Neue Herausforderungen für die Informationssicherheit

Information Stewardship gegen Datenverlust

| Redakteur: Stephan Augsten

Wer seine Informationen schützen möchte, benötigt ein umfassendes Sicherheitskonzept.
Wer seine Informationen schützen möchte, benötigt ein umfassendes Sicherheitskonzept. (Bild: Andrea Danti - Fotolia.com)

Ob der UEFI-Firmware-Bug oder die gezielten Angriffe auf Twitter, Google, Apple oder Microsoft: Die vergangenen Wochen haben gezeigt, dass wir von sicherer Informationstechnologie weit entfernt sind. Es gilt, die Sicherheitskonzepte stetig an die neuen Herausforderungen anzupassen.

Es ist nur Frage der Zeit, bis Lücken wie der UEFI-Firmware-Bug auch von Angreifern genutzt werden, vielleicht auch in Verbindung mit der Erpressung von Zahlungen. Auch wenn sich Schadsoftware den Fehler bislang nicht zunutze macht, kann er sowohl unter Windows als auch Linux dazu führen, dass die Hardware von Notebooks beschädigt wird.

Bei einer Vielzahl von Netzwerkgeräten wie Routern und Druckern wurden mittlerweile Sicherheitslücken gefunden, die Angriffe von außen zulassen. Die Vielzahl der Probleme entsteht auch dadurch, dass die aktuell betroffene UPnP-Komponente (Universal Plug and Play) von den verschiedenen Herstellern auf Basis weniger Standardbibliotheken entwickelt wurde, die fehlerhaft waren.

Das Problem ist dabei nicht nur der Fehler, sondern auch das Verhalten der Hersteller, bei denen esviel zu lange dauert, bis Patches – wenn überhaupt – geliefert werden. Die Gründe liegen wohl irgendwo zwischen Unfähigkeit, wozu auch das Fehlen von Patch-Prozeduren gehört, und Unwilligkeit. Das Problem ist, dass solche Geräte Angriffe auf viele Netzwerke, insbesondere bei KMUs und Privatpersonen, ermöglichen.

Völlig gleich, ob es mal wieder ein BKA-Trojaner ist, gefälschte Rechnungen mit Malware-Anhang die Runde machen oder große und gezielte Angriffe gegen führende IT-Firmen sowie amerikanische Publikationen gefahren werden: Die n Angriffswellen belegen, dass auch der Angriffsdruck weiterhin hoch ist.

Hinzu kommen immer wieder neue Sicherheitslücken, die Angreifern neue Ansatzpunkte bieten. Diese finden sich inzwischen in allen Umgebungen. Die früher oft vertretene Meinung, dass man ja eigentlich nur bei Verwendung von Windows-Rechnern gefährdet ist, ist längst überholt.

Was man für mehr Informationssicherheit tun kann

Es gibt leider kein Patentrezept für eine hohe Informationssicherheit. Ein gutes Patch-Management über alle Ebenen, von der Hardware bis hoch zu Anwendungen, gehört sicherlich dazu. Ein durchdachtes Identity und Access Management zur Steuerung und Verringerung von Zugriffsberechtigungen ist ebenso unverzichtbar.

Immer wichtiger werden auch ausgefeilte Analysetechniken – nicht umsonst haben EMC/RSA Security und IBM unlängst neue Lösungen vorgestellt, die riesige Datenmengen (Big Data) auswerten, um komplexe Sicherheitsanalysen durchzuführen. Vor allem braucht es aber auch ein organisatorisches Gesamtkonzept, die Schulung von Mitarbeitern und eine klare Roadmap für die technische Umsetzung.

Auf diesem Weg lassen sich die Risiken für die Informationssicherheit in immer komplexeren und kritischeren Strukturen wenigstens einigermaßen beherrschbar machen. Information Stewardship als ein Gesamtansatz ist heute ein Muss für Unternehmen – meine Kollegen Mike Small und Dave Kearns haben das unlängst in einem Report zusammengefasst.

Die ganzen Neuigkeiten der letzten Wochen bedeuten aber auch nicht, dass man in Panik verfallen muss. Es ist aber angebracht, die Sicherheitsrisiken neu zu bewerten und das Handeln entsprechend anzupassen – auf organisatorischer und technischer Ebene, im Unternehmen und privat. Auch das ist Teil der Information Stewardship; und diese wird auch auf der EIC 2013 ein wichtiges Thema sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 38622950 / Risk Management)