Veraltete IT-Systeme sind keine Randerscheinung
In der Realität funktionieren Updateprozesse oft nicht reibungslos. In einigen Fällen stellen Softwarehersteller Aktualisierungen gar nicht oder nicht zeitnah zur Verfügung. Spätestens, wenn ein Produkt den regulären Lebenszyklus verlässt, werden keine neuen Versionen mehr bereitgestellt. In anderen Fällen scheitert der Prozess auf Seiten des Betreibers eines Systems. Die Gründe dafür sind vielfältig: zu hohe Komplexität beim Aktualisierungsvorgang, ein fehlender Prozess, mangelndes Bewusstsein oder Kompatibilitätsprobleme, um nur einige zu nennen. Ein alltägliches Beispiel dafür sind die Router von privaten Internetanschlüssen. Dem Benutzer fehlen oft das Bewusstsein und die Kenntnisse, um seinen Router auf einem aktuellen Stand zu halten. Automatisch ablaufende Updateroutinen gibt es meist nicht, und so steht die Sicherheitskomponente des Netzwerks selbst ungeschützt im Internet. Heise etwa hat mit automatisierten Scans verwundbare Geräte in sechsstelliger Höhe gefunden und nennt die Lage "nach wie vor desaströs".
Sehr schnell reagieren mussten Administratoren auf die bereits angesprochene "Heartbleed"- Schwachstelle in OpenSSL. Hier führt ein Programmierfehler dazu, dass Angreifer verschlüsselte Kommunikation mitlesen können. Sicherheits-Experten wie Bruce Schneier bezeichneten die Auswirkungen der Schwachstelle als Katastrophe. In Anbetracht dieser Bedrohungslage sollte eigentlich davon auszugehen sein, dass Administratoren ihre Systeme zeitnah aktualisieren. Doch eine Studie der Cybersecurity-Firma Venafi aus dem Jahr 2015 zeigt, dass selbst zwölf Monate nach Bekanntwerden von Heartbleed der Großteil der öffentlich erreichbaren Server der 2.000 größten Unternehmen weiterhin verwundbar blieb.
- Mangelhafte Code-Qualität
Probleme mit der Qualität des Codes stehen nicht ohne Grund auf Platz 1 dieser Liste. In einer Studie zur Softwaresicherheit in Unternehmen hat der Security-Anbieter Veracode festgestellt, dass bei mehr als der Hälfte aller getesteten Anwendungen die Code-Qualität ungenügend ist. Dieses Ergebnis ist erschreckend – und gleichzeitig ein Aufruf an alle Branchen, sichere Coding-Verfahren einzusetzen. Denn je später eine mangelhafte Qualität des Quellcodes festgestellt wird, umso aufwändiger wird es, sie zu verbessern – und umso länger ist die Anwendung angreifbar. - Kryptographische Probleme
Sobald es darum geht, wichtige Informationen, wie Passwörter, Zahlungsinformationen oder persönliche Daten zu speichern oder weiterzugeben, kann man davon ausgehen, dass dies auf die eine oder andere Weise auf verschlüsseltem Wege geschieht – damit diese widerstandsfähig gegen Manipulation und unbefugtes Lesen sind. 87 Prozent der Android Apps und 80 Prozent der iOS Apps haben mit Verschlüsselungsproblemen zu kämpfen. Deshalb sind sie ein so beliebtes Ziel für Hacker. - CRLF Injections
Grundsätzlich sind CRLF Injections eine Art Tor zu größeren Angriffen. Durch das Injizieren einer CRLF-Zeichensequenz (=Zeilenumbruch) an einer unerwarteten Stelle können Angreifer Anwendungsdaten ändern und die Ausnutzung von Schwachstellen ermöglichen. Darunter fallen Website-Defacement, Cross-Site Scripting, Hijacking des Webbrowsers und viele weitere. Gerade Android- und Java-basierte Anwendungen sind hiervon betroffen. Sie weisen zu 79 Prozent (Android) und zu 75 Prozent (Java) CRLF Injections auf. - Cross-Site-Scripting
Eine weitere Attacke ist das Cross-Site-Scripting (auch als XSS bekannt). Sie tritt dann auf, wenn Angreifer Bereiche einer Website missbrauchen, die rund um dynamischen Content gebaut sind, Codes ausführen, die Nutzerkonten übernehmen oder Webbrowser fernsteuern. Cross-Site Scripting wird vor allem bei Formularen ein Problem, die ein gemeinsames Kodierungssystem mit der Eingabe von Fragezeichen und Schrägstrichen erlauben.<br /><br />Anwendungen, die in Web-Skriptsprachen geschrieben wurden, sind häufiger von Schwachstellen wie Cross-Site Scripting oder SQL Injections betroffen als Anwendungen basierend auf .NET oder Java. So beinhalten 86 Prozent der PHP-basierten Anwendungen mindestens eine Cross-Site-Scripting-Schwachstelle und 56 Prozent mindestens eine SQL Injection. - SQL Injections
Obwohl sich SQL Injections auf dieser Liste weiter unten befinden, sind sie aufgrund ihrer leichten Ausführbarkeit doch eine der häufigsten, auftretenden Sicherheitslücken. Angreifer platzieren SQL-Abfragen in entsprechende Eingabebereiche und versuchen so, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Befehle einzuschleusen. Dadurch ist es Angreifern möglich, Informationen einzusehen, Daten zu verändern und sogar zu löschen sowie die Kontrolle über den Server vollständig zu übernehmen. - Directory Traversals
Directory Traversals sind beängstigend, da weder viel Wissen noch Werkzeuge nötig sind, um damit großen Schaden anzurichten. Im Prinzip kann jeder mit einem Webbrowser und Hacking-Grundkenntnissen durch die Manipulation von Pfadangaben ungeschützte Seiten hacken, so Zugang zu größeren Dateisystemen erlangen und dort nützliche Informationen wie Passwörter, kritische Dateien oder sogar Seiten- und Anwendungsquellcodes abgreifen. Gemessen an den gängigsten Programmiersprachen sind 47 Prozent aller Anwendungen von Directory Traversals betroffen. - Unzureichende Datenvalidierung
Simpel gesprochen lässt sich sämtlicher Input, den Anwender im System abspeichern, kontrollieren und verwalten, unter der Voraussetzung, dass die Daten, die in das eigene Netzwerk kommen, entsprechend validiert und "sterilisiert" werden. Ist dies nicht der Fall, entstehen eine Reihe an Sicherheitsrisiken, die bösartigen Angreifern unter anderem ermöglichen, Daten auszulesen und zu stehlen sowie Sitzungen und Browser-Aktivitäten fremdzusteuern.
Herausforderung Windows-XP-Ablösung
Plötzlich bekanntwerdende Sicherheitslücken stellen alle Organisationen, ob aus der Privatwirtschaft oder der öffentlichen Verwaltung, vor große Herausforderungen. Aber diese Herausforderungen kann es selbst dann noch geben, wenn der Handlungsbedarf schon seit langem bekannt und geplant ist. Als Beispiel sei hier das Ende des Supports für das Betriebssystem Windows XP genannt. Das bevorstehende Ende des Lifecycles wurde von Microsoft einige Jahre im Voraus angekündigt. Berichte der Fachmedien machen dennoch deutlich, dass große Organisationen ihre Schwierigkeiten mit der Umstellung von Windows XP auf Windows 7 hatten und haben. Mit entsprechenden Herausforderungen waren etwa auch der Deutsche Bundestag und die Berliner Landesverwaltung konfrontiert.
- Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind. - Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen. - Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben. - Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern. - Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind. - Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat. - Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko. - Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen. - Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen. - Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.
Die Lebenszyklen von Hard- und Software
Windows XP läuft aber nicht nur auf gewöhnlichen Rechnern, sondern auch auf speziellen Geräten mit besonderen Aufgaben, z.B. in der Medizintechnik. Ist der Lifecycle der Hardware aber länger als der der sie steuernden Software, laufen diese Geräte meist weiterhin mit einem veralteten Betriebssystem - und die neu entdeckten Sicherheitslücken der Software werden in diesen Fällen nicht geschlossen. Dabei spielt gerade in einem Bereich wie der Medizintechnik die Sicherheit eine ganz besondere, übergeordnete Rolle.
Bei Geldautomaten gestaltet sich die Situation ähnlich. Hier werden noch rund 95 Prozent der Systeme mit Windows XP betrieben. Wie Geräte in der Medizintechnik können auch Geldautomaten nicht ohne weiteres auf neue Versionen des Betriebssystems migriert werden. Während die Deutsche Kreditwirtschaft die fehlende Verbindung der Geldautomaten ins öffentliche Internet als Sicherheitsmerkmal ansieht - wodurch auf Windows XP basierende Geräte weiterhin sicher betrieben werden könnten - ist Kaspersky Labs der gegenteiligen Auffassung: Fast alle Geldautomaten seien wegen des veralteten Windows XP für Angriffe anfällig.