IT-Security-Lehren

Die Leichen im eigenen Keller

24.07.2015 von Matthias Reinwarth
Öffentliche, kommerzielle und private Anwender sollten aktuelle Datensicherheits-Vorfälle zum Anlass nehmen, ihre Cybersecurity-Strategie zu aktualisieren.

Das Verfolgen der IT-Security-Bereiche von Print- und Online-Medien gleicht in der letzten Zeit dem Lesen von Sensations-Journalismus. Derzeit 32 Millionen offengelegte und zum Teil hochkritische Datensätze beim OPM in den Vereinigten Staaten, abgehörte Telefone von demokratisch gewählten Staatsoberhäuptern in der EU, Angriffe auf Infrastruktur von Fluglinien und ein unklarer, aber vermutlich bedrohlicher Sicherheits-Status der IT im Deutschen Bundestag, der aber gleichzeitig die Datensouveränität der Bundesbürger der Vorratsdatenspeicherung opfert, sind nur die Spitze dessen, was derzeit gleichermaßen Normalbürger wie IT-Professionals beschäftigt.

Die Angemessenheit der implementierten Sicherheitslösungen zu beurteilen, ist eine kontinuierliche Managementaufgabe.
Foto: underverse-shutterstock.com

Ursachensuche

Als Außenstehender hat man die Chance, die Ursachen, soweit erkennbar, in aller Ruhe zu analysieren: Sorg- und Ahnungslosigkeit münden in erschreckenden Sicherheitsmängeln, mangelnde fachliche Kompetenz gepaart mit Unkenntnis der Bedrohungslage führen zu unangemessenen technischen Lösungen und fehlende oder unzureichende Budgets verhindern zeitnahe Updates an Software und den Aufbau ausreichend ausgereifter Infrastrukturen.

Mangelnde Führungskompetenz, einhergehend mit fehlender Sicherheitskultur in vielen Unternehmen eröffnet die Möglichkeit des Angriffs auf eine Vielzahl von auch kritischen Daten durch interne wie externe Angreifer. Und leider ist es auch immer wieder und viel zu häufig das mangelnde Sicherheitsbewusstsein von Mitarbeitern und Bürgern beim Klick auf unbekannte Dateianhänge in Mails oder auf verkürzte und dadurch nicht identifizierbare Links.

Von draußen nach drinnen

Doch sind wir nur Außenstehende? In vielen Zusammenhängen stehen wir sehr wohl "innen". Als Mitarbeiter, innerhalb oder außerhalb der IT, als externer Berater oder auch als Führungskraft sind wir täglich mit der Nutzung von IT und damit von unternehmenskritischen Infrastrukturen befasst. Deshalb sollte die Chance genutzt werden, die gemachten Erfahrungen anderer auch in das eigene Handeln und in das eigene Unternehmen zu transportieren.

Das beginnt bei der eigenen Nutzung der zur Verfügung gestellten Infrastruktur, beispielsweise durch das konsequente Einhalten von Unternehmens-Richtlinien. Wir, als Budgetverantwortliche, IT Leiter, CIOs, CISOs und in vielen anderen Rollen, die in Unternehmen und Organisationen für die Architektur, den Betrieb und die Sicherheit von Infrastrukturen verantwortlich sind, sollten die deutlich lauter werdenden Warnschüsse zum Anlass nehmen, auch im eigenen Unternehmen aktiv zu werden.

Die Angemessenheit der implementierten Sicherheitslösungen mit Blick auf die steigende Anzahl von Bedrohungsvektoren bei gleichzeitiger Vergrößerung der Angriffsflächen, etwa durch Cloud-Infrastrukturen, zu beurteilen, ist eine kontinuierliche Managementaufgabe. Hierzu zählt die Identifikation ganz realer Bedrohungen für die Unternehmensdaten, etwa durch die Existenz von Schatten-IT oder das Fehlen eines hochaktuellen Patchmanagements. Gerade jetzt ist der richtige Zeitpunkt, durch entsprechende Priorisierung der Unternehmens-Aktivitäten den Fokus stärker auf die strategische Definition und die konsequente Umsetzung eines Konzeptes für die Unternehmenssicherheit zu legen.

Sicherheitsrisiko Apps
Unsicheres iOS versus Android
iOS-Apps sind dem Appthority Report zufolge deutlich geschwätziger als Android-Apps und übermitteln private Informationen und vertrauliche Daten häufiger an Dritte.
Die Risiken kostenloser Apps
Egal ob iOS oder Android, wer kostenlose Apps nutzt geht ein hohes Risiko ein, dass sensible Daten ungefragt gesammelt werden.
Die Risiken bezahlter Apps
Selbst bezahlte Apps haben einen erschreckend hohen Datenhunger. Überraschend ist, dass dabei das Risiko bei iOS höher als bei Android ist.
Sammelwut I
Kostenlose Apps sammeln vor allem ortsbezogene Informationen und versuchen die eindeutige Benutzerkennung der Smartphones auszulesen und zu übertragen – damit sind die User eindeutig identifizierbar.
Sammelwut II
Ein hoher Anteil der bezahlten Apps versucht ebenfalls die Benutzerkennung zu sammeln.
Die Datenräuber I
Vor allem soziale Netze und Ad-Networks sind an den persönlichen Daten der App-Nutzer interessiert.
Die Datenräuber II
Überraschend ist, dass selbst ein hoher Teil der bezahlten Apps Daten mit ad-Networks und anderen Brokern im Hintergrund teilt.
Who´s Who der Entwickler I
Zu den führenden Anbietern kostenloser Apps unter den Top 100 in der iOS-Welt zählt Google.
Who´s Who der Entwickler II
Auch im Android-Lager ist Google App-Anbieter Nummer Eins und bei den bezahlten Apps dominieren die Spieleanbieter.

Der Blick aufs Private

Doch jeder von uns ist auch Anwender in seinem eigenen, privaten Umfeld. Natürlich sollten doch gerade wir es in diesem Bereich besser machen und vorleben. Das betrifft unser tägliches Nutzerverhalten, aber auch die Aktualität der eingesetzten Systeme, die Absicherung unseres Netzzugangs, die selbstverständliche Nutzung von Verschlüsselung im Browser wie in der täglichen Kommunikation. Schließlich sind meine Steuererklärung und mein Homebanking, mein Browserverlauf und mein Zugang zu Online-Shopping oder Mailkonto das direkte, persönliche Äquivalent zu kritischen Unternehmensdaten.

Beschränkung auf das Wesentliche

Musik, Fotos und Dokumente in der Cloud sind praktisch. Aber es stellen sich auch die Fragen:

  1. Brauche ich wirklich jeden dieser Cloud-Storage-Accounts.

  2. Was habe ich da eigentlich überhaupt gespeichert?

  3. Wann (also in welchem Jahr) habe ich denn das letzte Bild zum Online-Bilderdienst hochgeladen?

  4. Wie viele Synchronisationsdienste werkeln in der Taskbar meines Rechners und was synchronisieren die eigentlich - und wohin?

  5. Wie viele Plugins und Add-Ons laufen in meinem Browser, und warum?

  6. Und brauche ich 2015 wirklich noch Flash oder Java?

Warum nicht gerade jetzt alle Leichen aus dem eigenen Keller räumen, also alle notwendigen Patches einspielen, den Virenscanner aktualisieren, eine GPG- oder S/MIME-Lösung installieren, alle unnötigen Dienste und Programme loswerden und die dazugehörigen Accounts löschen. Für die Dienste, die dann übrig bleiben und die ich wirklich - nach angemessener Risiko/Nutzen-Analyse - tatsächlich nutzen möchte: Wollte ich denn nicht schon immer mal die Zweifaktor-Authentisierung aktivieren?

Vielleicht tragen gerade diese Schritte - im Unternehmen wie im Privaten - dazu bei, diese wichtigen 80% an Sicherheit zu erreichen. (bw)