Passwort, Firewall & Co.

9 überschätzte Sicherheitsmaßnahmen

06.09.2012 von Andrea König und Roger Grimes
Wir kreieren sichere Passwörter, verwenden sie aber mehrfach. Das läuft der IT-Sicherheit zuwider - die Schwächen verbreiteter Sicherheitsvorkehrungen.
Viele populäre Schutzmaßnahmen lassen Sicherheitslücken offen - was nicht immer an der Technik selbst liegt, sondern manchmal an den Nutzern.
Foto: Nikolai Sorokin - Fotolia.com

Wenn es nach Roger A. Grimes von unserer amerikanischen Schwesterpublikation Infoworld geht, regieren beim Thema IT-Sicherheit Angst, Unsicherheit und Zweifel. Die werden seiner Meinung nach nicht (nur) von Anbietern geschürt, um Unternehmen neue Produkte zu verkaufen. Er hält sie für berechtigt. Denn laut Grimes erfüllen die meisten Sicherheitsprodukte ihre Werbeversprechen nicht. Trotz Schutz ist man deutlich mehr Gefahren ausgesetzt als man denkt. Um Betroffene schon einmal vorzuwarnen, stellt Grimes neun Produkte und Techniken vor, die nicht den Schutz bieten, den man eigentlich von ihnen erwarten würde.

Erste Sicherheitslücke: Virenscanner

Als gäbe es nicht schon genug Malware, kommen jeden Monat unzählige neue Schadprogramme hinzu. Grimes glaubt, dass die Werbeversprechen der Anbieter der Realität nicht standhalten: Es sind viel zu viele schädliche Programme, als dass ein Virenscanner sie alle zuverlässig aufspüren könnte. Die Anbieter würden einfach nicht gegen die Masse und Geschwindigkeit der Malware ankommen.

Zweite Sicherheitslücke: Firewalls

Auch die Firewall hält Grimes für eine überbewertete Schutzmaßnahme. Denn häufig umgehe Malware die Firewall sowieso. So setzen Cyberkriminelle den Schutz der Firewall außer Kraft.

Dritte Sicherheitslücke: Patchen

Auch das Patchen ist für Grimes kein Allheilmittel. Mit einem Patch Sicherheitslücken zu schließen oder einen Fehler zu beheben, galt lange Zeit als eine der vielversprechendsten Sicherheitsempfehlungen. Er sieht den Fehler für das Scheitern von Patches eher bei den Managern, weil sie beim Patchen immer wieder populäre Angriffsflächen wie Java, Adobe Reader und Flash außen vor lassen. Oder sie versäumen es, den Patch so zu verbreiten, dass die Nutzer den Patch zügig installieren. So dauert es häufig Wochen, bis ein Patch sich verbreitet hat - doch Malware kann sich im Internet in wenigen Stunden ausbreiten.

Vierte Sicherheitslücke: Die IT-Nutzer

Wären die Nutzer aufmerksamer und vorsichtiger, würden sie deutlich seltener den Angriffen von Cyberkriminellen zum Opfer fallen. Viele denken einfach nicht mit und klicken auf E-Mail-Anhänge von unbekannten Absendern oder starten Antivirenprogramme, die sie vorher noch nie gesehen haben. Doch da sieht Grimes auch die Unternehmen in der Schuld. Damit dies nicht passiert, müssten sie ihre IT-Nutzer darüber informieren, wie das unternehmenseigene Antivirenprogramm aussieht. So wären die Angestellten in der Lage, das Schadprogramm zu identifizieren. Doch das passiert viel zu selten. Es braucht meist rund zwei Jahre, bis populäre Angriffsformen in Materialien zum Thema IT-Sicherheit auftreten. Kriminelle können sich dann etwas anderes überlegen, was den Schutz der Unternehmen wieder um zwei Jahre zurückwirft, schreibt Grimes.

Nutzer schwächen Wirkung sicherer Passwörter

Fünfte Sicherheitslücke: Passwörter

Geht es um Passwörter, vermuten sich viele auf der sicheren Seite, wenn Sie ein Passwort mit Sonderzeichen und Groß- und Kleinschreibung wählen und es zudem regelmäßig ändern. Doch auch hier sind IT-Nutzer nachlässig: Sie benutzen ein Passwort für mehrere Plattformen, tragen es in gefakte Anmeldemasken ein und würden es gegen Bezahlung - hier zitiert Grimes eine Umfrage - einem Fremden anvertrauen. Doch auch vermeintlich starke Passwörter helfen nicht, wenn Hacker den Passwortschutz umgehen und so trotzdem an ihr Ziel gelangen.

Sechste Sicherheitslücke: Intrusion Detection Systeme

Auch Angriffserkennungssysteme bieten keinen Rundumschutz gegen Cyberkriminelle. Der Nachteil dieser Systeme ist, dass sie Angriffe nur dann erkennen können, wenn sie in einer speziellen Datenbank abgelegt sind. Dort ist allerdings nur ein Bruchteil abgelegt. Und wenn es mehr wären, schreibt Grimes, würde das das System zu sehr verlangsamen und es gäbe noch mehr Falschalarme.

Siebte Sicherheitslücke: Public-Key-Infrastruktur

Unter Public-Key-Infrastruktur (PKI) versteht man in der Kryptologie ein System zur Ausstellung und Prüfung digitaler Zertifikate. Doch auch wenn PKIs in einem Unternehmen hervorragend funktionieren, hapert es häufig an den IT-Nutzern. Werden sie von ihrem Browser vor einem Zertifikat gewarnt, klicken sie ohne nachzudenken auf "Ignorieren", um möglichst schnell weiter surfen zu können.

Achte Sicherheitslücke: Appliances

Appliances hält Grimes für den Traum eines jeden Hackers. Denn sie bieten seiner Meinung nach genauso viele Angriffsflächen wie Software-Produkte. Mit dem Nachteil, dass sie sich schwerer updaten lassen oder dies oft einfach überhaupt nicht versucht wird.

Neunte Sicherheitslücke: Sandbox

Testbereiche in der IT verfolgen eigentlich den Zweck, die entsprechende Software bestmöglich zu schützen und Angriffe zu verhindern. Doch Grimes schreibt, dass solche Testumgebungen auch stets die Aufmerksamkeit von Hackern erregen. So waren beispielsweise Java- und Google-Chrome-Testbereiche zahlreichen Angriffen von Cyberkriminellen ausgesetzt.

Bedrohung durch Hacker bleibt groß

Das Fazit von Grimes: Die neun aufgelisteten Sicherheitstechniken sind seiner Meinung nach allesamt überbewertet. Denn obwohl sie alle von Unternehmen eingesetzt werden, sei die Bedrohung durch Hacker nicht kleiner geworden. Die Fakten ließen sich nicht ignorieren, so Grimes.