Software-Produkte sind mit der Zeit zu hochkomplexen Entwicklungen geworden. Oftmals genauso komplex wie der Sachverhalt, den sie im Unternehmensalltag leichter handhabbar machen sollen. Diese gestiegene Komplexität hat auch die Software-Produkte für Attacken von Kriminellen verwundbarer gemacht. Letztlich besteht Software heute aus mehreren Millionen Zeilen Programmcode. Wenn nun diese unentdeckten Lücken bekannt werden und von Cyberkriminellen genutzt werden, können erhebliche Schäden für die betroffenen Unternehmen entstehen. Dabei sind viele Varianten von Schäden denkbar: Der Diebstahl von Daten zählt ebenso dazu wie das Installieren von Schadprogrammen, die dauerhaften Ärger verursachen. Software-Schwachstellen unterscheiden sich in ihrer Kritikalität. Drei Aspekte sind zu beachten:
1) Die Bedeutung der Software für Anwenderinnen und Anwender,
2) die Größe des Aufwandes, um die Schwachstelle auszunutzen und
3) die Auswirkungen auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.
Grundsätzlich kann davon ausgegangen werden, dass das korrekte Funktionieren einer Software ebenso wichtig ist wie der Zweck, den sie erfüllen soll.
Wenn Sicherheitslücken öffentlich bekannt werden, beginnt spätestens der Wettlauf zwischen dem Hersteller für die Bereitstellung eines Sicherheitsupdates und den Kriminellen für ihre „dunklen Machenschaften“. Hier ist auch die Aufmerksamkeit und Sensibilität der Software-Anwender gefragt: Softwareupdates sollten – idealerweise erst nach vorherigem Test – sehr zügig aufgespielt und installiert werden. Deshalb sollten Unternehmen nicht daran sparen, wenn es um die Befähigung und Sensibilisierung der eigenen Belegschaft beim Thema IT-Sicherheit geht.
Aber auch die Software-Entwickler reagieren auf die Situation. Sie setzen vermehrt auf die Philosophie Security-by-Design, die die Sicherheit einer Software gleichrangig wie deren Benutzerfreundlichkeit bewertet. Das Security-by-Default-Konzept stellt die Konfiguration einer Software bei der Auslieferung in den Fokus. Hierbei kommt auch den einsetzenden Unternehmen wieder eine große Bedeutung zu, denn sie müssen die Software so konfigurieren, dass sie für ihre Bedürfnisse passgenau ist. Dabei sollte es eine Abwägung zwischen Sicherheit und Nutzbarkeit vornehmen. Problem: Angreifer wissen die von Nutzern selbstherbeigeführten Schwachstellen, ausgelöst durch eine Untergewichtung der Software-Sicherheit, auszunutzen. Deshalb ist ein Kultur-Wandel angebracht.
Wichtig: Das Einspielen von Aktualisierungen und das Reagieren auf Herstellerhinweise fällt in den Verantwortungsbereich der IT-Abteilung. „Dem IT-Bereich kommt beim Heben von Optimierungspotenzialen in der IT-Sicherheit eine zentrale – wenn nicht sogar – entscheidende Rolle zu. Sie müssen sensibilisiert und verbindliche Vorgehensweisen vorgegeben bekommen, damit sie handeln, wenn es um IT- und Datensicherheit geht“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein. Er empfiehlt deshalb Schulungen und die Erarbeitung eines nachhaltigen IT-Sicherheitskonzeptes.
Übrigens: Das BSI empfiehlt Privatanwenderinnen und -anwendern sowie Unternehmen, die betroffenen Windows-Betriebssysteme (Windows 7 und Windows Server 2008) nicht mehr zu verwenden und zu einem Betriebssystem zu wechseln, für das weiterhin Sicherheitsupdates bereitgestellt werden.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de