    103 Wie dargestellt, ist oftmals der Nutzer die zentrale
    104 Schwachstelle, nicht nur im Fall des Social Engineering.
    105 Oftmals wird die schädliche Software vom Nutzer selbst
    106 installiert, weil sie eine bestimmte Funktion
    107 verspricht.[FN: Beliebt sind etwa Mini-Spiele. Insbesondere
    108 auf Mobilen Geräten stellen die angebotenen Apps eine Gefahr
    109 dar. Ein Beispiel findet sich im IBM X-Force 2011 Mid-Year
    110 Trend and Risk Report, S. 79, abrufbar unter:
    111 http://www-935.ibm.com/services/us/iss/xforce/trendreports/]
    112 Dieses Problem verschärft sich mit der zunehmenden Bedeutung
    113 von Drive-by-Infections und ähnlicher Bedrohungen. Während
    114 in einem Unternehmensumfeld den normalen Benutzern die
    115 Installation von Fremdsoftware regelmäßig nicht möglich sein
    116 sollte, kann die Nutzung des Browsers zumeist schon deshalb
    117 nicht verhindert werden, weil dieser regelmäßig für die
    118 Arbeit benötigt wird. So erfreuen sich browserbasierte
    119 Spiele, die auf Adobe Flash basieren, auch auf Computern des
    120 Arbeitgebers großer Beliebtheit. Adobe Flash ist jedoch, wie
    121 bereits oben dargelegt,[FN: S. oben Abschnitt II.3.1.7.1.]
    122 durch eine Reihe von Sicherheitslücken betroffen. Auch sind
    123 es oftmals die Benutzer, die gängige Sicherheitshinweise
    124 ignorieren oder nicht kennen.
    125
    126
    127 I.3.2.2.4 Nutzung sicherer IT-Systeme
    128 Die Nutzung sicherer IT-Systeme ist eng mit den vorgenannten
    129 Strategien verknüpft. Gemeint sind der Einsatz und die
    130 Pflege eines umfassenden Sicherheitskonzepts. Ein solches
    131 Konzept muss sowohl auf Hard- und Softwareebene als auch auf
    132 der Ebene der Nutzer ansetzen. Die soeben beschriebenen
    133 Maßnahmen müssen koordiniert werden. Dies ist eine komplexe
    134 Aufgabe, die von speziell geschultem Personal wahrgenommen
    135 werden muss. Die Aufgaben reichen von der Entwicklung eines
    136 Schutzkonzeptes bis hin zur Überwachung der Umsetzung und
    137 Schulung der Nutzer. Nicht in jedem Bereich kann ein Maximum
    138 an Sicherheit gefordert werden, da die Kosten für nur
    139 geringe Sicherheitszunahmen ab einem gewissen Punkt
    140 exponentiell steigen können.