12 Security-Mythen

Unsere US-Kollegen von der Network World haben Sicherheitsexperten, Berater, Hersteller und Sicherheitsmanager nach ihren Lieblings-"Mythen" befragt. Die zwölf beliebtesten Mythen haben wir in einer Zitategalerie zusammengefasst - der eine oder andere Spruch kommt Ihnen bestimmt bekannt vor. Im Anschluss werden wir alle "Weisheiten" auf ihren Wahrheitsgehalt hin überprüfen. Sie können sich sicherlich denken, was dabei herauskommen wird…

Mythos 1: "Mehr Sicherheit ist immer besser."

Verschlüsselungsexperte und Sicherheitsguru Bruce Schneier: "Mehr Sicherheit ist nicht notwendigerweise besser. Manchmal stimmt das Kosten-Nutzen-Verhältnis von ‚noch mehr Sicherheit’ einfach nicht. Es bringt nichts, beispielsweise 100.000 Dollar auszugeben, um einen Donut zu beschützen. Der Donut wäre zwar sicherer als vorher, es wäre hier aber sinnvoller, ihn einfach zu riskieren, um das Geld zu sparen. IT-Sicherheit bringt immer auch einen schrumpfenden Return on Investment mit sich: Der komplette Grundschutz kostet 25 Prozent eines bestimmten Geldbetrags, eine minimale Erweiterung der Sicherheit kostet dann noch einmal 25 Prozent. Es gibt immer einen Punkt, wo sich mehr Sicherheit nicht mehr lohnt. Zudem ist die absolute Sicherheit sowieso nicht möglich - und unter moralischen Gesichtspunkten vielleicht auch gar nicht so erstrebenswert."

Mythos 2: "Das DDoS-Problem ist mit Bandbreite zu lösen."

Carl Herberger, Vice President Security Solutions bei Radware: "Unter IT-Managern herrscht der Irrglaube, dass Distributed Denial of Service-Attacken am besten mit viel verfügbarer Bandbreite zu begegnen ist. Seit dem vergangenen Jahr ist aber erwiesen, dass mehr als die Hälfte von DDoS-Angriffen sich nicht durch die eingesetzte Bandbreite, sondern durch die Applikations-Orientierung auszeichnen. Hier wird der Anwendungs-Stack angegriffen, und gängige Standards zu Zwecke der Service-Unterbindung attackiert. Eine höhere Bandbreite kommt dem Attackierenden in diesem Szenario zugute. Lediglich ein Viertel heutiger DDoS-Angriffe können durch eine höhere Bandbreite noch abgeschwächt werden."

Mythos 3: "Der Passwort-Ablaufzyklus (typischerweise 90 Tage) schützt die IT-Systeme."

Ari Juels, Chefforscher bei RSA: "Diese Annahme ist vergleichbar mit dem Ernährungstipp, acht Gläser Wasser pro Tag zu sich zu nehmen. Niemand weiß, woher diese Weisheit stammt und ob sie der Wahrheit entspricht. Jüngste Untersuchungen haben ergeben, dass Passwortabläufe nicht unbedingt sinnvoll sind. Wenn Passwortänderungen im Unternehmen vorgenommen werden, dann besser in zufälligen und nicht in regelmäßigen Abständen."

Mythos 4: "Auf die Intelligenz der Masse ist Verlass.”

Bill Bolt, Vice President IT beim Basketball-Team Phoenix Suns: "Immer und immer wieder bekommt ein Angestellter eine E-Mail, in der ihn jemand externes vor einem neuen Virus warnt - und schon wird die IT-Abteilung verständigt. Leider sind diese Arten von Informationen alles andere als neu - sie beziehen sich häufig auf Bedrohungen, die bereits zehn Jahre zurückliegen."

Mythos 5: "Client-seitige Virtualisierung kann die Sicherheitsprobleme der IT-Consumerization lösen."

Gartner-Analyst John Pescatore: "Ich höre ständig, dass eine virtuelle Maschine für den Job und eine fürs Private das BYOD-Problem lösen soll. Auf diese Weise werde das Sicherheitsrisiko auf der private Seite konserviert und der Fluss von Daten aus dem Unternehmen hinaus verhindert. Ich bin da aber skeptisch. Der Geheimdienst hat das bereits vor Jahren versucht - die NSA bezahlte eine damals kleine Firma namens VMware dafür, NetTop zu entwickeln. Diese Software sollte verschiedene virtuelle Maschinen erzeugen, in denen Daten nach den Klassifizierungsstufen ‚geheim’, ‚derzeit streng geheim’ und ‚später streng geheim’ abgelegt werden und analysiert werden konnten. Es gab jedoch sofort ein Problem, weil Analysten nicht in diesen Abstufungen arbeiten, sondern in allen Umgebungen gleichzeitig tätig sind. Ein Datenaustausch zwischen den Domains war somit unausweichlich.

Das gleiche geschieht heute mit den dienstlichen und privaten IT-Umgebungen. Private E-Mails, die in meiner dienstlichen Maschine aufschlagen - und umgekehrt - muss ich in der jeweils anderen Maschine lesen können. Entweder ich sende sie also per E-Mail weiter oder transferiere sie mithilfe eines USB-Sticks. Somit ist jegliche Trennung obsolet. Virtualisierung ist eine einzige Geldverschwendung. NetTop ist übrigens immer noch am Markt - und wird sogar noch vereinzelt eingesetzt - von Geheimdienstlern.

Mythos 6: "Die IT sollte die Anwender dazu ermutigen, zufällig generierte Passwörter zu benutzen und diese alle 30 Tage zu ändern."

Kevin Haley, Chef des Symantec Security Response Teams: "Zufällig erzeugte Passwörter sind sicher, bergen aber auch Nachteile. Der Anwender kann sich diese Passwörter kaum merken und auch nur langsam eintippen. In der Praxis ist es um einiges einfacher, Passwörter zu erzeugen, die genauso sicher sind, aber leichter zu behalten - sie sollten 14 Zeichen lang sein, Groß- und Kleinbuchstaben sowie zwei Zahlen und zwei Sonderzeichen enthalten. Eine 30-Tage-Erneuerungsfrist mag für Hochsicherheits-Umgebungen sinnvoll sein, bringt Anwender aber auch dazu, auf einfache Muster zurückzugreifen, um sich die immer neuen Passwörter merken zu können. Damit sinkt deren Sicherheit. Ein Wechsel alle 90 bis 120 Tage ist wesentlich besser."

Mythos 7: "Jeder Computervirus macht sich für den Anwender irgendwie bemerkbar."

David Perry, Chef von G Data Nordamerika: "Für den Normalverbraucher sind Computerviren ein großes Mysterium. Das meiste, was er über Malware weiß, stammt aus dem Fernsehen oder aus Science-Fiction-Filmen. Dass sich ein Virus auf dem Rechner bemerkbar macht - beispielsweise durch verschwindende Symbole auf dem Desktop - ist ein solcher Mythos."

Mythos 8: "Wir sind kein Angriffsziel.”

Alan Brill, Senior Managing Director Cybersecurity bei Kroll: "Viele Unternehmen glauben, dass ihre Systeme einen Angriff nicht wert sind, weil sie zu klein sind oder keine kritischen respektive wertvollen Daten besitzen. Diese Annahme, die viele Attackierte einst lange vertraten, ist offensichtlich falsch."

Gerald Hahn, Softshell
"Das Budget der Cyberkriminellen übersteigt das Budget der IT-Security-Branche um ein Vielfaches."

Thorsten Krüger, SafeNet
"Trennen Sie Ihre Daten nach Wichtigkeit und Zuständigkeit."

Alfred Zapp, CSC
"Gerade in den vergangenen Monaten haben wir eine Fülle von Anfragen nach IT-Security-Beratung erhalten - besonders im mobilen Bereich. Das ist ein brandheißes Thema in den Vorstandsetagen."

Candid Wüest, Symantec
"Unternehmen berücksichtigen die mobilen Geräte noch nicht in ihrer Sicherheitsstrategie. Sie machen heute die gleichen Fehler wie bei den Client-PCs vor zehn Jahren."

Willi Backhaus, Avenade
"Es hat mich überrascht, dass auch CRM-Systeme sowie Zeit- und Spesenerfassung zunehmend über private Geräte bedient und erledigt werden."

Sven Gerlach, Integralis
"Das Management sollte die Nutzung privater Geräte im Unternehmen nicht vorleben."

Markus Henning, Sophos
"Den Unternehmensentscheidern ist nicht klar, was sie eigentlich tun, wenn kritische Daten über das Web erreichbar sind."

Bruce Schneier, Sicherheitsexperte
"Daten zu speichern ist billiger, als sie zu löschen. Das birgt Risiken."

Mythos 9: "Neue Software ist nicht sicherer als alte."

Gary McGraw, CTO bei Cigital: "Die Software-Entwicklung ist besser geworden und die Anfälligkeit für Schwachstellen geht zurück. Sicheres Coding wird heute weit besser verstanden und mit geeigneteren Tools umgesetzt als vor zehn oder 20 Jahren. Wir wissen, was zu tun ist. Zu Zeiten von Windows 95 wurde beispielsweise viel weniger Programmcode geschrieben als heute - deshalb mag es so aussehen, dass heutige Programme genauso anfällig sind wie ältere Software. Es liegt schlicht an der unglaublichen Menge an Codezeilen und mehr potenziellen Einfallstoren. Perfektion ist unmöglich."

1. Sencha Touch
Mit dem quelloffenen HTML5-Framework "Sencha Touch" lassen sich mobile Web-Anwendungen für iPhone, iPad, Android und Blackberry entwickeln, die den nativen Applikationen Konkurrenz machen.

2. Titanium Mobile
Mit “Titanium Mobile” des kalifornischen Unternehmens Appcelerator können auch Web-Entwickler ohne Java- oder Objective-C-Kenntnisse native Anwendungen für Android und iPhone implementieren.

3. PhoneGap
Das Framework “Phonegap” wandelt Apps, die auf HTML, JavaScript und CSS basieren, in native Applikationen für fast alle wichtigen mobilen Plattformen um: iOS, Android, Blackberry, WebOS, Symbian und Windows Mobile.

4. Rhodes
“Rhodes” ist ein Web-basierendes Framework für die Entwicklung mobiler Apps, die auf der Programmiersprache Ruby basiert. Die aktuelle Version unterstützt die Betriebssysteme iOS, Android, Blackberry und sowohl Windows Mobile als auch Windows Phone 7.

5. Flurry Analytics
“Flurry Analytics” ist eine Art Google Analytics für App-Entwickler, die mit iOS, Android und Java ME kompatibel ist. Nachdem das Framework in die eigene App integriert ist, lassen sich Benutzerereignisse online protokollieren. Auf einem Web-Dashboard werden Statistiken über die Nutzung der App grafisch aufbereitet.

6. Three20
“Three20” ist eine erstklassige iOS-Bibliothek, die die Entwicklung nativer Anwendungen für iPhone und iPad vereinfachen und beschleunigen kann. Neben vielen Hilfsklassen stehen vorgefertigte Module wie der “Launcher”, mit dem sich schlichte Startmenus realisieren lassen.

7. GData Objective-C Client
Mit der “GData Objective-C Client”-Library bietet Google eine Reihe von Objective-C-Klassen an, die die Arbeit mit HTTP-Anfragen vereinfachen und insbesondere bei der Integration von Web-Services in iOS-Apps sehr nützlich sein können.

8. ASI HTTP Request
Die Klassenbibliothek “ASI HTTP Request” hilft bei der Entwicklung von iPhone- und iPad-Apps, die Cloud-Dienste nutzen. Besonders praktisch ist hier unter anderem die einfache Implementierung von asynchronen Server-Verbindungen.

Mythos 10: "Der Transfer von sensiblen Daten via SSL ist sicher.”

Rainer Enders, CTO bei NCP Engineering: "Unternehmen verwenden das SSL-Protokoll, um kritische Daten von Kunden oder Partnern zu übertragen, in der Annahme, dass diese Art des Transfers sicher ist. Die Anfälligkeit von SSL wird jedoch zunehmend größer. So gab es bei der Citigroup im vergangenen Jahr einen Datenabfluss, der auf diese Art von Datenübertragung zurückzuführen ist. Schweizer Forscher haben kürzlich einen Weg gefunden, mit SSL übertragene Daten abzufangen, indem Schwachstellen in der Implementierung von Blockchiffren wie AES angegriffen wurden. Die Zweifel über SSL-Sicherheit werden größer. Auch die vielgerühmten SSL-Zertifikate verlieren zunehmend an Vertrauen, weil bereits perfekt gefälschte Versionen aufgetaucht sind. Vielleicht ist es ratsam, niemals zwei Dokumente mit dem gleichen Schlüssel zu kodieren."

Lesen Sie dazu auch: "SSL war nie ein gutes Konzept" - das ausführliche Interview mit Bruce Schneier

Mythos 11: "Endpoint-Security-Software ist Commodity geworden."

Jon Oltsik, Analyst bei der Enterprise Strategy Group (ESG): "Unternehmensentscheider stimmen zu, dass es bei Endpunkt-Sicherheits-Software keine Unterscheidungsmerkmale zwischen den einzelnen Lösungen mehr gibt. Das hat zumindest eine ESG-Umfrage ergeben. Ich teile diese Auffassung aber nicht. Die Produkte sind in punkto Schutzlevel und Funktionsumfang grundverschieden. Unternehmen kennen die eingebauten Features nur oft gar nicht und setzen die Lösungen dementsprechend falsch ein."

Mythos 12: "Mit einer Firewall ist ein Netzwerk geschützt."

Kevin Butler, Analyst für IT-Sicherheit an der Medizinischen Universität Arkansas: "Es gibt viele Mythen über Firewalls. Die, die ich am häufigsten gehört habe, sind die Auffassungen, dass Firewalls immer ein Stück Hardware sind und dass eine ordentlich konfigurierte Firewall ein Netzwerk vor allen Bedrohungen schützt. Auch die Annahmen, dass die Firewall eine AV-Lösung komplett ersetzen könne und sogar gegen Zero-Day-Attacken schütze, sind Nonsense. Eine Firewall darf niemals eine ‚Installieren und Probleme vergessen’-Lösung sein!"

Der Artikel stammt von Ellen Messmer, Redakteurin bei der Network World, und wurde ins Deutsche übersetzt.