Alarmismus lenkt von wahren Gefahren ab und befördert Abstumpfung

Udo Schneider von TREND MICRO tritt für mehr Differenzierung bei der Reaktion auf Gefahren für die Datensicherheit ein

[datensicherheit.de, 14.04.2016] In der Branche gebe es ein allgemeines Aufatmen nach dem aktuellen „Patch Tuesday“ von Microsoft. Endlich sei die seit etwa drei Wochen viel diskutierte gefährliche Sicherheitslücke mit dem Namen „Badlock“ geschlossen – vorausgesetzt, die Sicherheitsaktualisierung werde eingespielt oder könne eingespielt werden, so Udo Schneider, Pressesprecher bei TREND MICRO.

Potenziell gefährlich, aber bisher keine Exploits bekannt

In der Tat seien Sicherheitslücken gefährlich, vor allem wenn wie in diesem Fall praktisch alle „Windows“-Rechner dieser Welt potenziell betroffen seien. Doch stellt sich laut Schneider angesichts der aufgeregten Diskussion die Frage: „War oder ist ,Badlock‘ wirklich so gefährlich?“
Die Antwort auf diese Frage laute weder „ja“ noch „nein“, sondern „ja, aber“. Denn „Badlock“ sei in der Tat gefährlich, nicht nur weil alle von Microsoft unterstützten und nicht mehr unterstützten Plattformen potenziell betroffen seien – auch die „Samba“-Server-Versionen 4.1 und älter seien im Übrigen für „Badlock“ anfällig, solange die Sicherheitsaktualisierungen nicht eingespielt würden, erläutert Schneider.
Zudem seien die über „Badlock“ möglichen Angriffe bedrohlich. Über eine so genannte „Man-in-the-Middle“-Attacke könnten sich die Angreifer in die Internetkommunikation der Anwender einklinken, den Netzwerkverkehr mitschneiden und nicht nur persönliche Informationen stehlen, sondern unter Umständen auch die Sicherheit bei Online-Banktransaktionen aushebeln, um die potenziellen Opfer finanziell zu schädigen. Die gute Nachricht aber laute, dass es ist gar nicht so einfach sei, die „Man-in-the-Middle-Attacke“ auszuführen. Die Angreifer benötigten dafür gute Kenntnisse über das Zielnetzwerk, auch wenn sie am Ende Rechner kaperten und darauf beliebigen Code ausführen könnten; und um zum Beispiel Passwörter in einer „Samba-SAM“-Datenbank zu knacken, brauchten sie in der Regel höhere Nutzerrechte. Dies sei aber wiederum nur nach einer erfolgreichen „Man-in-the-Middle“-Attacke möglich.
Aus diesen Gründen habe Microsoft „Badlock“ nicht als „critical“, sondern „important“ eingestuft. Zudem seien noch keine bösartigen Programme, sogenannte „Exploits“ bekannt, die diese Lücke ausnutzen würden, sagt Schneider.

Plädoyer für differenziertere Bewertung von Gefahren

Nicht alle Sicherheitslücken seien gleich gefährlich. Nicht alle eigneten sich für die schnelle Entwicklung und Veröffentlichung von „Exploits“ im Cyberuntergrund und deren massenhaften Einsatz.
Deshalb plädiert Schneider dafür, bei den Bewertungen entsprechend zu differenzieren, denn sonst riskierten wir, dass die von derartigen Bedrohungen Betroffenen mit der Zeit abstumpften und bei Warnmeldungen gar nicht mehr hinhörten. Dies wäre umso gefährlicher, als wir in Zukunft noch mehr über Sicherheitslücken lesen und erfahren würden.
Gerade für Unternehmen wäre es riskant, wenn dieser Abnutzungseffekt einsetzen würde. Denn sie sind in der Regel nicht in der Lage, verfügbare Sicherheitsaktualisierungen sofort zu implementieren, etwa weil dies zu wirtschaftlich nicht vertretbaren Stillstandszeiten in der Produktion führen würde. Dies gibt aber potenziellen Angreifern genügend Zeit, sich mit ihrem Ziel, zum Beispiel einem Unternehmensnetzwerk, vertraut zu machen und eine bereits bekannte Lücke für kriminelle Zwecke zu missbrauchen.

Foto: TREND MICRO Deutschland

Udo Schneider: Warnung vor Abnutzungseffekt

Panik raubt Handlungsfähigkeit

Panik helfe den Unternehmen in dieser Situation am wenigsten: „Wenn man vermeintlich nichts tun kann, reagiert man oft mit einem Achselzucken.“ Das sei nur menschlich. Eine rationale, weil differenzierte Diskussion über Sicherheitslücken könnte hingegen dazu führen, dass die Unternehmen sich mit Möglichkeiten vertraut machten, das Zeitfenster zwischen der Veröffentlichung und Implementierung von Sicherheitsaktualisierungen zu verkürzen oder zu schließen. Virtuelles Patchen wäre etwa eine Maßnahme, die dafür geeignet wäre, erläutert Schneider.

Weitere Informationen zum Thema:

blog.trendmicro.de
Wie gefährlich ist Badlock (CVE-2016-0128/CVE-2016-2118)?