Bitte, die Tür schließen!
Wenn Sie sich vorstellen, dass Mauern und verschlossene Eingangstüren Ihre Firewall darstellen mit denen Sie Ihre IT-Systeme und Ihre Daten vor Angriffen von außen schützen, dann sollten Sie auch immer darauf achten, dass die Terrassentüren fest verschlossen sind. Es handelt sich hierbei nicht um eine buddhistische Weisheit, sondern um einen wichtigen Aspekt der Internet Security. Sicherheitsexperten betonen eindringlich die wichtige Rolle der Anwendungen und insbesondere der Webanwendungen, wenn es darum geht optimale IT-Sicherheit zu gewährleisten. „Schwachstellen in den Anwendungen kann man sich wie weit geöffnete Fenster oder ungesicherte Terrassentüren vorstellen“, erklärt Markus Robin, Geschäftsführer bei SEC Consult, dem führenden zentraleuropäischen Sicherheitsberater mit Sitz in Wien. Nach den Erfahrungen des Sicherheitsexperten laufen ganze 70-80 Prozent der erfolgreichen Angriffe aus dem Internet nicht über Schwachstellen in der Infrastruktur, wie etwa eine fehlende Firewall, sondern durch Schwachstellen in den Anwendungen. Besonderes Augenmerk sollten Unternehmen dabei auf Webanwendungen legen, so Robin.
Webanwendungen als Risikofaktor
„Immer mehr Cyberkriminelle konzentrieren ihre Angriffe auf Internet-Anwendungen der Unternehmen“, warnen auch die Sicherheitsspezialisten des IBM X-Force Teams in ihrem „Trend- und Risiko Report 2008“. Viele Unternehmen sind nicht richtig davor geschützt: Sie nutzen oft Standard-Lösungen, die mit vielen Schwachstellen behaftet sind. Wenn man bei der Aktualisierung dieser Software nachlässig wird, dann stehen Schädlingen buchstäblich Tür und Tor offen. Oder noch schlimmer: Viele kleine Unternehmen arbeiten mit individuellen Lösungen, die Schwachstellen aufweisen, die nicht gepatcht, das heißt korrigiert werden können. Im vergangenen Jahr hatten mehr als die Hälfte aller offen gelegten Schwachstellen in irgendeiner Form mit Web-Anwendungen zu tun – und mehr als 74 Prozent davon hatten keinen Patch, so die Experten des IBM X-Force Teams.
Software regelmäßig zu aktualisieren, also Patches für die Schwachstellen einzuspielen, ist das oberste Gebot der IT-Sicherheit. Zu den wichtigsten Basisanforderungen gehört dabei natürlich das Aktualisieren der Sicher-
heitssoftware. Doch gerade diese einfache Regel wird oft nicht befolgt, beklagt Gerhard Göschl, Sicherheitssprecher von Microsoft Österreich: „Im Zusammenhang mit Conficker konnte man sehen, dass genau diese Basisanforderungen oft nicht abgedeckt waren. So war teilweise keine oder nur veraltete Antivirensoftware im Einsatz, oft waren Updates nicht eingespielt und manchmal hat man auf schwache Passwörter vertraut. So gesehen hatte Conficker auch positive Auswirkungen: Unternehmen sind sich nun wieder bewusster, wie man sich schützen soll – und: Sicherheitsbeauftragte finden wieder Gehör“, so Göschl.
Auch der aktuelle Security Intelligence Report von Microsoft zeigt, dass sich Angreifer durch die steigende Sicherheit der Betriebssysteme verstärkt auf die Anwendungsebene konzentrieren. Über 90 Prozent der Schwach-stellen in der zweiten Jahreshälfte 2008 wurden in Anwendungen und Browsern entdeckt, so Microsoft. Dieser Umstand alarmiert: Bei der Entwicklung und der Bereitstellung der (Web-)Anwendungen muss ein hohes Sicherheitsniveau eingehalten werden, appelliert Robin von SEC Consult. Eigene Webauftritte, Webportale und Webshops werden bei Sicherheitsfragen noch immer sehr vernachlässigt.
Gerade die ganz kleinen Anwendungen die von Unternehmen für die eigenen Bedürfnisse entwickelt wurden, sind für Angreifer interessant. „Der Angreifer verhält sich wie Wasser und sucht sich seinen Weg überall“, so Robin; dabei ist es unwichtig wie groß die Anwendung ist, Hauptsache ist, dass die Schadsoftware möglichst viele Nutzer erreicht.
Flicken
In IT-Labors die die Sicherheit von Software untersuchen, wie zum Beispiel das SEC Consult-Schwachstellenlabor in Wien, werden Anwendungen geprüft und die gefundenen „Löcher“ in der Software werden anschließend in einem rigiden Verfahren an die Hersteller weitergegeben. Diese wiederum entwickeln Patches (wörtlich „Flicken“) und geben diese an die Kunden beziehungsweise User weiter. Doch auch bereits beim Kauf oder der Entwicklung der Anwendung im eigenen Haus muss auf Sicherheitsstandards geachtet werden.
[...]
Mai 2009/ Olivera Stajic
Den gesamten Artikel lesen Sie in der Mai-Ausgabe des pfm-Magazins.
Mehr zum Thema
( )
© Telekom-Presse
|
   |
Telekom-Presseon
|
