Categories: Unternehmen

IT-Sicherheit: Das nächste Enron?

TechRepublic: Welche Best Practices können Sie empfehlen?

Neumann: IT-Leiter wollen Anonymität und Verantwortlichkeit und außerdem eine Immunität ihrer Systeme gegenüber Denial-of-Service-Attacken. Doch es ist ein Kinderspiel, ein mit dem Internet verbundenen System lahm zu legen. Die so genannten Best Practices haben damit zu tun, wie oft man seine Passwörter wechselt, jedoch nicht, wie häufig diese Passwörter durch das Netz laufen, wo man sie leicht ausspähen kann. Da Best Practices gerade mal ein Linderungsmittel sind, gibt es nirgendwo echte Sicherheit. Die meisten Leute sehen es als Best Practice an, wenn sie das von allen anderen ebenfalls benutzte System kaufen. Natürlich kann man seinen Kopf in den Sand stecken.

Die hier erforderlichen Best Practices gehen so weit über den aktuellen Stand der gewerblichen Software- und Sicherheitssysteme hinaus, dass es fast keinen Sinn macht, über diese zu sprechen. Nehmen wir zum Beispiel die Benutzerauthentifizierung. Passwörter sollten nie benutzt werden, statt dessen sollte man eine verschlüsselte Authentifizierung verwenden. Doch selbst die hat ihre Lücken. Ich analysierte ein internationales Unternehmen, das Token-Authentifizierung benutzte (ein zusätzlicher computergenerierter Sicherheitsmechanismus). Dieses Unternehmen war der Meinung, seine Sicherheit erhöht zu haben, in Wirklichkeit hatte man ein extrem anfälliges System aufgebaut. Wie ich herausfand, konnte ich mich an die verschlüsselte Authentifizierung hängen und dann das Passwort innerhalb von 90 Sekunden auf einem anderen Teil des Netzwerks wieder abspielen (um so Zugang zu erhalten). Diese Firma bot eine gigantische Angriffsfläche.

TechRepublic: Was ist mit biometrischen Systemen?

Neumann: Gesichtserkennungsprogramme produzieren noch immer hohe Fehlerquoten. Bei der Fingerbilderkennung kann man mit einem gummiartigen Fingerabdruck, den man zuvor von einer anderen Oberfläche abgenommen hat, das System hinters Licht führen. 80 Prozent aller Systeme lassen sich hundertprozentig austricksen.

TechRepublic: Sie schlagen aber doch nicht vor, dass wir einfach so aufgeben?

Neumann: Natürlich nicht. Sehen Sie sich einmal das Common Criteria Projekt auf der Website von NIST an. Dieses Projekt verkörpert 15 Jahre währende Bemühungen des amerikanischen Verteidigungsministeriums und anderer Stellen, Sicherheitskriterien zu definieren. Hier haben Sie die Best Practices, doch wurden bisher nur wenige bedeutende Systeme nach diesen Kriterien ausgewertet. Wenn sich keiner der Händler an diese Kriterien hält, hat man keine Möglichkeit, ein sicheres System der oberen Preisklasse zu verlangen. Den Händlern zufolge ist ein solches System angeblich zu kostspielig. Außerdem fragt niemand danach, da ja alle mit dem mangelhaften Angebot auf dem Markt glücklich sind. Natürlich nennt keiner dieses Problem beim Namen.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Vorinstallierte Schadsoftware auf IoT-Geräten

Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…

5 Tagen ago

iOS und iPadOS 18.2 beseitigen 21 Sicherheitslücken

Schädliche Apps können unter Umständen einen Systemabsturz auslösen. Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung.

6 Tagen ago

Top-Malware im November: Infostealer Formbook bleibt Nummer 1

Sein Anteil an allen Infektionen steigt in Deutschland auf 18,5 Prozent. Das Botnet Androxgh0st integriert…

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome

Betroffen sind Chrome 131 und früher für Windows, macOS und Linux. Angreifer können unter Umständen…

6 Tagen ago

Data Analytics: Dienstleister wachsen zweistellig

Marktforscher Lündendonk erwartet für das Jahr 2025 ein durchschnittliches Umsatzwachstum von 14,9 Prozent.

7 Tagen ago

Open-Source-Malware auf Rekordniveau

Alarmierender Anstieg von Open-Source-Malware / Seit 2019 haben Sonatype-Analysen mehr als 778.500 bösartige Pakete aufgedeckt

1 Woche ago