Man muss sich darüber im Klaren sein, dass ein komplizierter Angriff nach Aurora-Muster gar nicht erforderlich ist. In der Regel reicht es aus, die Unerfahrenheit vieler Anwender auszunutzen. Ein Angreifer kann beispielsweise einen User auf eine Webseite mit einem Video locken. Dort bekommt er eine Meldung, dass er den notwendigen Codec nicht installiert habe.
Dass sich bei der Installation des vermeintlichen Codecs die Benutzerkontensteuerung und eventuell installierte Sicherheitsprogramme melden, ist für den Benutzer nichts Ungewöhnliches. In einem größerem Unternehmen wird sich mindestens ein Anwender finden, der den Trojaner hineinlässt. Wenn dieser ein virtuelles Rootkit nachlädt, sind die meisten Unternehmensadministratoren überfordert.
Zu den Sicherheitsbehörden wie dem BSI kann man nach der "Operation Aurora" nur feststellen, dass sich der Wissensvorsprung äußerst professioneller Hacker gegenüber offiziellen Stellen in rasanten Schritten immer weiter vergrößert. Sensible Daten zu schützen wird wohl auf absehbare Zeit ein Kampf gegen Windmühlen bleiben.
Unsinnige Zertifizierungen wie der BSI-Grundschutz lähmen kleine und mittlere Unternehmen, deren Wettbewerbsvorteil gegenüber großen Konkurrenten vor allem aus Agilität und Flexibilität besteht. Einen Nutzen davon haben nur die Berater, die Unternehmen durch die Zertifizierung bringen. Die geübte Kritik am BSI-Grundschutz, dass es sich um blinden und nutzlosen Aktionismus handelt, ist in allen Punkten gerechtfertigt.
Hier ist dringend Handlungsbedarf erforderlich. Eine bürokratische Behörde, die langsam und träge Normen und Standards aufstellt, kann bestenfalls dazu beitragen, die Haftung von Unternehmen zu begrenzen, die sich an die Standards halten. Die teils existenzwichtigen Daten sind trotzdem in Peking und werden dort zu Geld gemacht.
Lesermeinungen zum Artikel
Firmen, die mit sensiblen Daten arbeiten, haben 'in der Regel' keine unerfahrenen Anwender.
Ansonsten ein guter Artikel, vieln Dank!
Nach meiner Erfahrung (30 Jahre IT) wird IT-Sicherheit in nur sehr wenigen Firmen konsequent durchgezogen.
Ich habe es immer wieder erlebt, dass Mitarbeiter ihre eigenen Notebooks mitgebracht haben oder dass der Admin zugab, dass es einige Geräte im Netzwerk gibt, die zwar per DHCP eine IP haben, die er aber nicht kennt oder weiß, wo die stehen.
IMHO gehen zu viele Admins den einfachen Weg. Je weniger die Mitarbeiter Helpdesk anrufen, desto bequemer.
Dass mancher Sicherheitsbeauftragter als persönlich haftend mit einem Bein im Gefängnis steht ist den wenigsten klar.
Dies wird auch dadurch unterstützt, dass diesbezügliche Sicherheitsrichtlinien nicht kommuniziert werden oder mit Kunden Teilvereinbarungen getroffen werden, die weder von der IT-Compliance noch von den technischen Möglichkeiten des Unternehmens gedeckt werden.
Beste Grüße
schulte
Weiter so!
Klar kann ich verstehen, das es in großen Unternehmen schwierig ist, Sicherheitsrichtlinien und Schutzmechanismen bis in die kleinste Provinzniederlassung zu tragen. Ich bin mir aber ziemlich sicher. Wenn nicht jeder sein eigenes Süppchen kochen würde und es gewisse Standards geben würde, dann hätten wir einige Probleme weniger. Und wenn Microsoft sich zu verschiedenen Themen etwas öffnen würde, dann erst recht.
Den Usern ist es nicht zu verübeln. Woher sollen Sie wissen, welche Bits und Bytes gut und böse sind? Kennen doch die wenigsten die Tiefen Ihres Betriebssystems, welches oftmals mit "W" beginnt und mit "s" endet. Assistenten übernehmen doch viele Konfigurationen und denken nicht an Ecken, an die findige Programmierer denken.
In diesem Sinne. Jeder ist seines Glückes Schmied. Der beste Schutz ist offline bleiben und mit niemanden reden. ;)
Klar, nach einer George W. Bush - Logik ist es damit bewiesen... So exzellent die Entwickler auch sein mögen, dass man ihre IP's rückverfolgen würde, sind sie natürlich nicht gekommen. Ich frage mich auch, woher Google weiß, welche Googlemail-Konten welchen Menschenrechtlern gehören.
Ich sage nicht, dass es nicht die chinesische Regierung sein könnte... aber an Beweisen dafür findet sich hier nur jede Menge Quark.