Es gibt Dutzende Weisheiten zum Thema IT-Sicherheit, die ständig wiederholt und allzu leicht als Wahrheit hingenommen werden, ohne dass sie tatsächlich belegbar sind. [...]
Unsere US-Kollegen von der Network World haben Sicherheitsexperten, Berater, Hersteller und Sicherheitsmanager nach ihren Lieblings-„Mythen“ befragt. Die zwölf beliebtesten Mythen haben wir in einer Zitategalerie zusammengefasst – der eine oder andere Spruch kommt Ihnen bestimmt bekannt vor. Im Anschluss werden wir alle „Weisheiten“ auf ihren Wahrheitsgehalt hin überprüfen. Sie können sich sicherlich denken, was dabei herauskommen wird…
Mythos 1: „Mehr Sicherheit ist immer besser.“
Verschlüsselungsexperte und Sicherheitsguru Bruce Schneier: „Mehr Sicherheit ist nicht notwendigerweise besser. Manchmal stimmt das Kosten-Nutzen-Verhältnis von ‚noch mehr Sicherheit’ einfach nicht. Es bringt nichts, beispielsweise 100.000 Dollar auszugeben, um einen Donut zu beschützen. Der Donut wäre zwar sicherer als vorher, es wäre hier aber sinnvoller, ihn einfach zu riskieren, um das Geld zu sparen. IT-Sicherheit bringt immer auch einen schrumpfenden Return on Investment mit sich: Der komplette Grundschutz kostet 25 Prozent eines bestimmten Geldbetrags, eine minimale Erweiterung der Sicherheit kostet dann noch einmal 25 Prozent. Es gibt immer einen Punkt, wo sich mehr Sicherheit nicht mehr lohnt. Zudem ist die absolute Sicherheit sowieso nicht möglich – und unter moralischen Gesichtspunkten vielleicht auch gar nicht so erstrebenswert.“
Verschlüsselungsexperte und Sicherheitsguru Bruce Schneier: „Mehr Sicherheit ist nicht notwendigerweise besser. Manchmal stimmt das Kosten-Nutzen-Verhältnis von ‚noch mehr Sicherheit’ einfach nicht. Es bringt nichts, beispielsweise 100.000 Dollar auszugeben, um einen Donut zu beschützen. Der Donut wäre zwar sicherer als vorher, es wäre hier aber sinnvoller, ihn einfach zu riskieren, um das Geld zu sparen. IT-Sicherheit bringt immer auch einen schrumpfenden Return on Investment mit sich: Der komplette Grundschutz kostet 25 Prozent eines bestimmten Geldbetrags, eine minimale Erweiterung der Sicherheit kostet dann noch einmal 25 Prozent. Es gibt immer einen Punkt, wo sich mehr Sicherheit nicht mehr lohnt. Zudem ist die absolute Sicherheit sowieso nicht möglich – und unter moralischen Gesichtspunkten vielleicht auch gar nicht so erstrebenswert.“
Mythos 2: „Das DDoS-Problem ist mit Bandbreite zu lösen.“
Carl Herberger, Vice President Security Solutions bei Radware: „Unter IT-Managern herrscht der Irrglaube, dass Distributed Denial of Service-Attacken am besten mit viel verfügbarer Bandbreite zu begegnen ist. Seit dem vergangenen Jahr ist aber erwiesen, dass mehr als die Hälfte von DDoS-Angriffen sich nicht durch die eingesetzte Bandbreite, sondern durch die Applikations-Orientierung auszeichnen. Hier wird der Anwendungs-Stack angegriffen, und gängige Standards zu Zwecke der Service-Unterbindung attackiert. Eine höhere Bandbreite kommt dem Attackierenden in diesem Szenario zugute. Lediglich ein Viertel heutiger DDoS-Angriffe können durch eine höhere Bandbreite noch abgeschwächt werden.“
Carl Herberger, Vice President Security Solutions bei Radware: „Unter IT-Managern herrscht der Irrglaube, dass Distributed Denial of Service-Attacken am besten mit viel verfügbarer Bandbreite zu begegnen ist. Seit dem vergangenen Jahr ist aber erwiesen, dass mehr als die Hälfte von DDoS-Angriffen sich nicht durch die eingesetzte Bandbreite, sondern durch die Applikations-Orientierung auszeichnen. Hier wird der Anwendungs-Stack angegriffen, und gängige Standards zu Zwecke der Service-Unterbindung attackiert. Eine höhere Bandbreite kommt dem Attackierenden in diesem Szenario zugute. Lediglich ein Viertel heutiger DDoS-Angriffe können durch eine höhere Bandbreite noch abgeschwächt werden.“
Mythos 3: „Der Passwort-Ablaufzyklus (typischerweise 90 Tage) schützt die IT-Systeme.“
Ari Juels, Chefforscher bei RSA: „Diese Annahme ist vergleichbar mit dem Ernährungstipp, acht Gläser Wasser pro Tag zu sich zu nehmen. Niemand weiß, woher diese Weisheit stammt und ob sie der Wahrheit entspricht. Jüngste Untersuchungen haben ergeben, dass Passwortabläufe nicht unbedingt sinnvoll sind. Wenn Passwortänderungen im Unternehmen vorgenommen werden, dann besser in zufälligen und nicht in regelmäßigen Abständen.“
Ari Juels, Chefforscher bei RSA: „Diese Annahme ist vergleichbar mit dem Ernährungstipp, acht Gläser Wasser pro Tag zu sich zu nehmen. Niemand weiß, woher diese Weisheit stammt und ob sie der Wahrheit entspricht. Jüngste Untersuchungen haben ergeben, dass Passwortabläufe nicht unbedingt sinnvoll sind. Wenn Passwortänderungen im Unternehmen vorgenommen werden, dann besser in zufälligen und nicht in regelmäßigen Abständen.“
Mythos 4: „Auf die Intelligenz der Masse ist Verlass.”
Bill Bolt, Vice President IT beim Basketball-Team Phoenix Suns: „Immer und immer wieder bekommt ein Angestellter eine E-Mail, in der ihn jemand externes vor einem neuen Virus warnt – und schon wird die IT-Abteilung verständigt. Leider sind diese Arten von Informationen alles andere als neu – sie beziehen sich häufig auf Bedrohungen, die bereits zehn Jahre zurückliegen.“
Bill Bolt, Vice President IT beim Basketball-Team Phoenix Suns: „Immer und immer wieder bekommt ein Angestellter eine E-Mail, in der ihn jemand externes vor einem neuen Virus warnt – und schon wird die IT-Abteilung verständigt. Leider sind diese Arten von Informationen alles andere als neu – sie beziehen sich häufig auf Bedrohungen, die bereits zehn Jahre zurückliegen.“
Mythos 5: „Client-seitige Virtualisierung kann die Sicherheitsprobleme der IT-Consumerization lösen.“
„Ich höre ständig, dass eine virtuelle Maschine für den Job und eine fürs Private das BYOD-Problem lösen soll. Auf diese Weise werde das Sicherheitsrisiko auf der private Seite konserviert und der Fluss von Daten aus dem Unternehmen hinaus verhindert. Ich bin da aber skeptisch. Der Geheimdienst hat das bereits vor Jahren versucht – die NSA bezahlte eine damals kleine Firma namens VMware dafür, NetTop zu entwickeln. Diese Software sollte verschiedene virtuelle Maschinen erzeugen, in denen Daten nach den Klassifizierungsstufen ‚geheim’, ‚derzeit streng geheim’ und ‚später streng geheim’ abgelegt werden und analysiert werden konnten. Es gab jedoch sofort ein Problem, weil Analysten nicht in diesen Abstufungen arbeiten, sondern in allen Umgebungen gleichzeitig tätig sind. Ein Datenaustausch zwischen den Domains war somit unausweichlich. Das gleiche geschieht heute mit den dienstlichen und privaten IT-Umgebungen. Private E-Mails, die in meiner dienstlichen Maschine aufschlagen – und umgekehrt – muss ich in der jeweils anderen Maschine lesen können. Entweder ich sende sie also per E-Mail weiter oder transferiere sie mithilfe eines USB-Sticks. Somit ist jegliche Trennung obsolet. Virtualisierung ist eine einzige Geldverschwendung. NetTop ist übrigens immer noch am Markt – und wird sogar noch vereinzelt eingesetzt – von Geheimdienstlern.
„Ich höre ständig, dass eine virtuelle Maschine für den Job und eine fürs Private das BYOD-Problem lösen soll. Auf diese Weise werde das Sicherheitsrisiko auf der private Seite konserviert und der Fluss von Daten aus dem Unternehmen hinaus verhindert. Ich bin da aber skeptisch. Der Geheimdienst hat das bereits vor Jahren versucht – die NSA bezahlte eine damals kleine Firma namens VMware dafür, NetTop zu entwickeln. Diese Software sollte verschiedene virtuelle Maschinen erzeugen, in denen Daten nach den Klassifizierungsstufen ‚geheim’, ‚derzeit streng geheim’ und ‚später streng geheim’ abgelegt werden und analysiert werden konnten. Es gab jedoch sofort ein Problem, weil Analysten nicht in diesen Abstufungen arbeiten, sondern in allen Umgebungen gleichzeitig tätig sind. Ein Datenaustausch zwischen den Domains war somit unausweichlich. Das gleiche geschieht heute mit den dienstlichen und privaten IT-Umgebungen. Private E-Mails, die in meiner dienstlichen Maschine aufschlagen – und umgekehrt – muss ich in der jeweils anderen Maschine lesen können. Entweder ich sende sie also per E-Mail weiter oder transferiere sie mithilfe eines USB-Sticks. Somit ist jegliche Trennung obsolet. Virtualisierung ist eine einzige Geldverschwendung. NetTop ist übrigens immer noch am Markt – und wird sogar noch vereinzelt eingesetzt – von Geheimdienstlern.
Mythos 6: „Die IT sollte die Anwender dazu ermutigen, zufällig generierte Passwörter zu benutzen und diese alle 30 Tage zu ändern.“
Kevin Haley, Chef des Symantec Security Response Teams: „Zufällig erzeugte Passwörter sind sicher, bergen aber auch Nachteile. Der Anwender kann sich diese Passwörter kaum merken und auch nur langsam eintippen. In der Praxis ist es um einiges einfacher, Passwörter zu erzeugen, die genauso sicher sind, aber leichter zu behalten – sie sollten 14 Zeichen lang sein, Groß- und Kleinbuchstaben sowie zwei Zahlen und zwei Sonderzeichen enthalten. Eine 30-Tage-Erneuerungsfrist mag für Hochsicherheits-Umgebungen sinnvoll sein, bringt Anwender aber auch dazu, auf einfache Muster zurückzugreifen, um sich die immer neuen Passwörter merken zu können. Damit sinkt deren Sicherheit. Ein Wechsel alle 90 bis 120 Tage ist wesentlich besser.“
Kevin Haley, Chef des Symantec Security Response Teams: „Zufällig erzeugte Passwörter sind sicher, bergen aber auch Nachteile. Der Anwender kann sich diese Passwörter kaum merken und auch nur langsam eintippen. In der Praxis ist es um einiges einfacher, Passwörter zu erzeugen, die genauso sicher sind, aber leichter zu behalten – sie sollten 14 Zeichen lang sein, Groß- und Kleinbuchstaben sowie zwei Zahlen und zwei Sonderzeichen enthalten. Eine 30-Tage-Erneuerungsfrist mag für Hochsicherheits-Umgebungen sinnvoll sein, bringt Anwender aber auch dazu, auf einfache Muster zurückzugreifen, um sich die immer neuen Passwörter merken zu können. Damit sinkt deren Sicherheit. Ein Wechsel alle 90 bis 120 Tage ist wesentlich besser.“
Mythos 7: „Jeder Computervirus macht sich für den Anwender irgendwie bemerkbar.“
David Perry, Chef von G Data Nordamerika: „Für den Normalverbraucher sind Computerviren ein großes Mysterium. Das meiste, was er über Malware weiß, stammt aus dem Fernsehen oder aus Science-Fiction-Filmen. Dass sich ein Virus auf dem Rechner bemerkbar macht – beispielsweise durch verschwindende Symbole auf dem Desktop – ist ein solcher Mythos.“
David Perry, Chef von G Data Nordamerika: „Für den Normalverbraucher sind Computerviren ein großes Mysterium. Das meiste, was er über Malware weiß, stammt aus dem Fernsehen oder aus Science-Fiction-Filmen. Dass sich ein Virus auf dem Rechner bemerkbar macht – beispielsweise durch verschwindende Symbole auf dem Desktop – ist ein solcher Mythos.“
Mythos 8: „Wir sind kein Angriffsziel.”
Alan Brill, Senior Managing Director Cybersecurity bei Kroll: „Viele Unternehmen glauben, dass ihre Systeme einen Angriff nicht wert sind, weil sie zu klein sind oder keine kritischen respektive wertvollen Daten besitzen. Diese Annahme, die viele Attackierte einst lange vertraten, ist offensichtlich falsch.“
Alan Brill, Senior Managing Director Cybersecurity bei Kroll: „Viele Unternehmen glauben, dass ihre Systeme einen Angriff nicht wert sind, weil sie zu klein sind oder keine kritischen respektive wertvollen Daten besitzen. Diese Annahme, die viele Attackierte einst lange vertraten, ist offensichtlich falsch.“
Mythos 9: „Neue Software ist nicht sicherer als alte.“
Gary McGraw, CTO bei Cigital: „Die Software-Entwicklung ist besser geworden und die Anfälligkeit für Schwachstellen geht zurück. Sicheres Coding wird heute weit besser verstanden und mit geeigneteren Tools umgesetzt als vor zehn oder 20 Jahren. Wir wissen, was zu tun ist. Zu Zeiten von Windows 95 wurde beispielsweise viel weniger Programmcode geschrieben als heute – deshalb mag es so aussehen, dass heutige Programme genauso anfällig sind wie ältere Software. Es liegt schlicht an der unglaublichen Menge an Codezeilen und mehr potenziellen Einfallstoren. Perfektion ist unmöglich.“
Gary McGraw, CTO bei Cigital: „Die Software-Entwicklung ist besser geworden und die Anfälligkeit für Schwachstellen geht zurück. Sicheres Coding wird heute weit besser verstanden und mit geeigneteren Tools umgesetzt als vor zehn oder 20 Jahren. Wir wissen, was zu tun ist. Zu Zeiten von Windows 95 wurde beispielsweise viel weniger Programmcode geschrieben als heute – deshalb mag es so aussehen, dass heutige Programme genauso anfällig sind wie ältere Software. Es liegt schlicht an der unglaublichen Menge an Codezeilen und mehr potenziellen Einfallstoren. Perfektion ist unmöglich.“
Mythos 10: „Der Transfer von sensiblen Daten via SSL ist sicher.”
Rainer Enders, CTO bei NCP Engineering: „Unternehmen verwenden das SSL-Protokoll, um kritische Daten von Kunden oder Partnern zu übertragen, in der Annahme, dass diese Art des Transfers sicher ist. Die Anfälligkeit von SSL wird jedoch zunehmend größer. So gab es bei der Citigroup im vergangenen Jahr einen Datenabfluss, der auf diese Art von Datenübertragung zurückzuführen ist. Schweizer Forscher haben kürzlich einen Weg gefunden, mit SSL übertragene Daten abzufangen, indem Schwachstellen in der Implementierung von Blockchiffren wie AES angegriffen wurden. Die Zweifel über SSL-Sicherheit werden größer. Auch die vielgerühmten SSL-Zertifikate verlieren zunehmend an Vertrauen, weil bereits perfekt gefälschte Versionen aufgetaucht sind. Vielleicht ist es ratsam, niemals zwei Dokumente mit dem gleichen Schlüssel zu kodieren.“
Rainer Enders, CTO bei NCP Engineering: „Unternehmen verwenden das SSL-Protokoll, um kritische Daten von Kunden oder Partnern zu übertragen, in der Annahme, dass diese Art des Transfers sicher ist. Die Anfälligkeit von SSL wird jedoch zunehmend größer. So gab es bei der Citigroup im vergangenen Jahr einen Datenabfluss, der auf diese Art von Datenübertragung zurückzuführen ist. Schweizer Forscher haben kürzlich einen Weg gefunden, mit SSL übertragene Daten abzufangen, indem Schwachstellen in der Implementierung von Blockchiffren wie AES angegriffen wurden. Die Zweifel über SSL-Sicherheit werden größer. Auch die vielgerühmten SSL-Zertifikate verlieren zunehmend an Vertrauen, weil bereits perfekt gefälschte Versionen aufgetaucht sind. Vielleicht ist es ratsam, niemals zwei Dokumente mit dem gleichen Schlüssel zu kodieren.“
Mythos 11: „Endpoint-Security-Software ist Commodity geworden.“
Jon Oltsik, Analyst bei der Enterprise Strategy Group (ESG): „Unternehmensentscheider stimmen zu, dass es bei Endpunkt-Sicherheits-Software keine Unterscheidungsmerkmale zwischen den einzelnen Lösungen mehr gibt. Das hat zumindest eine ESG-Umfrage ergeben. Ich teile diese Auffassung aber nicht. Die Produkte sind in punkto Schutzlevel und Funktionsumfang grundverschieden. Unternehmen kennen die eingebauten Features nur oft gar nicht und setzen die Lösungen dementsprechend falsch ein.“
Jon Oltsik, Analyst bei der Enterprise Strategy Group (ESG): „Unternehmensentscheider stimmen zu, dass es bei Endpunkt-Sicherheits-Software keine Unterscheidungsmerkmale zwischen den einzelnen Lösungen mehr gibt. Das hat zumindest eine ESG-Umfrage ergeben. Ich teile diese Auffassung aber nicht. Die Produkte sind in punkto Schutzlevel und Funktionsumfang grundverschieden. Unternehmen kennen die eingebauten Features nur oft gar nicht und setzen die Lösungen dementsprechend falsch ein.“
Mythos 12: „Mit einer Firewall ist ein Netzwerk geschützt.“
Kevin Butler, Analyst für IT-Sicherheit an der Medizinischen Universität Arkansas: „Es gibt viele Mythen über Firewalls. Die, die ich am häufigsten gehört habe, sind die Auffassungen, dass Firewalls immer ein Stück Hardware sind und dass eine ordentlich konfigurierte Firewall ein Netzwerk vor allen Bedrohungen schützt. Auch die Annahmen, dass die Firewall eine AV-Lösung komplett ersetzen könne und sogar gegen Zero-Day-Attacken schütze, sind Nonsense. Eine Firewall darf niemals eine ‚Installieren und Probleme vergessen’-Lösung sein!“
Kevin Butler, Analyst für IT-Sicherheit an der Medizinischen Universität Arkansas: „Es gibt viele Mythen über Firewalls. Die, die ich am häufigsten gehört habe, sind die Auffassungen, dass Firewalls immer ein Stück Hardware sind und dass eine ordentlich konfigurierte Firewall ein Netzwerk vor allen Bedrohungen schützt. Auch die Annahmen, dass die Firewall eine AV-Lösung komplett ersetzen könne und sogar gegen Zero-Day-Attacken schütze, sind Nonsense. Eine Firewall darf niemals eine ‚Installieren und Probleme vergessen’-Lösung sein!“
* Der Autor ist Redakteur der deutschen Computerwoche.
Be the first to comment