1 | Zahlreiche IT-Risiken sind systemischer Natur, das heißt |
2 | isoliert betrachtet stellen sie kein Risiko dar, wohl aber |
3 | im Zusammenwirken. Hat ein Angreifer es etwa geschafft, die |
4 | Daten innerhalb eines Systems zu kompromittieren, verliert |
5 | jeder Authentifizierungsmechanismus seinen Wert. Die bloße |
6 | Absicherung nur eines Teilbereichs eines IT-Systems ist |
7 | unzureichend, um den Schutz zu gewährleisten.[FN:] Der |
8 | Aufbau einer sicheren IT ist eine komplexe Aufgabe. Es |
9 | bedarf einer konzertierten Strategie, um tatsächlich alle |
10 | möglichen Angriffspunkte abzusichern. Grundlage sind die |
11 | bereits oben genannten Ziele der IT-Sicherheit.[FN: S. oben |
12 | Abschnitt II.3.1.3.] Als maßgeblich in diesem präventiven |
13 | Bereich dürfen die vom BSI entwickelten |
14 | IT-Grundschutz-Kataloge gelten, welche in den Abschnitten M1 |
15 | bis M5 (Maßnahmenkataloge) umfangreiche Programme zur |
16 | Vorsorge gegen IT-Risiken enthalten.[FN: BSI, |
17 | IT-Grundschutz-Kataloge, Stand: 12. EL (Sep. 2011), abrufbar |
18 | unter: |
19 | https://gsb.download.bva.bund.de/BSI/ITGSK12EL/IT-Grundschut |
20 | z-Kataloge-12-EL.pdf] Diese betreffen die IT-Infrastruktur, |
21 | organisatorische und personelle Maßnahmen auf |
22 | Unternehmensebene sowie Maßnahmen in Bezug auf Hardware und |
23 | Software. |
24 | |
25 | |
26 | I.3.2.2.1 Bereitstellung und Installation von Patches |
27 | Da Sicherheitslücken in Software nach wie vor der zentrale |
28 | Angriffspunkt für eine Infektion von Computern sind, stellt |
29 | die Bereitstellung und das zeitgerechte Einspielen von |
30 | Softwarekorrekturen, so genannten Patches, zum Schließen |
31 | dieser Lücken eine der wichtigsten Aufgaben im Rahmen der |
32 | Sicherungsmaßnahmen dar. Als im Jahre 2003 der SQL Slammer |
33 | Wurm Schäden in Höhe von geschätzt einer Milliarde Euro |
34 | verursachte,[FN: http://news.cnet.com/2009-1001-983540.html] |
35 | hatte Microsoft für die Sicherheitslücke, die der Wurm zur |
36 | Verbreitung nutzte, bereits sechs Monate zuvor einen Patch |
37 | ausgeliefert.[FN: Tipton/Krause, Information Security |
38 | Management Handbook, 2007, S. 179.] Nach Schätzungen der |
39 | amerikanischen Ermittlungsbehörde Federal Bureau of |
40 | Investigation (FBI) und der Carnegie Mellon University sind |
41 | 90 Prozent aller Sicherheitsbrüche auf die Ausnutzung von |
42 | Sicherheitslücken zurückzuführen, für die bereits ein Patch |
43 | verfügbar war.[FN: Tipton/Krause, Information Security |
44 | Management Handbook, 2007, S. 179.] Wie bereits erwähnt, |
45 | gibt es aber auch IT-Systeme, insbesondere im mobilen |
46 | Bereich, für die die Hersteller der Geräte ihren Kunden |
47 | entweder keine oder extrem verspätet Updates zur Verfügung |
48 | stellen.[FN: Zu Sicherheitslücken etwa bei Geräten mit dem |
49 | mobilen Betriebssystem Android von Google s. u.a. |
50 | http://heise.de/-1389329; http://heise.de/-1353977; |
51 | http://heise.de/-1399337; zu Problemen beziehungsweise |
52 | Verzögerungen bei Updates für das Android Betriebssystem s. |
53 | u.a. Eckert, IT-Sicherheit, 7. Aufl. 2012, S. 88; s. ebenf. |
54 | http://heise.de/-1247850; s. vor allem zu der deutlich |
55 | stärken Verbreitung von bereits veralteten System-Versionen |
56 | http://developer.android.com/resources/dashboard/platform-ve |
57 | rsions.html] |
58 | |
59 | |
60 | I.3.2.2.2 Entwicklung sicherer Software |
61 | Je komplexer die Software wird, desto schwieriger wird es, |
62 | einen Programmcode zu schreiben, der frei von Fehlern |
63 | ist.[FN: Zum Problem der steigenden Komplexität von Software |
64 | s. Schulze, Bedingt abwehrbereit, 2006, S. 75 ff. |
65 | m.w.Nachw.] Durch die Tendenz zur steigenden Komplexität und |
66 | durch modulare Entwicklungsmodelle steigt die Zahl der |
67 | Sicherheitslücken sowohl absolut als auch relativ.[FN: |
68 | Gaycken, Cyberwar, 2011, S. 55.] Besonders kritisch ist die |
69 | Ausnutzung von Zero-Day-Exploits,[FN: S. oben Abschnitt |
70 | II.3.1.5.4. Allgemein zu Zero-Day-Exploits und |
71 | Angriffsablauf vgl. Pohl, Hartmut: Zero-Day und |
72 | Less-than-Zero-Day Vulnerabilities und Exploits. Risiken |
73 | unveröffentlichter Sicherheitslücken. In: Zacharias, |
74 | Christoph u.a. (Hrsg.): Forschungsspitzen und |
75 | Spitzenforschung. Heidelberg 2009, S. 113-123.] wofür jedoch |
76 | Programmierkenntnisse erfordern sind. Zero-Day-Exploits |
77 | werden auch gehandelt.[FN: Vgl. ebda., S. 115 f. Die |
78 | Aussagen insbesondere über Preise basieren zumeist auf |
79 | Vermutungen. Vgl. |
80 | http://www.heise.de/security/meldung/Spekulationen-ueber-Sch |
81 | warzmarktpreise-fuer-Exploits-1190694.html, |
82 | http://securityevaluators.com/files/papers/0daymarket.pdf] |
83 | Gegen die Ausnutzung dieser zuvor nicht bekannten Lücken |
84 | durch regelmäßig hochgradig professionelle Angreifer ist |
85 | eine Verteidigung praktisch nicht möglich. Hiergegen hilft |
86 | bestenfalls und auch nur bedingt der Einsatz ausführlich |
87 | getesteter Software. Nach Einschätzung des BSI haben die |
88 | Software-Hersteller „ihre Mitverantwortung für die |
89 | IT-Sicherheit erkannt und arbeiten aktiv daran, ihre |
90 | Produkte zu verbessern. Sicherheitslücken werden deshalb |
91 | nicht mehr nur ausschließlich von Dritten ‚entdeckt‘, |
92 | sondern auch von den Herstellern selbst gemeldet. Zeit |
93 | bleibt aber nach wie vor ein kritischer Faktor. |
94 | Zero-Day-Angriffe [...] sind mittlerweile die Regel“.[FN: |
95 | BSI, Lagebericht IT-Sicherheit in Deutschland 2011, S. 6, |
96 | abrufbar unter: |
97 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
98 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
99 | e] |
100 | |
101 | |
102 | I.3.2.2.3 Schulung der Nutzer |
103 | Wie dargestellt, ist oftmals der Nutzer die zentrale |
104 | Schwachstelle, nicht nur im Fall des Social Engineering. |
105 | Oftmals wird die schädliche Software vom Nutzer selbst |
106 | installiert, weil sie eine bestimmte Funktion |
107 | verspricht.[FN: Beliebt sind etwa Mini-Spiele. Insbesondere |
108 | auf Mobilen Geräten stellen die angebotenen Apps eine Gefahr |
109 | dar. Ein Beispiel findet sich im IBM X-Force 2011 Mid-Year |
110 | Trend and Risk Report, S. 79, abrufbar unter: |
111 | http://www-935.ibm.com/services/us/iss/xforce/trendreports/] |
112 | Dieses Problem verschärft sich mit der zunehmenden Bedeutung |
113 | von Drive-by-Infections und ähnlicher Bedrohungen. Während |
114 | in einem Unternehmensumfeld den normalen Benutzern die |
115 | Installation von Fremdsoftware regelmäßig nicht möglich sein |
116 | sollte, kann die Nutzung des Browsers zumeist schon deshalb |
117 | nicht verhindert werden, weil dieser regelmäßig für die |
118 | Arbeit benötigt wird. So erfreuen sich browserbasierte |
119 | Spiele, die auf Adobe Flash basieren, auch auf Computern des |
120 | Arbeitgebers großer Beliebtheit. Adobe Flash ist jedoch, wie |
121 | bereits oben dargelegt,[FN: S. oben Abschnitt II.3.1.7.1.] |
122 | durch eine Reihe von Sicherheitslücken betroffen. Auch sind |
123 | es oftmals die Benutzer, die gängige Sicherheitshinweise |
124 | ignorieren oder nicht kennen. |
125 | |
126 | |
127 | I.3.2.2.4 Nutzung sicherer IT-Systeme |
128 | Die Nutzung sicherer IT-Systeme ist eng mit den vorgenannten |
129 | Strategien verknüpft. Gemeint sind der Einsatz und die |
130 | Pflege eines umfassenden Sicherheitskonzepts. Ein solches |
131 | Konzept muss sowohl auf Hard- und Softwareebene als auch auf |
132 | der Ebene der Nutzer ansetzen. Die soeben beschriebenen |
133 | Maßnahmen müssen koordiniert werden. Dies ist eine komplexe |
134 | Aufgabe, die von speziell geschultem Personal wahrgenommen |
135 | werden muss. Die Aufgaben reichen von der Entwicklung eines |
136 | Schutzkonzeptes bis hin zur Überwachung der Umsetzung und |
137 | Schulung der Nutzer. Nicht in jedem Bereich kann ein Maximum |
138 | an Sicherheit gefordert werden, da die Kosten für nur |
139 | geringe Sicherheitszunahmen ab einem gewissen Punkt |
140 | exponentiell steigen können. |
1-1 von 1
-
02.03.02.02 Beseitigung oder Reduzierung von Infektions- und Angriffspunkten (Originalversion)
von EnqueteSekretariat, angelegt