TechNet Blog Deutschland

News für IT-Pros & Neues aus dem TechNet-Team

Die 10 Regeln der IT-Sicherheit im Jahr 2012

Die 10 Regeln der IT-Sicherheit im Jahr 2012

  • Comments 2
  • Likes

Im Jahr 2000 veröffentlichte Scott Culp seine 10 unveränderlichen Gesetze der Computersicherheit. In den letzten zwölf Jahren hat sich im IT-Bereich einiges getan, Zeit also, diese Gesetze einer neuen Begutachtung zu unterziehen.

Gesetz #1: Überredet Sie ein Betrüger, eine Softwareauf ihrem Computer zu starten, ist es nicht mehr Ihr Computer.

Verglichen mit 2000 wurde dieses Gesetz deutlich ausgeweitet. Damals ging es vor allem darum, dass Nutzer keine externen Programme aus unbekannten Quellen auszuführen. Inzwischen hat sich die Angriffslandschaft aber massiv geändert. Ging es früher vor allem um die direkte Attacke und Windows-Schwachstellen, sind heute der Browser, seine Erweiterungen und angreifbare Plugins das größte Einfallstor für Malware. Die Regel gilt also immer noch - solange man Browser und Drive-By-Angriffe mit einschließt.

Gesetz #2: Wenn ein Angreifer das Betriebssystem verändern kann, ist es nicht mehr Ihr Computer.

Gesetz Nummer zwei ist längst nicht mehr auf PCs und Server beschränkt, sondern umfasst auch mobile Geräte ohne Windows. Es geht längst nicht mehr nur um PCs, sondern auch um mobile Betriebssysteme. Mit eigenen Bootloadern bei Google Android oder Jailbreaks für Apples iOS installieren viele Nutzer gezielt Programme auf ihren Smartphones, die neben den Beschränkungen auch Sicherheitsfunktionen aushebeln. Diese Software kommt meist aus Foren und erhält ihre Legimitation durch die Reputation der Entwickler.

Gesetz # 3: Wenn ein Angreifer unbeschränkten Zugriff zum Computer hat, ist es nicht mehr Ihr Computer.

Mit mobilen Systemen wie Notebooks, Smartphones und Tablets ist diese Regel aktueller als jemals zuvor. Ist etwa keine aktuelle Version von iOS installiert, genügen eine Internetverbindung und ein paar Minuten, um Beschränkungen mit Hilfe von Seiten wie Jailbreakme.com auszuhebeln und eigene Anwendungen zu installieren. Ähnliches gilt für Notebooks: Werden diese etwa ohne Passwortschutz in Zügen, Cafes oder Flügen liegen gelassen, benötigen versierte Angreifer nur Sekunden, um eigene Software zu installieren.

Gesetz # 4: Wenn Sie einem Angreifer den Upload von Programmen auf die eigene Webseite ermöglichen, ist es nicht mehr Ihre Seite.

Dazu gibt es wenig zu sagen, die Regel gilt noch immer.

Gesetz #5: Schwache Passwörter schlagen starke Sicherheitskonzepte.

Das Gesetz erklärt sich von selbst: Wenn das Admin-Passwort 1234567 ist, kann die Architektur noch so ausgefeilt und technisch robust sein. Seit 2000 sind die sicheren Passwörter auch länger geworden. Wo früher fünf bis sieben Zeichen ausreichten, sollten sich die Passwörter inzwischen langsam den zehn Stellen nähern. Schuld daran ist vor allem der massive Zuwachs an Rechenleistung, sowohl bei den CPUs wie auch den Grafikkarten. Denn mit Hilfe dieser Leistung werden Passwörter im Brute-Force-Verfahren geknackt.

Gesetz # 6: Ein Computer ist nur so sicher, wie der Admin vertrauenswürdig ist.

Administratoren haben in der IT-Welt nahezu unbegrenzte Macht. Einigen steigt das zu Kopf und dann kommt es zu Problemen. Ein prominentes Beispiel ist etwa der Netzwerk-Admin aus San Francisco, der nahezu das komplette Metropolitan Area Network in seine Gewalt gebracht hat. Solchen Vorfällen kann man mit einem Vier- oder Mehr-Augen-Prinzip entgegentreten. Dadurch steigen zwar die Personalkosten - ein Zwischenfall wie der in San Francisco dürfte aber deutlich teurer kommen. 

Gesetz # 7: Verschlüsselte Daten sind so sicher wie der Schlüssel.

Hier gilt das Gesetz # 5 analog. Die Schlüssellänge muss sich der aktuellen Rechenleistung anpassen. Verschlüsselungsalgorithmen, die noch vor wenigen Jahren ausreichend waren, sind inzwischen oftmals veraltet und mit schierer Rechenleistung zu knacken. Das gilt nicht nur für die Verschlüsselung von Dokumenten oder Dateien, sondern beispielsweise auch für Verbindungen. Bei WLANs etwa reicht eine WEP-Verschlüsselung schon lange nicht mehr aus – mindestens WPA2 sollte es sein. Der verwendete Schlüssel sollte länger sein als acht Zeichen, nicht im Wörterbuch stehen und wie üblich ein Mix aus Buchstaben, Sonderzeichen und Ziffern.

Gesetz #8: Ein veralteter Virenscanner ist nur etwas besser als gar kein Scanner.

Im Jahr 2000 wurden pro Monat einige hundert Viren gefunden - inzwischen sind es teilweise mehrere Tausend pro Tag. Allein diese Daten belegen, dass dieses Gesetz etwas aus der Zeit fällt. Daher gilt: Ohne aktuelle Updates oder Anbindung an eine Cloud-Infrastruktur erhalten die Sicherheitsprogramme einfach nicht die notwendigen Informationen und werden blitzschnell überrannt.

Gesetz #9: Absolute Anonymität ist nicht praktikabel, weder im echten Leben, noch im Web.

Culp hat seine Regeln aufgestellt, bevor Programme wie TOR aus der Taufe gehoben wurden. Nicht nur die virtuelle Welt, auch die reale hat sich nach den Terroranschlägen vom September 2001 deutlich verändert – und die Privatsphäre ist vielfach extrem eingeschränkt worden. Der arabische Frühling hat aber auch gezeigt, dass Anonymität nicht nur praktikabel, sondern teilweise auch überlebensnotwendig ist.

Gesetz #10: Technik ist kein Allheilmittel.

IT-Sicherheit und andere Technik hat sich nicht nur verändert, vieles davon ist auch einfacher geworden. Trotz allem ist die menschliche Komponente noch immer vorhanden, ein Punkt, an dem immer etwas schief gehen kann. Das zeigen etwa die Gesetze #5 oder #6. Von daher braucht umfassender Schutz immer den Mix aus Technik und gesundem Menschenverstand.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments
  • Bei Gesetz #7

    statt

    ... mindestens WPA2 sollte es WPA2.

    sondern

    ... mindestens WPA2 sollte es sein. Der Schlüssel sollte min x Zeichen lang sein.

  • @Christian: Danke für den Hinweis, ist ausgebessert :)

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment