Drive-by-Downloads – Angriff auf arglose Surfer und was dagegen getan werden kann

Die meisten PC-Anwender dürften schon etwas von Viren, Trojaner, Spyware oder ähnlichen Ausprägungen von Schadsoftware gehört oder gelesen haben. Zumeist muss man dazu selbst Software (aus oft zweifelhafter Quelle) auf dem Rechner installieren. Denn ein Virus oder Trojaner ist nichts anderes als ein Programm (meist in ein anderes eingebettet), dass durch aktives Zutun des Benutzers einmal in Gang gesetzt werden muss, um seine Schadwirkung entfalten zu können.

Bei neuere Formen von Schadsoftware, den sog. „Drive-by-Downloads“ ist das nicht mehr nötig. Dabei handelt es sich um Schadcode, der unsichtbar in Webseiten eingebettet ist und durch Sicherheitslücken der gängigsten Browser unbemerkt auf den PC des Surfers gespült wird, während man im Internet surft. Einmal auf dem eigenen Rechner angekommen, wird die Schadsoftware meistens unbemerkt nach geldwerten Daten suchen (z.B. Zugänge und Passwörter für kostenpflichtige Internetdienste, Homebanking, Kreditkartendaten, e-Mail etc.), die sich vom Angreifer leicht weiterverkaufen lassen. Oder sie wird den PC zum fernsteuerbaren Rechner umfunktionieren, der zur Weiterverbreitung von Massenwerbemails (sog. SPAM) oder zur Zwischenlagerung illegaler Daten  wie etwa Raubkopien oder Kinderpornografie benutzt werden kann – während der ahnungslose Benutzer daran weiterarbeiten kann, ohne etwas zu bemerken.

Das Risiko kann durch das bewusste Meiden der „Schmuddelecken und Hinterhöfe“ des Internets nicht wirklich reduziert werden. Denn auch Publikumswebseiten z.B. von Zeitschriften oder Fernsehsendern enthalten oft Werbebanner und aktive Elemente, die von Dritten eingespielt werden. Oder sie setzen ihre Webseiten aus zahlreichen Elementen zusammen, die von vielen Rechnern zusammengeholt werden (das macht der Browser automatisch) von denen auch einer gehackt und mit Schadsoftware bestückt werden kann.

Ein Drive-by-Download funktioniert vom Prinzip her wie ein Wurfanker. Einmal gut platziert, können zahlreiche Eindringlinge daran emporklettern und über Mauern hinweg ins Innere eines Hauses gelangen.

Doch was kann man dagegen tun? Zum einen lohnt es sich durchaus, die 30-50 € für die Jahreslizenz eines guten kommerziellen Virenscanners auszugeben. Denn diese Programme erkennen zahlreiche solcher Angriffe und können sie auch abwehren. Die oft funktionell sparsamer ausgestatteten kostenlosen Scanner können das oftmals (noch) nicht.

Aber auch Browser lassen sich sinnvoll ergänzen. So analysiert die kostenlose Erweiterung Finjan Secure Browsing, erhältlich für Internet Explorer und Firefox, die Ergebnisse einer Suchmaschinensuche auf potentiell gefährlichen Seitencode und zeigt dies im Suchergebnis an. Die Analyse beruht auf den aktuellen Datenbankbewertungen von Finjan, einem Anbieter von Sicherheitssoftware.

Die Browsererweiterung Web of trust , verfügbar für Firefox, fügt ein zusätzliches Symbol in die Symbolleiste des Browsers ein. Ein Klick darauf öffnet ein Fenster, das anzeigt, wie andere Benutzer die aktuell angezeigte Website hinsichtlich Vertrauenswürdigkeit, Zuverlässigkeit des Anbieters, Datenschutz und Jugendschutz eingestuft haben.

Drive-by-Downloads basieren auf Skriptsprachen wie Javascript, Active-X etc. die es ermöglichen im Browser fremden Programmcode von Webseiten herunterzuladen und auf dem eigenen Rechner auszuführen. Viele Webseiten realisieren so anspruchsvollere und benutzerfreundlichere Funktionen. Wer auf Nummer Sicher gehen will und Firefox benutzt, kann mit der Erweiterung NoScript den Stecker ziehen. Sie blockiert die Ausführung zahlreicher Arten aktiver Inhalte im Browser. Bemerkt man auf einer regelmäßig genutzten und als sicher eingestuften Seite das Fehlen von Funktionen, kann man diese Seite ganz oder teilweise vom NoScript-Schutz ausnehmen. Das Programm realisiert dadurch das von Sicherheitsexperten empfohlene „Prinzip der schwarzen Liste“ (alles ist erst mal verboten, nach Bedarf werden einzelne Aktionen vom Benutzer wieder erlaubt).

Ein weiteres nützliches Helferlein aus der Gruppe der Firefox-Erweiterungen ist Ad Block Plus, ein Werkzeug das Werbebanner aus dem Internet-Datenstrom herausfiltert. Drive-by-Downloads, die über Werbebanner und damit verbundenen Skriptcode eindringen wollen, werden so effektiv daran gehindert. Als Nebeneffekt werden viele Webseiten dadurch schneller dargestellt und wirken übersichtlicher und leichter lesbar.

All diese Maßnahmen können die Gefahr von Ausspähung und Diebstahl eigener Daten zwar nicht völlig ausschließen. Sie helfen jedoch, das Risiko deutlich zu reduzieren. So wie das Schloss an der Tür und die Scheibe im Fenster.

Microsoft legt Entwurf für eigenes „Datenschutzgesetz“ vor

Die USA haben in Sachen Datenschutz den Ruf einer Bananenrepublik. Was bei uns als großer Datenschutzskandal gilt, ist dort übliche Praxis, egal ob es um Arbeitnehmerüberwachung, Kundenprofilerstellung, Wirtschaftsspionage, Ausspähung von Bankdaten oder ähnliche Dinge geht. Identitätsdiebstahl (d.h. das Vorgeben anderer, i.d.R. gestohlener Identitäten, um auf Kosten Dritter Transaktionen tätigen zu können) ist mittlerweile ein Massenphänomen. Die US-Regierung weigerte sich zu Präsident Bush’s Zeiten schlichtweg angemessen darauf zu reagieren. Im Gegenteil: Sie baute im Zuge diverser „Heimatschutz“- und „Terrorwahn“-Programme mit die größten Vorratsdatenspeicherungen der Welt auf.

Zunehmend leiden daher US-Firmen und internationale Konzerne mit Firmenteilen in den USA unter dem generellen Misstrauen von Kunden und Geschäftspartnern ihnen gegenüber. Das bekam auch Microsoft immer deutlicher zu spüren. Die Redmonder investieren bereits seit Jahren beträchtliche Summen in die Weiterentwicklung IT-sicherheits- und qualitätsrelevanter Aspekte ihrer Produkte. Zu sehr hatte sich das Image lausiger Produktqualität verbunden mit Ausspähpraktiken gegenüber Kunden und dem grundlosen Drang „nach Hause zu telefonieren“ nahezu jedes Softwareproduktes mit der Marke Microsoft verbunden.

Wer bei der Softwareentwicklung datenschutzrechtliche Vorgaben berücksichtigt, unterstützt seine Kunden beim Schutz personenbezogener Daten und verschafft sich selbst Vorteile bei der Vermarktung der eigenen Produkte. Daher hat das Softwarehaus bereits 2006 eine umfangreiche interne Datenschutzrichtlinie herausgegeben, die sich inhaltlich an europäischen Datenschutzstandards orientiert und maßgebend für Entwickler bei der Implementierung datenschutzrelevanter Teile von Microsoft-Produkten sein soll. Sie wurde zwischenzeitlich kontinuierlich  weiter entwickelt und hat durchaus das Zeug dazu, als Referenz und Industriestandard für ein noch zu schaffende amerikanisches Datenschutzgesetz zu dienen.

Microsoft hat mit seiner Datenschutzrichtlinie nicht zuletzt auf eine zunehmend kritischere Kundschaft reagiert. Beobachter stellen gerade in den USA eine wachsende Bedeutung datenschutzrechtlicher Themen fest und vermuten dahinter nicht zuletzt die drastisch gestiegene Überwachung durch staatliche Institutionen. In diese Kerbe hat Microsoft zunächst mit Forderungen nach einem einheitlichen US-amerikanischen Datenschutzrecht geschlagen und sodann die Entwicklungsrichtlinien folgen lassen.

Das erklärte Ziel der Richtlinien ist es, Kunden und Nutzer in die Lage zu versetzen, selbst über die Speicherung, Nutzung und Übermittlung personenbezogener Daten zu bestimmen. Also das Recht auf informationelle Selbstbestimmung des Einzelnen zu berücksichtigen. Das gelingt aber nur, wenn der Softwarehersteller ihm dafür entsprechende Instrumente an die Hand gibt.

Nicht nur theoretisch stellen die Entwickler-Richtlinien zum Datenschutz von Microsoft eine beachtliche Selbstverpflichtung dar. Werden sie auch tatsächlich umgesetzt, ist im Bereich des Datenschutzes bei Microsoft-Produkten viel erreicht. Es wäre wünschenswert, dass andere Softwarehersteller dem Beispiel aus Redmond folgen und so ein Mehr an guter Sicherheitspraxis in den Unternehmen etablieren.

Allein mit der Veröffentlichung einer solchen Richtlinie ist es aber nicht getan. Man darf nicht vergessen, dass es sich hier um private Selbstverpflichtungen handelt, die staatlich nicht durchgesetzt werden können und keinen Rechtsanspruch auf irgendwas begründen. Ob ausreichende Taten folgen werden, bleibt abzuwarten.

Um seinen ernste Willen herauszustreichen, lässt Microsoft aber auch „datenschutz-kritische“ Produkte wie seinen Windows Update Server (Patch-Management) oder die Software Protection Platform (Schutz vor Lizenzbetrug) zunehmend von externen Instituten wir z.B. dem unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein zertifizieren.

Bei öffentlich auszuschreibenden IT-Vergaben kann in Zukunft verstärkt damit gerechnet werden, dass eine solche Zertifizierung ein relevantes Kriterium bei der Vergabeentscheidung spielen wird. Nicht zuletzt hilft ein Softwarehersteller, der seine Produkte zertifizieren lässt, auch seinen Firmenkunden, wenn sich diese ihrerseits einschlägige Zertifizierungen anstreben.

Heise Developer: Datenschutzrecht in der Softwareentwicklung

Privacy Guidelines for Developing Software Products and Services

Conficker – Die Invasion aus dem Internet

Ein Wurm mit der Bezeichnung Win32/Conficker.A bereitet derzeit Microsoft sowie zahlreichen Windows-Nutzern Kopfzerbrechen. Denn er nutzt eine Sicherheitslücke im Windows-Server-Dienst „svchost.exe“ aus, nistet sich unter wechselnden Namen als dll-Datei auf den betroffenen Rechnern ein und schreibt sich in die Registry. Gleichzeitig erstellt der Schädling einen Webserver, öffnet einen Port zwischen 1.024 und 10.000 und beginnt dann, sich über das Internet oder über Firmennetzwerke auf andere Computer zu verbreiten.

Das Interessante bei dieser Wurm-Variante  ist jedoch Folgendes: Ist der Server-Dienst erst einmal ausgeschaltet, spielt der Wurm den benötigten Sicherheits-Patch gleich selbst auf das System, wobei die Sicherheitslücke damit nicht geschlossen ist. Lediglich andere Würmer werden daran gehindert, das System zu befallen. Damit wird das an sich recht verlässliche Patch-System von Windows ausgetrickst und zur weiteren Tarnung dieser Schadsoftware genutzt.

Als wenn das noch nicht reichen würde, nimmt er nebenher noch Kontakt mit Internetseiten auf, um deren nach außen erscheinende IP-Adresse und aktuelle Zeit zu ermitteln. Über diese Abfrage ist der Wurm in der Lage, eine Liste von Domains zu generieren, um dann über die gesammelten Seiten weiteren Schadcode nachzuladen. Zudem scheint es bereits mehrere Varianten des Wurms zu geben.

Da man nach wie vor noch nicht genau sagen kann, was der Conficker-Wurm mit all den übernommenen Rechnern für die Zukunft im Schilde führt, verspricht das weitere Geschehen spannend zu werden. Denn bisher hat der Conficker-Wurm nicht mehr getan, als sich zu vermehren. Die Köpfe hinter dem Schädling scheinen sich bis auf weiteres alle Optionen offen zu halten. Erst kürzlich wurde die Befürchtung laut, dass ein hinsichtlich der Größe noch nie da gewesenes Botnetz erwachen könnte.

Andererseits haben Tests mehrerer Antivirensoftware-Hersteller ergeben, dass bereits die in Windows integrierte Firewall zusammen mit der automatischen Update-Funktion, das System recht zuverlässig vor dem Conficker-Wurm schützen können. Einmal mehr zeigt sich, dass bereits ein technischer Grundschutz, wie ich ihn in den „12 Geboten sicherer Computernutzung“ empfehle, wirksam vor den meisten Problemen mit Schadsoftware schützen kann.

Microsoft Malware Protection Center – Eintrag zu Conficker

Spiegel.de: Fachleute befürchten 50 Millionen verseuchte Rechner

Standardisierung in der IT als Sicherheitsrisiko?

In Zeiten der Wirtschaftskrise übernehmen wieder Sparkommissare und Kostenkiller das Denken in vielen Firmen. Für IT-Budgets bedeutet das oft deren Kürzung durch Zusammenstreichen. Ein klassischer Weg zur Senkung von IT-Kosten besteht dabei in der Verschlankung von Prozessen und Standardisierung von Technologien und Plattformen. Das hat zur Folge, dass man für ähnliche Probleme in fast allen Unternehmen früher oder später ähnliche Lösungsansätze basierend auf ähnlichen oder gar gleichen Technologien, Plattformen und Produkten vorfindet („Best-Practices-Ansatz“).

So bilden sich allmählich Monokulturen heraus. Für Eindringlinge in Firmennetze ist das von großem Vorteil. Sie finden sich überall schnell zurecht, werden selten mit völlig unbekannten IT-Systemen konfrontiert und können sich über ähnliche oder gar gleiche Schwachstellen, zum Teil sogar automatisiert per Hackertool Zugang verschaffen.

Einen ganz anderen Weg schlug vielerorts in Deutschland der öffentliche Dienst ein. Die Aufgaben von Kommunalverwaltungen, Finanzämtern und Sozialbehörden unterscheiden sich inhaltlich so deutlich von denen eines Unternehmens, dass die Verwaltungen dafür lange Zeit kaum brauchbare Lösungen am Markt vorfanden. Auch ist ihr Tätigkeitsbereich viel mehr von hoher Regulierungsdichte geprägt, als der der freien Wirtschaft. Insbesondere Software musste von den Behörden daher selbst oder im Wege der Auftragsvergabe speziell entwickelt werden. Inzwischen tauschen sich die regional oder auf Landesebene organisierten Verwaltungen in übergreifenden Fachgremien bzgl. der Weiterentwicklung ihrer Programme untereinander aus oder übernehmen ausgereifte Lösungen, die anderen Orts entwickelt wurden.

Diese Praxis führte zu einem immer stärkeren Auseinanderlaufen der Beschaffenheit von IT-Infrastrukturen des öffentlichen Dienstes und der Privatwirtschaft. E-Government-Projekte der Regierungen hatten so auch oft mit Schnittstellenproblemen zwischen Systemen der Verwaltung und Wirtschaft zu kämpfen.

Dies hat allerdings auch unbestreitbare Vorteile. So sitzen z.B. deutsche Finanzämter auf der wohl größten Vorratsdatenspeicherung der Bundesrepublik. Steuerliche Angelegenheiten müssen aus rechtlichen Gründen auch Jahre und Jahrzehnte später noch nachvollziehbar sein. Sie bestehen aus einer Vielzahl von vernetzten Einzelinformationen zu fast jedem Bewohner Deutschlands. Und gerade in den letzten Jahren wurden die steuerlichen Informations- und Dokumentationspflichten massiv ausgebaut (meist im Wege von Änderungen der Abgabenordnung oder des Einkommensteuergesetzes). Steuerfachleute behaupten etwa 70% aller steuerrechtlichen Fachliteratur dieses Planeten beträfen Fragen des deutschen Steuerrechts.

Da wäre der Abzug einer Finanzamtsdatenbank bestimmt ein lohnendes Objekt. Wurden letztes Jahr doch bereits für ein paar DVDs mit Liechtensteiner Bankdaten mehrere Millionen Euro bezahlt.

Ganz abgesehen davon, dass Finanzämter zu deutlich höheren Schutz- und Sicherheitsvorkehrungen verpflichtet sind als andere Teile der staatlichen Verwaltung, wurde die letzten Jahre eigentlich nie ein Datenskandal im Zusammenhang mit vom Fiskus geklauten Steuerdaten bekannt. Bei der dezentral-föderalen Struktur der Fiskalverwaltung dürfte er wohl kaum längerfristig geheimzuhalten sein, weshalb Verschleierung mit hoher Wahrscheinlichkeit ausscheidet. Auch andere Teile des öffentlichen Dienstes wurden in der Vergangenheit vor allem dann als Datenschleudern bekannt, wenn dort geschlampt wurde oder wenn falsch konfigurierte Kaufprodukte eingesetzt wurden (s.a. Report München deckt auf: Sicherheitsleck im Einwohnermeldeamt)

Stattdessen scheint der öffentliche Dienst datenschutztechnisch zunehmend davon zu profitieren, dass seine IT-Strukturen und Abläufe sich wesentlich von denen der Privatwirtschaft unterscheiden. Und dass Angriffe z.B. auf ein Finanzamt daher ganz anders geplant und durchgeführt werden müssten als solche auf eine Konzernzentrale. Die zum Teil byzantinisch wirkenden Vorgänge im Innern deutscher Behörden sowie die Vielfalt historisch gewachsener und politisch gestalteter Systeme und Prozesse wirken als eine Art zusätzlicher Schutzschirm der Verwaltungen vor Eindringlingen und Datendieben.

Zumindest aus der Perspektive der Informationssicherheit und des Datenschutzes können Bürokratie, organisatorischer Eigensinn und ein von Unterschieden zur Normalität geprägtes Aufgabenfeld durchaus von Vorteil sein.

Internetzensur verhindern – Kinder schützen!

Die Pläne der Regierung zum Thema Internetzensur nehmen konkretere Formen an. Insbesondere Bundesfamilienministerin van der Leyen legt dabei die selbe autistisch-imbezil geprägte Grundhaltung an, welche schon in den letzten Jahren jedem größeren Anschlag auf die Bürgerrechte im Namen scheinbar ehrbarer Motive voranging.

Aus aktuellem Anlass dokumentiere ich daher an dieser Stelle eine Pressemeldung der Piratenpartei Niedersachsen. Besser könne ich das auch nicht schreiben.

Internetzensur verhindern – Kinder schützen!

Die Piratenpartei fordert Transparenz und Aufklärung im Kampf gegen Kinderpornografie im Internet. Eine umfassende Internet-Zensur, wie von Regierungsvertretern gefordert, ist jedoch weder angebracht noch hilfreich, um Straftaten an Kindern zu verhindern.
Auf einem Treffen am Montag zwischen Regierungsvertretern und den maßgeblich führenden Anbietern von Internetzugängen, habe man sich laut Heise.de, über technische und rechtliche Möglichkeiten zur Sperrung und Filterung von Inhalten im Internet verständigt. Die genauen Details werden noch ausgehandelt, aber einer Zensurmaßnahme stehe nichts mehr im Wege. So solle eine „Zugangserschwerung für kinderpornografische Angebote“ eingerichtet werden.

„Wir, die Piratenpartei Deutschland, sehen dies als verheerenden Eingriff in unser Recht auf freie Meinungsäusserung und Informationsfreiheit an“, so der niedersächsische Vorsitzende Christian Koch. „Selbstverständlich ist es abartig kinderpornografische Inhalte anzubieten, oder diese überhaupt zu erstellen. An diesem Punkt greift aber eine so umfassende Zensurmaßnahme nicht ein, sondern sie schweigt diese Kriminalität einfach tot. Denn was im Internet so ohne weiteres nicht zu finden ist, das gibt es scheinbar nicht. Das ist reine Augenwischerei. Es verwundert in diesem Zusammenhang auch nicht, dass von einer Zugangserschwerung gesprochen wird, und es nicht um das Erstellen und Einstellen solcher Inhalte geht.“

Einerseits werden die Ursachen nicht bekämpft, und das sind Armut, übersteigerter Kapitalismus, Oberflächlichkeit und Hackordnung sowie schlichtweg die Angst vor sozialem Abstieg und andererseits schafft man sich neue Strafbarkeiten, die wiederum zu neuen Maßnahmen gegen diese Strafbarkeiten führen.

Durch eine Überarbeitung des Telemediengesetzes werden nur die rechtlichen Grundlagen für Zensur geschaffen. Technisch ist dies fast kein Problem, das zeigen Länder wie China, Iran oder auch Kuba. Dort werden Internetseiten gesperrt, die nicht den Interessen der jeweiligen Regierungen entsprechen.

„Die große Gefahr ist“ so Koch „dass in Deutschland, unter dem Deckmantel der Bekämpfung der Kinderpornografie, eine Zensur wie in diesen Ländern eingeführt werden soll. Jetzt ist es das in der Politik immer wieder gerne genommene Scheinargument Kinderpornografie, morgen sind es die Internetseiten von Nationalsozialisten, danach Linke Randgruppen und zum Ende die freie Presse. Auch die Innenminister der einzelnen Bundesländer versuchen das immer wieder gerne zu etablieren; zuletzt Uwe Schünemann aus Niedersachsen. Dieses Vorgehen muss gestoppt werden, bevor der Zensur in unserem freiheitlich demokratischen Land Tür und Tor geöffnet wird. Es wird Zeit, Kinderpornografie endlich da zu bekämpfen, wo sie entsteht, und wo die bestehenden Gesetze und Verordnungen bereits ausreichend Möglichkeiten bieten diese auch anzuwenden. Die Strafverfolgung wird nach wie vor nicht vorangetrieben, nur die für uns alle unterdrückenden Maßnahmen sollen durchgeboxt werden.

Und wer weiß schon, was bei einer Sperrung sonst noch alles verschwindet.“

Die Piratenpartei fordert daher eine Abkehr von allen Bestrebungen, das Internet durch Sperrungen von einzelnen Inhalten zu zensieren. „Wir fordern einen unseren Gesetzen und unserer Gesellschaft entsprechenden Umgang mit dem Thema Kinderpornografie“, erläutert Christian Koch.

„Totschweigen nützt keinem etwas, insbesondere nicht den Kindern; das scheinen so einige Politiker immer wieder gerne zu vergessen. Straftaten in die Grauzone des Vergessens zu verbannen ist keine demokratische Form damit umzugehen und hilft niemandem, schon gar nicht der Vermeidung solcher Straftaten.“

Quelle: Pressemeldung der Piratenpartei Niedersachsen

Heise.de: Schäuble will Kampf gegen Kinderpornografie internationalisieren

Heise.de: Internetprovider fordern klare gesetzliche Regelung für Access Blocking

Gulli.de: Internet-Sperren – Erste Details werden bekannt

Laxe Einstellung zur IT-Sicherheit in deutschen Firmen

In so manchem Unternehmen lässt man bei der IT-Sicherheit oft „Fünfe mal gerade sein“. Auch wenn man bei sichtbareren Sicherheitsinstrumenten wie Stacheldrahtzäunen, Zugangschipkarten, Wachdiensten oder Videoüberwachung der Gebäudehülle oft sehr gut ausgestattet ist.

So ergab die gerade erschienene Studie „IT-Security 2008“, die von Informationweek und Steria Mummert Consulting jährlich durchführt wird, dass etwa die Hälfte der 468 befragten IT-Manager und IT-Sicherheitsverantwortlichen in ihrem Zuständigkeitsbereich nicht mal Sicherheitsmaßnahmen auf dem mittleren Schutzniveau des IT-Grundschutz umgesetzt hat. Und nur ein Drittel der Befragten, verfügt über ein Risikomanagement nach den Vorgaben des BSI.

Zwar gibt es keinen direkten gesetzlichen Zwang zum Einrichten einer IT-Sicherheitsinfrastruktur in Unternehmen. Aber aus verschiedenen Regularien lässt sich die Verpflichtung zu entsprechendem Handeln sowie eine Haftung der Geschäftsführung im Schadensfall ableiten. Beispielsweise aus Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), mit dem bereits 1998 das Gesellschaftsrecht sowie die Manager-Haftung bei Verstößen gegen allgemeine Sorgfaltspflichten verschärft wurden.

Allerdings stuften die Teilnehmer zumindest den Stellenwert von IT-Sicherheit in ihren Unternehmen sehr hoch ein. 25,6 Prozent vergaben bei der Frage nach der Priorität von IT-Sicherheit auf einer 10er-Skala  die Höchstnote, 47,9 Prozent wählten noch die zweithöchste Kategorie 7 bis 9. Hoch ist mit knapp 64% auch die Anzahl der Unternehmen, die (zumindest auf dem Papier) über festgelegte Sicherheitsrichtlinien verfügen. Diese beruhen beim Großteil der Unternehmen auf dem BSI-Grundschutzhandbuch oder anderer Standards wie ISO 27001 oder ITIL.

Was die konkreten Sicherheitsverstöße oder -vorfälle betrifft, so waren bei knapp 21 % der Befragten mehr oder viel mehr Vorfälle im Vergleich zum Vorjahr zu verzeichnen, während 40 % eine gleichbleibende Zahl und rund 11 Prozent weniger oder viel weniger Vorfälle registrierten. Führend in der Liste der Sicherheitsvorfälle sind Angriffe per Schadsoftware (Viren, Würmer, Trojaner & Co.) mit 63,4 Prozent. Gleich an zweiter Stelle steht mit etwa 45% der Nennungen der „Faktor Mensch“ in Form unbeabsichtigter Fehlkonfigurationen von IT-Systemen oder menschliches Versehen bei deren Bedienung.

Informationweek.de: Deutsche Unternehmen ignorieren Behördenstandards

Heise.de: Deutsche Unternehmen ignorieren Sicherheitsstandards

IT-Sicherheit und Softwarequalität – eine Tugend in der Krise?

Viele Probleme im Bereich der IT-Sicherheit und des Datenschutzes können auf mangelnde Qualität der eingesetzten IT-Systeme zurückgeführt werden. Inzwischen ist es sogar ein „Qualitätsmerkmal“ guter Sicherheitsprozeduren in Unternehmen geworden, dass man Patches, also Fehlerkorrekturen an der eingesetzten Software zügig von Herstellern bezieht und einsetzt. Als ob man gute Qualität z.B. bei Autos daran messen würde, dass sie einmal monatlich (Microsofts normaler Auslieferungszyklus für Sicherheitsupdates) in die Werkstatt gefahren werden, um mangelhafte Teile auszutauschen.

Offenbar hat die Qualität bei Software noch längst nicht den Stand erreicht, der von anderen komplexen technischen Produkten heute durchaus verlangt wird. Viele Softwareanbieter schließen zudem in ihren Allgemeinen Geschäftsbedingungen (AGBs) ihre Haftung für Mängel in einem Maße aus, der z.B. bei Haushaltsgeräten schlicht rechtlich unzulässig wäre.

Was aber kann getan werden, damit Software besser wird? Und wie misst man überhaupt „gute Qualität“ bei Software? Schließlich wird die Debatte um die sog. „Softwarekrise“ in der Fachwelt bereits seit etwa vier Jahrzehnten geführt und hat zur Entstehung einer neuen Teildisziplin der Informatik geführt: dem Software Engineering bzw. der Softwaretechnik, d.h. der systematischen Entwicklung von Software im Sinne einer Ingenieursdisziplin.

„Unter Softwarequalität versteht man die Gesamtheit der Merkmale und Merkmalswerte eines Softwareprodukts, die sich auf dessen Eignung beziehen, festgelegte oder vorausgesetzte Erfordernisse zu erfüllen“ lautet eine gängige Lehrbuchdefinition des Qualitätsbegriffes für Software.

Der Begriff der Softwarequalität selbst ist zunächst abstrakt daher und in der Praxis direkt anwendbar. Deshalb existieren Qualitätsmodelle und Best-Practice-Vorgehensweisen der Softwareentwicklung, die durch eine weitere Detaillierung und Konkretisierung das Konzept der Softwarequalität praktisch umsetzbar machen.

Hacker aber auch IT-Sicherheitsexperten haben eine regelrechte Wissenschaft daraus gemacht, nach Fehlern in Softwareprodukten zu suchen. Für sie sind Exploits (Programmdefekte aus denen man Nutzen ziehen kann) keine Frage des „ob“ sondern nur des „wann, wie und wo“.

Aber auch Qualitätsmanager und Prüfer gehen der Softwarequalität immer systematischer auf den Grund. Inzwischen gibt es regalmeterweise Standards und Normen, welche Eigenschaften gute Software hinsichtlich Funktionalität, Gebrauchstauglichkeit, Datenschutz und Sicherheit aufweisen sollte. Und wie man diese messen kann. Aber auch hier gilt das Grundprinzip des Qualitätsmanagements, wonach man Qualität besser gleich „mit einbaut“ anstatt sie nachträglich „reinzuprüfen“. Und dass qualitativ hochwertige Produkte zwar zunächst aufwändiger in der Entwicklung und Produktion sind. Aber im Nachhinein weniger Kosten und Ärger verursachen. Man muss demnach nachhaltig und längerfristig denken können, um Qualitätsprodukte entwickeln zu können.

Gerade das aber sind Tugenden über die es sich nachzudenken lohnt. Insbesondere in ökonomischen Krisenzeiten, in denen ein „Weiter so“ nicht akzeptabel wäre. Krisen sind Anreize dazu Dinge grundlegend anders und besser zu machen. Das gilt in einer zunehmend informatisierten Gesellschaft auch und gerade für Softwareprodukte.

Link asqf e.V. und ISQI

Links ergänzt (Organisationen):

Arbeitskreis Software-Qualität und -Fortbildung e.V. (ASQF)

International Software Quality Institute (iSQI GmbH)

Link telemedicus.info

Link ergänzt (IT-Recht): Telemedicus – Rechtsfragen der Informationsgesellschaft

Die größten Sicherheitsbedrohungen 2008 und was uns 2009 erwartet

Das Jahr 2008 ist gerade so rum und das Neue erst ein paar Tage alt. Eine gute Gelegenheit, um mal Bilanz zu ziehen, welche Bedrohungen für die IT-Sicherheit 2008 auf der „Hit-Liste“ so weiter vorne lagen. Und was die Auguren für 2009 so prophezeien.

Eine gute Quelle dafür ist der Sophos Security Threat Report 2009 (PDF, 0,8 MB), in dem der Anbieter von Sicherheitslösungen für Unternehmen zusammenfasst, was seine Experten im vergangenen Jahr so entdeckten und womit sie für 2009 rechnen.

Demnach lagen die Bedrohungen der IT 2008 hauptsächlich in diesen Bereichen:

•    Angriffe auf Webseiten per SQL-Injection, um sich Zugang zu Datenbanken zu verschaffen.
•    Missbrauch von Webseiten Dritter zur Verteilung von Schadcode per Drive-by-Download.
•    Verfünffachung des Aufkommens an Schadcode in Mailanhängen innerhalb nur eines Jahres.
•    Massive Zunahme von Spam-Mails sowie damit in Zusammenhang stehender Bedrohungen. Asien als Hauptquelle für Spam-versendende Rechner (36% des weltweiten Aufkommens).
•    In den USA lokalisierte Botnetze als Hauptquelle für Schadsoftware (37% des weltweiten Aufkommens).

Da viele Firmen ihre Mailserver gut gesichert haben, um der Weiterleitung von Spam keine Chance zu geben, sind mittlerweile Kombinationen aus schlecht gesicherten Webseiten (Verteilung von Schadcode auf PCs) in Kombination mit Botnetzen (Nutzung der PCs zum Spamversand) die Methode der Wahl um Spam-Mails zu generieren.

Die Betreiber vieler Webseiten wissen dabei meist gar nicht, dass ihre Seiten durch Cyberkriminelle so manipuliert wurden, dass sie (z.B. eingebettet in ein Werbebanner) Schadcode mitverteilen helfen (sog. Drive-by-Download).

Was die Sicherheitslage 2009 angeht, so geben die Sophos-Leue ehrlich zu, dass es schwierig sein, dazu etwas Verlässliches zu sagen. Die Entwicklungen im Malware-Bereich schreiten rapide voran und insgesamt nehmen Komplexität und Vielfalt an Sicherheitsrisiken und Angriffsmethoden rasch zu. Alles was denkbar ist, wird ausprobiert. Und für alles was ausprobiert wurde, findet jemand eine Möglichkeit, es für betrügerische Zwecke zu nutzen. Der eigentliche Treiber dabei ist Profit. Schon längst haben professionelle kriminelle Organisationen den Hobbyhacker von nebenan verdrängt. So kann man beispielsweise Botnetze heute mieten wie Autos. Die dabei erzielten Mieteinnahmen (bezahlt meist von Spammern) sind die Einkommensquelle der Botnetzbetreiber.

Datenlecks in Unternehmen werden als Problem von rasch zunehmender Bedeutung gesehen, insbesondere im Zusammenhang mit mobilen Endgeräten. Ebenso die zu erwartende Verschärfung von Datenschutzauflagen in mehreren Ländern.

Als primäre Ursache für Spamfluten, die immerhin ca. 97% des weltweiten Gesamtaufkommens an E-Mail ausmachen, werden Botnetze gesehen. Diese bestehen oft aus mehreren Tausend bis Zehntausend mit entsprechender Schadsoftware infizierten Privatrechnern. Zwar konnten in letzter Zeit mehrere solcher Botnetze eliminiert werden, worauf das Spamvolumen messbar abnahm. Aber es ist nur eine Frage der Zeit, bis ihre Betreiber diese Spamschleudern wiederaufgebaut haben. Die dafür nötige Schadsoftware wird oft genug über gehackte Webseiten ahnungsloser Dritter per Drive-by-Download auf Privatrechner verteilt.

Eine weitere Methode fremde Rechner zu Botnetzen zusammenzuschalten, besteht darin, Schadsoftware in Mailanhängen (meist Office-Fomate wie .doc, .ppt oder .pdf) zu verstecken,
und so bekannte aber noch nicht gepatchte Sicherheitslücken verbreiteter Anwendungsprogramme zum unbemerkten Installieren von Schadcode ausgenutzt werden. Aber auch interessante Daten auf diesen Rechnern können so systematisch ausgespäht, zentral gesammelt und als Sammlung weiterverkauft werden. Viele Fälle von Identitätsdiebstahl oder Kreditkartenbetrug konnten letztlich auf von Privatrechnern gestohlene Daten zurückgeführt werden.

Für die Sicherheitspraxis lässt sich daraus u.a. mitnehmen, dass Privatrechner immer mehr in den Blickpunkt von Cyberkriminellen geraten. Weniger weil es auf ihnen etwas zu stehlen gäbe. Sondern weil sich mit vielen solcher Rechner, zusaammengeschaltet als Botnetz viel Geld machen lässt. Das macht es gerade für Privatnutzer zunehmend wichtig , sich mit den Grundlagen der Informationssicherheit zu befassen.