Keine Sorge, ich möchte jetzt nichts zu dem Patch oder der zugrunde liegenden Lücke ergänzen, da hier bestimmt schon genug gesagt wurde, aber ein paar Gedanken sind mir dann doch durch den Kopf gegangen, die mir wichtig genug sind, sie hier niederzuschreiben.

Ein wenig “verrückt” habe ich das Ganze schon erlebt, aber das kommt daher, dass ich dieses Ereignis wie auch die Katastrophe in Haiti irgendwie eher am Rande bemerkt habe, da ich zur Zeit noch auf Reisen bin und daher fast keine Nachrichten mitbekomme. Interessant fand ich aber, dass ich hier an der amerikanischen Westküste von “Leuten” auf die deutsche Reaktion dazu angesprochen wurde. Bemerkenswert, dass ein Software Problem aus Deutschland heraus solche Wellen schlägt.

Aber was sind jetzt meine Punkte, weswegen sich das Lesen lohnen sollte?

Zugegeben: Von IE6 bis IE8 war das Problem vorhanden. Ausgenutzt wurde es aber nur mit dem IE6. Warum? Weil die neueren Browser, speziell der IE8, hier weiterentwickelte Schutzmechanismen enthalten. Außerdem wirken hier noch spezielle Schutzmechanismen von Vista und Windows 7 hilfreich mit.

Trotz aller Updates darf man nicht vergessen, dass die Architektur vom IE6 mit Windows XP entstanden ist – und das war Anfang des Jahrtausend. Heute, knapp 10 Jahre später, habe sich die Methoden und Kenntnisse der Angreifer entsprechend weiterentwickelt.

Manch einen mag wundern, dass der IE8 trotz der Lücke “sicherer” ist. Aber das passt zu dem Thema, wie Sicherheit in allen Infrastrukturen implementiert werden sollte – als mehrstufiges geschachteltes System, manchmal auch mit “Defense in Depth” bezeichnet. Wird eine Barriere überwunden, steht die nächste da und hält den Eindringling (hoffentlich) auf. Interessant fand ich da eine (nicht zitierfähige ;) ) Quelle, deren Tests ergeben haben, dass unter Laborbedingungen auch die neueren Kombinationen (IE + OS) gelegentlich infiltriert werden konnten, es dafür aber mehrere hundert Versuche bis zu einem jeweiligen Erfolg bedurfte und jeder erfolgreiche Versuch dann von Microsoft Security Essentials bemerkt wurde. Ein guter aktueller Virenscanner ist also eine weitere Hürde, die sich dem Angreifer in den Weg stellt – es gibt hier sicherlich auch Alternativen zu Security Essentials, aber dieser wurde in dem Zusammenhang genannt. Eine Sicherheitsgarantie, im Sinne eines Freibrief, ist das aber auch nicht. Schon aber ein etwas beruhigendes Gefühl.

Wichtig bleibt aber auf jeden Fall eine Feststellung: Sicherheit ist kein Zustand, den man einmal erreicht hat, sondern bedarf einer regelmäßigen Weiterentwicklung. In Dingen Software heißt das Aktualisierungen, also zumindest Service Packs und regelmäßige Updates. Daher sträuben sich mir auch die Nackenhaare, wenn ich im Fernsehen (auf einem regionalen Kanal im Kabel gesehen) einen Experten höre, der allen Ernstes den Zuschauern empfiehlt Windows Update (neben anderen Dingen) abzuschalten, da es den Rechner unnötig belastet und man es eh nicht braucht. Das ist übrigens kein Jahr her, fällt also nicht in die Zeit, wo jeder hinter allen Dingen eine bösartige, oder zumindest Spionage trächtige, “phone home” Angelegenheit vermutet hat.

Die Administratoren haben jetzt leider etwas Arbeit, da sehr bald nach dem Bekanntwerden von uns der außerplanmäßige, da kritische, Patch veröffentlich wurde. Ich habe ihn dann gestern morgen (GMT-8) installiert, seit heute ist er bei uns dann verpflichtend. Akute Probleme bedürfen einer beschleunigten Behandlung…

Manche einer ist vielleicht dem Rat der Nachrichten gefolgt und hat direkt nach der Tagesschau einen anderen Browser installiert. Zumindest muss man das vermuten, da nach den hiesigen Nachrichten deren Download Zahlen deutlich nach oben gegangen sind. Aber: Erinnert sich noch jemand daran, dass vor noch nicht allzu langer Zeit der IE8 der einzige Browser war, der eine bestimmte (kritische) Sicherheitslücke nicht hatte? Mein Kollege Daniel Melanchthon hat damals dazu etwas geschrieben. Fazit: Jeder Browser hat Sicherheitslücken. Wichtig ist, dass man sich darüber im Klaren ist und dementsprechend verhält. Dazu gehört einmal das Aktualisieren der Software (s.o.) und vielleicht auch eine gewisse “Hygiene” im Umgang mit dem Internet. So erstaunt mich immer wieder, dass wohl viele Leute immer noch auf alles klicken, was sich irgendwie anklicken lässt. Sorry für diese plakative Formulierung. Aber in diese Kategorie passt auch eine andere “Erkenntnis”, die ich meinem hiesigen Aufenthalt verdanke: eine aktuelle Variante des “social engineering” für Angriffe auf Nutzerdaten und Kennwörter heißt: Facebook (oder die diversen anderen sozialen Netzwerke). Dort erfährt man anscheinend praktisch alles über die verschiedenen Personen, was man wissen muss, um Kennwörter oder die berühmten geheimen Fragen zu beantworten.

Ich hoffe, der eine oder andere stimmt mir im Prinzip zu, ansonsten darf er gerne einen Kommentar verfassen.

Auf eine etwas sichere Zukunft…