Ihre Sicherheit ist unsere Mission

Home / Über itWatch / Artikel / Die großen Lügen der IT Sicherheit

Die großen Lügen der IT Sicherheit

Es gibt jede Menge Thesen, Patentrezepte und andere Aussagen, die im IT-Umfeld versprechen, für Sicherheit zu sorgen. Für sich alleine genommen, entpuppen sich viele davon jedoch als glatt gelogen oder zumindest nicht „allein seligmachend“, meint unser Autor und plädiert für einen umfassenden Ansatz jenseits von „Buzzword-Security“.

Angriffsvektoren werden immer komplexer, treten an bekannten, erwarteten, aber auch an völlig unerwarteten Stellen auf – es gibt Aussagen, dass bei bestimmten Angriffen kein Schutz möglich oder der Angriff noch nicht einmal erkennbar ist. Es ist also an der Zeit, traditionelle Verfahren und Handlungsmuster daraufhin zu prüfen, wie zeitgemäß sie sind. Dabei fällt auf, dass einige der Strategien und Thesen, die aktuell als valide Lösungsszenarien gehandelt werden, an dem Ziel einer adäquaten IT Sicherheit mehr oder weniger vorbei gehen und das Ziel, einen optimalen Schutz mit den vorhandenen Mitteln umzusetzen, nicht erfüllen.

Dieser Artikel will gängige Thesen – für sich genommen und als alleiniges Ziel verfolgt – als „Lüge“ entlarven und in den richtigen Kontext setzen. Dazu dient exemplarisch ein Angriffsmuster als Referenz, das auf einer Tagung der Allianz für Cyber-Security ( www.allianz-fuer-cybersicherheit.de ), durch zwei Mitarbeiter des Fraunhofer SIT vorgestellt wurde – es könnten aber hier auch viele andere Angriffe (Conficker, Stuxnet, Flame,...) auf die Integrität eines Rechners als Beispiel fungieren.

Referenz-Angriff - Ein Angreifer übernimmt einen Standard-Client nur auf der Basis, dass beide Rechner im gleichen WLAN aktiv sind und der angegriffene Rechner einen Browser mit einer Softwareschwachstelle gestartet hat (und welcher Browser hat keine Schwachstelle?). Der angegriffene Anwender muss in diesem Szenario keinen „Ok“-Knopf drücken oder irgendeine kritische Aktion durchführen. In der Konsequenz erlangt der Angreifer über Schadsoftware (z. B. Keylogger), die er installiert hat, alle Daten des Rechners, den Usernamen und dessen Passwort – kann also nicht nur alle Daten von dem angegriffenen System abgreifen, sondern auch selbst in das Firmennetz eindringen.

Weiterlesen im pdf:

-

Erstmals erschienen in Ausgabe 05/2014 im Magazin kes ( www.kes.info )