Wurden Sie heute schon „(ge)hacked“?

Wer kennt nicht die Schlagzeilen aus den Medien?

Hacker-Angriff auf Raumfahrtbehörden –
07.05.2012 (Quelle: www.heise.de
)

Adobe schließt kritische Flash-Lücke nach Angriffen –
04.05.2012 (Quelle: www.heise.de)

Viele bekannte Unternehmen sind schon in die „Hacking“-Falle geraten und ganz ehrlich, jeder hat schon gedacht „Gott sei Dank – wir sind’s nicht.“. Dabei sollte man sich nicht auf eine höhere Macht verlassen, die für ein funktionierendes und kompetentes Sicherheitskonzept sorgt. Viel mehr ist ein grundsätzliches Umdenken der IT-Verantwortlichen und Administratoren gefordert.

Die gängigste Vorgehensweise besteht darin, ein strukturiertes Sicherheitskonzept zu entwerfen, indem die Leitlinien und Empfehlungen des IT-Grundschutzhandbuches berücksichtigt werden. Dazu gehören selbstverständlich auch mehrphasige Penetrationstests, um eventuelle Sicherheitslücken zu entdecken wie auch eine konsequente Umsetzung der entworfenen Sicherheitsrichtlinien, indem z.B. die Mitarbeiter zielgerichtet auf das Thema IT-Sicherheit sensibilisiert werden. Hier hört das Thema IT-Sicherheit nicht auf, vielmehr muss durch zielgerichtete Qualifizierung die aktive Sicherheit weiter verbessert werden.

Mobile persönliche Endgeräte

Das heutige Problem besteht darin, dass IT-Systeme immer komplexer ausfallen. Neue Technologien kommen auf dem Markt und alte werden stetig weiter entwickelt. Als Beispiel kann hier das Thema „Mobile persönliche Endgeräte“ genannt werden. Mittlerweile möchten immer mehr Mitarbeiter Ihre privaten Smartphones oder Tablets im Unternehmen einsetzen, da das zur Verfügung gestellte Arbeitsgerät nicht dem „Stand der Technik“ entspricht. Verständlicherweise verbieten die meisten Unternehmen den Einsatz von privaten Endgeräten. Doch gehen dem Unternehmen durch diese sinnvollen Sicherheitsrichtlinien sehr viel Potenzial verloren. Die Mitarbeitermotivation sowie der betriebswirtschaftliche Aspekt gehören beispielsweise genauso dazu wie das Erscheinungsbild nach außen. Aus diesem Blickwinkel gesehen, entstehen Ausnahmen, die wiederum langfristig zu Auflockerungen der gefassten Sicherheitsrichtlinien führen.

Hier muss trotzdem bedacht werden..

… dass die Gerätehersteller z.B. nicht immer die aktuellsten OS Versionen bei ihren Modellen einsetzen. Vielmehr werden bestehende Betriebssoftwareversionen anderer Modelle angepasst und entsprechend portiert. Dies spart u.a. Entwicklungskosten und ist auch teilweise notwendig, wenn wir uns die kurzen Produktzyklen anschauen. Somit stellen neue und alte Sicherheitslücken die unternehmenseigene IT-Abteilung vor ein ernsthaftes Problem. Denn ein Angreifer benötigt lediglich eine Schwachstelle, um ein System erfolgreich zu kompromittieren. Ich stelle hier die These auf, dass „Funktionalität, Modellvielfalt und Lifecycle vor Sicherheit“ kommt.

Neue Methoden und Ansätze

Neue Methoden und Ansätze sind gefragt, um zeitgemäß zu reagieren. Das „Ethical Hacking“ ist z.B. ein Ansatz, womit schnell und vor allem pro aktiv das eigene System auf Schwachstellen getestet werden kann. IT-Verantwortliche sollten bedenken, dass der einfachste Weg eine IT-Infrastruktur vor Angreifern zu sichern, der ist, wie einer zu denken!

Incas Security-Guide

Die Incas stellt Ihnen als Unterstützung gerne den INCAS Security-Guide als Download zur Verfügung.

Leave A Comment

You must be logged in to post a comment.

Kategorien

Archiv