Unsicheres Internet: softScheck benennt 10 IT-Sicherheitsgebote

Verantwortungsbewusste Unternehmen erhöhten den Widerstandswert ihrer Sicherheitssysteme, um sich stärker gegen Spionage und Sabotage zu schützen

[datensicherheit.de, 23.07.2013] In einer aktuellen Stellungnahme weist die softScheck GmbH aus Sankt Augustin darauf hin, dass seit über zehn Jahren das gesamte Internet nicht nur weltweit vollständig überwacht werde, alle Kommunikationsvorgänge würden protokolliert, aufgezeichnet, ausgewertet, nicht nur bei personenbezogenen Daten (Datenschutz), sondern es werde intensiv Wirtschaftsspionage betrieben – und das nicht nur von einem Staat, sondern von allen (!) Industriestaaten und von Staaten, die Wirtschaftsspionage bezahlen können. „PRISM“, „StellarWind“, „EvilOlive“, „Tempora“, „ECHELON“ etc. seien also nur Kürzel für Wirtschaftsspionage, und es gebe weitere Spionageprogramme.
Die aktuelle Diskussion um die internationale Telefon- und Internetüberwachung führe uns einmal mehr vor Augen, wozu Informationstechnik (IT) ganz legal eingesetzt wird – sicherheitsbewusste Unternehmen hätten bereits reagiert und erhöhten ihr IT-Sicherheitsniveau, den Widerstandswert ihrer Sicherheitssysteme, um sich stärker gegen Abhören (Spionage) und Manipulation ihrer Daten und Prozesssteuerungen (Sabotage) zu schützen. Basis für Sicherheitsmaßnahmen sei in jedem Fall der Grundschutz nach BSI bzw. die internationale Normenfamilie ISO 27000 – aber auch nur die Basis.

Die softScheck GmbH benennt die nach ihrer Ansicht wichtigsten zehn zusätzlichen Sicherheitsmaßnahmen:

1. Datensparsamkeit
   Nur unverzichtbar notwendige Daten dürfen in IT-Systemen und Netzwerken gespeichert und übertragen werden. Die wertvollsten Daten gehören auf stand-alone Systeme – ohne Anschluss an das Internet.
2. Anschlüsse an das Internet einschränken
   Ausschließlich hoch abgesicherte Computer und Netze dürfen an andere interne und externe Netze oder gar an das Internet angeschlossen werden.
3. Soziale Netzwerke
   Besonders stark von Nachrichtendiensten überwacht werden Soziale Netzwerke, weil darin (fast) alle Informationen über die Teilnehmer erhältlich sind, bis hin zu Fotos von unterschiedlichen Ereignissen. Es muss im Unternehmen geprüft werden, ob die Nutzung für den Geschäftserfolg wirklich notwendig ist.
4. Suchmaschinen
   Auch wenn der gesamte Internetverkehr überwacht wird, können in vielen Fällen anonymisierende Suchmaschinen wie die deutsche Suchmaschine „Metager2“, „ixquick“, „Scroogle“, „StartPage“ oder die US-Suchmaschine „DuckDuckGo“ ausreichen, um ein Abhören der Interessengebiete zu erschweren. Zumindest sollte die Individualisierungsfunktion der jeweils benutzten Suchmaschine abgeschaltet werden.
5. Verschlüsselung
   Auch wenn wohl alle modernen Verschlüsselungsverfahren geknackt werden, sollte zur Erhöhung des Sicherheitsniveaus jede Kommunikation über das Internet verschlüsselt werden. Beachtenswert ist die Qualität der Verschlüsselungsprogramme – lange Schlüssel, die nach jeder Nachricht gewechselt werden. Gerade im Kryptobereich muss vor der Entscheidung für ein Produkt eine detaillierte Funktionsprüfung durchgeführt werden.
6. Zugriffskontrolle, Identity Management
   Berechtigte dürfen nur die geringstmöglichen Zugriffsrechte erhalten. Das Management der Zugriffsberechtigungen selbst bedarf eines hohen Sicherheitsniveaus. Alle Zugriffe auf wertvolle Daten müssen protokolliert und sorgfältig ausgewertet werden.
7. Qualität von Sicherheitsprogrammen
   Die wichtigsten Programme – insbesondere die Sicherheitsprogramme – müssen auf Hintertüren (covert functions) und Sicherheitslücken – vor allem auf bislang nicht veröffentlichte Sicherheitslücken (Zero-Day-Vulnerabilities) – überprüft werden und die identifizierten Sicherheitslücken müssen auch behoben (gepatcht) werden. Anderenfalls sind die IT-Systeme „offen wie ein Scheunentor“ für Nachrichtendienste und Spionage-treibende Mitbewerber. Diese Angriffstechnik „Ausnutzung bisher unveröffentlichter Sicherheitslücken“ beherrschen – neben dem klassischen Abhören – Sicherheitsbehörden auch von Drittstaaten sowie größere kriminelle Organisationen.
8. Software-Entwicklung
   Sicherheit beginnt im Software-Entwicklungsprozess beim Entwurf der Software mit Untersuchung des Security Designs auf fehlende Sicherheitsmaßnahmen: „Threat Modeling“. Die Implementierung muss mit „Static Source Code Analysis“ und dann mit „Penetration Testing“ überprüft werden. Den unverzichtbaren Abschluss der Software-Entwicklung bildet „Dynamic Analysis – Fuzzing“: Es werden in das zu untersuchende Programm erfahrungsgemäß erfolgreiche Angriffsdaten eingespeist; wenn das Zielprogramm anomal reagiert, wird diese Programmstelle von Experten untersucht. Die Methoden klingen einfach – sind aber nur durch den Einsatz vieler Tools (weltweit werden über 300 angeboten) wirkungsvoll, kostengünstig und schnell!
9. Outsourcing
   Unter Sicherheitsaspekten muss jede Auslagerung von Daten aus dem Unternehmen ständig und umfassend technisch kontrolliert werden:
   • Wer hat welche Zugriffsberechtigungen (Mitarbeiter des Dienstleisters? Wie können Zugriffe Unberechtigter erschwert werden?)
   • Kann die Sicherheitsqualität der Maßnahmen von den Unternehmens-eigenen Mitarbeitern eprüft und bewertet werden?
10. Falsche Empfehlungen
    • Nationale Internetdienste
      In Europa oder besser Deutschland angesiedelte Internetdienste nutzen: Dies verbessert nur die rechtliche Situation wegen des höheren Datenschutzniveaus, ergibt aber keinerlei höheres technisches Sicherheitsniveau.
    • Clouds
      Zwar können Daten verschlüsselt übertragen und gespeichert werden – allerdings müssen sie zur Verarbeitung unverzichtbar entschlüsselt werden. Es muss sorgfältig überprüft werden, welche Sicherheitsmaßnahmen zur Erreichung der Verfügbarkeit, der Vertraulichkeit und der Integrität implementiert sind und vor allem muss die Implementierungsqualität in public und hybrid Clouds geprüft werden!
    • ByoD – Bring your own Device
      Bis 2017 sollen Mitarbeiter in mehr als der Hälfte aller Unternehmen ihre eigenen mobilen Geräte mitbringen. Die mit ByoD verbundenen Bedrohungen u.a. durch Zero-Day-Vulnerabilities und covert Functions (nicht-dokumentierte Funktionen) in Apps werden mit unabsehbaren Folgen völlig unterschätzt.

Weitere Inforationen zum Thema:

softScheck GmbH
Kostengünstige Identifizierung von Sicherheitslücken