Das Fraunhofer-Institut für Sichere Informationstechnologie hat zum Cybersicherheitstag (20. Oktober 2016) vorherrschende Security Mythen herausgegeben. Ich habe diese mal unter die Lupe genommen und einige kommentiert.
(Grüne Schrift: Fraunhofer-Institut, schwarze Schrift: meine Kommentare).
» Sicherheitsvorkehrungen sind unnötig, die Hacker knacken doch sowieso alles. «
Mit dieser Einstellung könnten Sie genauso gut Ihre Haustüre sperrangelweit offen stehen lassen. Schließlich bietet auch ein Türschloss nicht den ultimativen Einbrecherschutz. Dennoch schließt jeder seine Haustüre ab – und das ist auch gut so. (…)
Mein Kommentar: Es geht nicht nur darum Einbrüche zu erschweren, sondern auch darum sie zu erkennen (Intrusion Detection) und Zeit zu gewinnen. Gute Sicherheitsvorkehrungen beinhalten Warnungen, damit Maßnahmen ergriffen werden können, bevor der letzte Schutzwall gefallen ist.
» Wenn ich ein gutes Passwort habe, dann kann keiner meine E-Mails lesen. «
Leider ist das nicht ganz richtig. Unverschlüsselte E-Mails passieren auf ihrem Weg vom Sender zum Empfänger zahlreiche Stellen, an denen Angreifer die Inhalte abfangen und lesen können: Schreiben Sie beispielsweise Ihre E-Mail von einem offenen WLAN eines Cafés aus, ist der Zugriff ein Leichtes für Hacker. Auch beim E-Mail-Provider oder Internet-Service-Provider kommen die Mails auf dem Weg zum Empfänger vorbei und können leicht abgefangen werden. Übrigens, auch die Administratoren Ihres Unternehmens können unverschlüsselte E-Mails mitlesen.
Abhilfe schafft hier nur eine gute Verschlüsselung, wie sie beispielsweise die Volksverschlüsselung anbietet. Mit der Ende-zu-Ende-Verschlüsselung der Nachricht wird sichergestellt, dass nur Sender und Empfänger Nachrichten im Klartext lesen können.
Mein Kommentar: Alles gut, bis auf den Tipp „Volksverschlüsselung“.
Mehr dazu in: Vier Gründe, warum diese „Volksverschlüsselung“ so keiner braucht
» Ich muss nicht verschlüsseln, ich habe nichts zu verbergen. «
Auch wer nichts zu verbergen hat, sollte darauf achten, wie und was er kommuniziert. Cyberkriminelle nutzen alle verfügbaren Daten, die sie finden, für ihre Zwecke. (…) Mit den Funktionen »Passwort vergessen« und »Passwort ändern« können die Kriminellen Ihre Konten übernehmen, Ihre Identität stehlen und Sie sogar ungewollt in kriminelle Machenschaften hineinziehen. Eine gute Verschlüsselung beugt also nicht nur unerlaubter Massenüberwachung vor, sondern schützt auch vor Identitätsdiebstahl.
Mein Kommentar: Der schlimmste „Mythos“ überhaupt. Leute, wacht auf!
» Gute Verschlüsselung ist viel zu kompliziert. «
(…) Der Grund, warum nicht mehr Menschen verschlüsselt kommunizieren ist, dass die Einrichtung einer wirksamen Verschlüsselung für viele zu schwierig ist. Dabei muss Verschlüsselung nicht immer kompliziert sein. WhatsApp machte es für den Messenger-Dienst vor. Die Nutzer hatten keinen Aufwand und können seither abhörsicher kommunizieren. Für die E-Mail-Kommunikation hat das Fraunhofer SIT die laientaugliche Volksverschlüsselungs-Software entwickelt. Mit ihr können E-Mails mit wenigen Klicks Ende-zu-Ende verschlüsselt werden.
Mein Kommentar: Ausgerechnet WhatsApp als positives Beispiel? Oh Mann! Invasive Apps wie die des Facebook-Konzerns greifen Daten vor und nach der Verschlüsselung ab und nutzen alle übrigen Sensoren (GPS, Mikrofon, …) der Mobilgeräte, um ihre Benutzer auszuspähen. Damit ist nichts gewonnen. Und die „Volksverschlüsselung“ verhindert aufgrund der Veröffentlichung „echter“ Schlüsselinformationen eine der wichtigsten Schutzmöglichkeiten des Internet: die Anonymität.
» IT-Sicherheit und Datenschutz sind ein notwendiges Übel. «
Die vernetzte Industrie 4.0 ist auf dem Vormarsch, selbstfahrende Autos kurven bereits durch unsere Straßen und nahezu jeder hat schon einmal etwas online bestellt. Erst mit ausreichend IT-Sicherheit und Datenschutz wird dies alles möglich, denn erst die Schutzmaßahmen sorgen bei den Nutzern für Vertrauen in die neue Technik. Nicht auszumalen, was passieren könnte, wenn ein Angreifer die Kontrolle über ein vernetztes Fahrzeug übernimmt oder bei Amazon Ihre Kontodaten klaut. IT-Sicherheitsfunktionen verhindern dies. Ähnliches gilt für den Datenschutz: Nicht jeder Autobesitzer möchte, dass alle vom Auto gesammelten Daten haarklein an Hersteller oder Versicherung gehen. Wie man sieht, betreffen IT-Sicherheit und Datenschutz jeden. Sie sind kein notwendiges Übel, sondern schützen vor Schaden und stellen einen aktiven Verbraucherschutz dar.
Mein Kommentar: IT-Sicherheit und Datenschutz sind natürlich notwendiges Übel, da sie den Umgang mit der IT erschweren und die Erfüllung vieler formaler Auflagen erfordern. Hilft aber alles nix!
» Je mehr Sicherheitsmaßnahmen, desto sicherer wird mein System. «
Nicht alleine die Anzahl der Maßnahmen, sondern auch die Umsetzung der Sicherheitsvorkehrungen ist entscheidend: Eine dicke Ritterrüstung bringt Ihnen nichts, wenn Sie sich mit ihr nicht mehr bewegen können und angreifbar werden.
Je komplexer ein System wird, desto schwieriger ist es zu kontrollieren: Sicherheitsmaßnahmen können sich gegenseitig angreifen oder außer Kraft setzen, und selbst Sicherheitssysteme können Schwachstellen besitzen, die Angreifer ausnutzen können. (…)
Mein Kommentar: Yep! Jede Kette ist nur so stark wie ihr schwächstes Glied (Passwort) und sollte nur so lang sein wie nötig.
» Geheime Sicherheitsverfahren sind immer sicherer als öffentlich bekannte Algorithmen. «
Diese Aussage ist mit Vorsicht zu genießen: Der Bekanntheitsgrad eines Verfahrens sagt zwar nichts über dessen Sicherheit aus, aber in der Regel sind öffentliche Algorithmen sicherer als geheime Verfahren. Bei öffentlich zugänglichen Sicherheitsverfahren haben alle die Möglichkeit, sie nachzuvollziehen und zu prüfen, und viele Wissenschaftler tun das auch. Wenn ein Verfahren von vielen Menschen geprüft wurde, ohne dass Fehler gefunden wurden, gilt es als sicher. Hier gilt: Mehr Augen entdecken mehr Schwachstellen und mehr Köpfe können zusammen bessere Lösungen entwickeln. Zudem beruhen viele Sicherheitsalgorithmen auf mathematischen Problemen, an denen sich Mathematiker seit Jahrhunderten die Zähne ausbeißen.
Mein Kommentar: Dies kann nicht pauschal beantwortet werden. Die getätigte Aussage ist nicht falsch, aber geheime Verfahren können einen wichtigen Vorsprung verschaffen, wenn man dafür sorgt, dass diese regelmäßig weiterentwickelt und angepasst werden, bevor Angreifer die Schwachstellen analysieren konnten. Und auch diese Analyse kann man erschweren.
» Ich habe nichts Wichtiges auf meinem Rechner. Mein Computer ist deshalb kein Angriffsziel. «
Sie denken vielleicht Ihr Rechner sei für Cyberkriminelle uninteressant. Doch Angreifer sehen das oft anders, denn nicht immer sind ausgespähte (Konto-)Daten oder Identitätsdiebstahl Ziel der Hacker. Manchmal geht es denen einfach um Erpressung. Dazu werden einfach alle Dateien auf Ihrem Rechner verschlüsselt und erst gegen Zahlung eines Lösegeldes – vielleicht – freigegeben. In vielen Fällen richtet sich der Angriff auch gar nicht direkt gegen Sie als Besitzer des Rechners, sondern Ihr Rechner wird als Bot für Cyberangriffe auf Unternehmen benötigt. Mit Hilfe von sogenannten Bot-Netzen können Angreifer etwa viele Bot-Rechner zu einer riesigen Angriffsmaschine zusammenschließen und großen Schaden anrichten. Übrigens richtet sich die Anfälligkeit für automatisierte Massenangriffe nach dem Schutzniveau Ihres Computers. Sprich: Ist der eigene Rechner anfällig, wird er irgendwann auch angegriffen.
Mein Kommentar: Eine der größten Gefahren für die Internet-Infrastruktur überhaupt: Rechner nachlässiger Benutzer und Unternehmen, die für gewaltige Distributed Denial of Service (DDOS)-Angriffswellen missbraucht werden können.
» Wenn der eigene Rechner infiziert ist, merkt man das. «
Sie wachen morgens mit einer Erkältung auf, dabei war gestern noch alles in Ordnung. Doch die Viren schlummerten bereits seit Tagen in Ihrem Körper, ohne dass Sie es bemerkt haben. Mit Schadsoftware verhält es sich häufig genauso – sie schläft längere Zeit unbemerkt, bis der Angreifer sie aktiviert. Die Cyberkriminellen haben dabei beispielsweise das Ziel den Nutzer auszuspähen und so Zugangsdaten oder Konto- und Kreditkartennummern auszuspionieren. Damit können sie den Opfern einen erheblichen wirtschaftlichen Schaden zufügen. Auch wenn es keinen absolut sicheren Schutz gibt, sollten Sie daher immer Ihre Antivirenprogramme und Firewalls aktuell halten und bereitgestellte Sicherheitsupdates installieren.
Mein Kommentar: Nur, wenn die Schadsoftware eine Beschädigung des Systems zum Ziel hat (das merkt man dann ganz schnell!) oder einfach schlecht programmiert ist.
» Ich öffne nur Mails von Freunden und Bekannten, deshalb kann mir nichts passieren. «
Der Wolf im Schafspelz ist nicht immer auf den ersten Blick zu erkennen – das gilt für viele Bereiche. Absenderadressen zu fälschen, ist für Cyberkriminelle ein Kinderspiel. Die E-Mail-Fälschung ist immer noch ein beliebtes Mittel, da sich so immer noch viele Angriffe erfolgreich durchführen lassen. Oft sehen die E-Mails täuschend echt aus und können Sie, wie der Wolf im Märchen, in die Falle locken. Seien Sie deshalb auch bei E-Mails von Bekannten und Freunden vorsichtig, wenn diese Sie bitten, einem Link zu folgen oder einen Anhang zu öffnen. Eine kurze Rückfrage kann Ihnen viel Ärger ersparen.
Mein Kommentar: Da wurde nur ein Aspekt dargestellt. Der zweite: Ist der Rechner eines Freundes oder Bekannten infiziert, wird der selbst zum Überträger. Auch wenn seine Identität nicht geklaut wurde und es sich wirklich um Nachrichten dieser Person handelt.
» In der Cloud ist alles unsicher. «
Wie sicher die Daten sind, hängt von der konkreten Umsetzung der Cloud-Lösung ab. Die grundsätzlichen Fragestellungen hierzu hat das Fraunhofer SIT hat in seiner Cloud-Studie dargestellt. Generell lässt sich jedoch festhalten: Wenn Daten auf dem eigenen Rechner verschlüsselt und erst dann ins Internet oder einen Cloud-Speicher gestellt werden, sind die Daten nicht auslesbar. Außerdem können Sicherheitsdienste aus der Cloud kleine und mittlere Unternehmen besonders gut schützen.
Mein Kommentar: Die Daten in der Cloud sind auslesbar. Ob sie entschlüsselt werden können, entscheiden die Güte der Verschlüsselung und die Fähigkeit des Angreifers und auch, ob dieser möglicherweise durch einen weiteren Angriff in den Besitz von Schlüsseln gekommen sein könnte. Für Unternehmen gelten überdies noch weitere Hürden wie das Datenschutzgesetz, dass nicht so ohne weiteres die Überspielung von Daten in externe Rechenzentren erlaubt.
Aber: Das heißt andererseits nicht, dass in der Cloud „alles“ unsicher ist!
» Sehe ich das Schloss im Browser, ist alles okay. «
Das Schloss in der Browserzeile sagt lediglich aus, dass eine verschlüsselte Verbindung (HTTPS) besteht. Über die Absichten der Gegenstelle oder über die Abwesenheit von Schadcode sagt es nichts aus. Denn viele Angriffe können auch über verschlüsselte Verbindungen erfolgen. Beispielsweise kann eine sogenannte Man-in-the-Middle-Attacke erfolgen. Hierbei kann der Angreifer einen SSL-Proxy aufbauen und unbemerkt mithören oder Inhalte austauschen.
Für einen guten Schutz sollten daher das Betriebssystem und der Browser immer aktuell gehalten werden, damit auch die entsprechenden Zertifikate auf dem neuesten Stand sind.
Mein Kommentar: Und: Hilft alles nix, wenn der Trojaner als Element vom Server über die verschlüsselte Verbindung auf den Rechner des Nutzers übertragen wurde, weil der Anbieter es mit der Sicherheit nicht so genau genommen hat.
