In Deutschland ist eine eigene Bundesoberbehörde zuständig für IT-Sicherheit: das Bundesamt für Si-cherheit in der Informationstechnik. Im nun vom BSI präsentierten Lagebericht zur IT-Sicherheit be-schäftigen sich die staatlichen IT-Sicherheitsfachleute allein auf knapp zehn Seiten mit Schwachstellen bei Soft- und Hardware und nehmen dabei zu Microsoft-Produkten klar Stellung. „Das Soft- und Hard-waresegment wird von vielen Unternehmen unterschätzt und von Privatpersonen völlig ausgeblendet, wenn es um IT- und Datensicherheit geht. Aber Soft- und Hardware verlangen eine ähnlich wiederkeh-rende Pflege und regelmäßige Wartung wie das eigene Auto“, erklärt der erfahrene IT-Sicherheitsfachmann Dr. Jörn Voßbein. Fest steht: Gerade beim Umgang mit den Schwachstellen ist die Eigenverantwortung der Anwenderinnen und Anwender gefragt. Nur wenn hier mehr Sensibilität wächst, ist eine sichere Digitalisierung Deutschlands möglich. Was können Anwenderinnen und Anwen-der tun, um die Sicherheit zu erhöhen?
Software-Produkte sind mit der Zeit zu hochkomplexen Entwicklungen geworden. Oftmals genauso komplex wie der Sachverhalt, den sie im Unternehmensalltag leichter handhabbar machen sollen. Die-se gestiegene Komplexität hat auch die Software-Produkte für Attacken von Kriminellen verwundbarer gemacht. Letztlich besteht Software heute aus mehreren Millionen Zeilen Programmcode. Wenn nun diese unentdeckten Lücken bekannt werden und von Cyberkriminellen genutzt werden, können erhebli-che Schäden für die betroffenen Unternehmen entstehen. Dabei sind viele Varianten von Schäden denkbar: Der Diebstahl von Daten zählt ebenso dazu wie das Installieren von Schadprogrammen, die dauerhaften Ärger verursachen. Software-Schwachstellen unterscheiden sich in ihrer Kritikalität. Drei Aspekte sind zu beachten:
1) Die Bedeutung der Software für Anwenderinnen und Anwender,
2) die Größe des Aufwandes, um die Schwachstelle auszunutzen und
3) die Auswirkungen auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.
Grundsätzlich kann davon ausgegangen werden, dass das korrekte Funktionieren einer Software ebenso wichtig ist wie der Zweck, den sie erfüllen soll. Wenn Sicherheitslücken öffentlich bekannt werden, beginnt spätestens der Wettlauf zwischen dem Hersteller für die Bereitstellung eines Sicherheitsupdates und den Kriminellen für ihre „dunklen Ma-chenschaften“. Hier ist auch die Aufmerksamkeit und Sensibilität der Software-Anwender gefragt: Softwareupdates sollten idealerweise erst nach vorherigem Test sehr zügig aufgespielt und instal-liert werden. Deshalb sollten Unternehmen nicht daran sparen, wenn es um die Befähigung und Sensi-bilisierung der eigenen Belegschaft beim Thema IT-Sicherheit geht.
Aber auch die Software-Entwickler reagieren auf die Situation. Sie setzen vermehrt auf die Philosophie Security-by-Design, die die Sicherheit einer Software gleichrangig wie deren Benutzerfreundlichkeit bewertet. Das Security-by-Default-Konzept stellt die Konfiguration einer Software bei der Auslieferung in den Fokus. Hierbei kommt auch den einsetzenden Unternehmen wieder eine große Bedeutung zu, denn sie müssen die Software so konfigurieren, dass sie für ihre Bedürfnisse passgenau ist. Dabei sollte es eine Abwägung zwischen Sicherheit und Nutzbarkeit vornehmen. Problem: Angreifer wissen die von Nutzern selbstherbeigeführten Schwachstellen, ausgelöst durch eine Untergewichtung der Software-Sicherheit, auszunutzen. Deshalb ist ein Kultur-Wandel angebracht.
Wichtig: Das Einspielen von Aktualisierungen und das Reagieren auf Herstellerhinweise fällt in den Verantwortungsbereich der IT-Abteilung. „Dem IT-Bereich kommt beim Heben von Optimierungspoten-zialen in der IT-Sicherheit eine zentrale – wenn nicht sogar – entscheidende Rolle zu. Sie müssen sensi-bilisiert und verbindliche Vorgehensweisen vorgegeben bekommen, damit sie handeln, wenn es um IT- und Datensicherheit geht“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein. Er empfiehlt deshalb Schu-lungen und die Erarbeitung eines nachhaltigen IT-Sicherheitskonzeptes.
Übrigens: Das BSI empfiehlt Privatanwenderinnen und -anwendern sowie Unternehmen, die betroffe-nen Windows-Betriebssysteme (Windows 7 und Windows Server 2008) nicht mehr zu verwenden und zu einem Betriebssystem zu wechseln, für das weiterhin Sicherheitsupdates bereitgestellt werden.