[datensicherheit.de, 08.10.2014] Norbert Luckhardt, Chefredakteur der „<kes>“ (Zeitschrift für Informationssicherheit aus der SecuMedia Verlags-GmbH), stellte am zweiten Messetag in Nürnberg die aktuelle „<kes>/Microsoft-Sicherheitsstudie“ vor.
Die vorliegende Studie erhebe nicht den Anspruch, repräsentativ zu sein. Basis seien diesmal 133 verwertbare Fragebögen gewesen. Malware liege bei den Gefährdungen nunmehr wieder auf Platz 1, während der bisherige Spitzenreiter „Irrtum und Nachlässigkeit eigener Mitarbeiter“ jetzt an zweiter Stelle stehe. Zwar sei die absolute Anzahl an Schadensvorfällen gesunken, jedoch hätten 74 Prozent der Befragten Vorfälle gemeldet. 31 Prozent hätten gar nennenswerte Schadensfälle gehabt, wovon rund ein Drittel auf Malware zurückzuführen sei. Hauptinfektionsquellen seien E-Mail und Websites (Drive-by-Exploits) – bereits bei über der Hälfte seien mobile Endgeräte betroffen gewesen.

Foto: Dirk Pinnow

Norbert Luckhardt: Mehr als der Hälfte der Unternehmen fehlt Budget für Stärkung der IT-Sicherheit

Hacking-Attacken hätten erheblich an Beachtung gewonnen. Nach dem mangelnden Bewusstsein der Mitarbeiter sei es häufig – zu 58 Prozent – das fehlende Budget, welches einer Verbesserung der IT-Sicherheit im Wege stehe.

Weitere Informationen zum Thema:

<kes> online
<kes>/Microsoft-Sicherheitsstudie 2014

[datensicherheit.de, 19.06.2013] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur Sicherheit von Content Management Systemen (CMS) veröffentlicht. Diese beleuchtet relevante Bedrohungslagen und Schwachstellen der weit verbreiteten Open-Source-CMS Drupal, Joomla!, Plone, TYPO3 und WordPress, die sowohl im professionellen Bereich als auch von Privatanwendern genutzt werden, um Webseiten aufzubauen und zu pflegen.

Die Studie zeigt, dass die untersuchten CMS ein angemessenes Sicherheitsniveau bieten und einen hinreichenden Sicherheitsprozess zur Behebung von Schwachstellen implementiert haben. Um einen sicheren Betrieb einer Webseite zu gewährleisten, reicht es jedoch nicht aus, die untersuchten Lösungen in der Standardinstallation einzusetzen und zu betreiben. Vielmehr bedürfen die CMS einer sachgemäßen Konfiguration und kontinuierlichen Pflege, denn nur ein angemessenes Systemmanagement und ein umsichtiges Verwenden von Erweiterungen kann das Risiko unentdeckter Schwachstellen minimieren. Die Betreiber und Administratoren der Webseite sollten daher ein besonderes Augenmerk auf die tägliche Pflege des Systems und die Information zu möglichen Sicherheitsupdates legen und die dafür notwendige Zeit einplanen.

Handlungsempfehlungen anhand praxisnaher Anwendungsszenarien

Die Studie bietet unter anderem eine Analyse der Schwachstellen der untersuchten CMS. Zudem werden die Entwicklungsprozesse der Systeme mit dem Fokus auf Sicherheit untersucht und bewertet. Darüber hinaus ermöglicht die Studie eine verlässliche sicherheitstechnische Beurteilung von CMS im Rahmen der Planung und Beschaffung. Dazu werden exemplarisch wichtige Aspekte zur Absicherung der Software anhand von vier typischen Anwendungsszenarien beleuchtet: „Private Event Site“ zum Aufbau einer privaten Webseite, „Bürgerbüro einer kleinen Gemeinde“, „Open Government Site einer Kleinstadt“ und „Mittelständisches Unternehmen mit mehreren Standorten“.

Content Management Systeme werden zur Erstellung und Pflege von Internetauftritten im privaten Umfeld ebenso eingesetzt wie in Verwaltungen und Unternehmen. Immer wieder bieten diese Systeme jedoch Angriffsflächen für Hacker und Schadprogramme. Denn schon durch kleine Sicherheitslücken oder Fehlkonfigurationen können sich unerlaubte Zugänge zu Online-Anwendungen, IT-Infrastrukturen und sensiblen Daten öffnen. Die mangelhafte Pflege von Content Management Systemen kann auch dazu führen, dass Online-Kriminelle den Rechner oder Webserver des Anwenders übernehmen, diesen zum Teil eines Botnetzes machen und den Rechner so beispielsweise für DDoS-Angriffe missbrauchen. Schwachstellen in Content Management Systemen, die aufgrund von mangelhafter Pflege nicht geschlossen wurden, waren beispielsweise eine Ursache für die in den letzten Monaten bekannt gewordenen DDoS-Angriffe gegen US-Finanzinstitutionen.

Mit der Durchführung der Studie hatte das BSI die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) beauftragt.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Content Management System (CMS)

[datensicherheit.de, 05.07.2011] Die meisten Surfer hätten nur wenig Wissen über die lauernden Gefahren im Internet, so lautet das beunruhigende Ergebnis der internationalen „G Data Security Studie 2011“ mit dem Titel „Wie schätzen Nutzer die Gefahren im Internet ein?“:
Demnach verfügen die Nutzer verfügen über ein veraltetes Wissen und kennen die aktuellen Online-Bedrohungen und Risiken kaum – so seien über 92 Prozent der international Befragten beispielsweise der Meinung, dass eine Infektion des eigenen PCs für sie ersichtlich sei. In der Vergangenheit wurden Schädlinge von Programmierern geschrieben, die ihre technischen Fähigkeiten unter Beweis stellen wollten. Gelang eine Infektion, war diese für das Opfer auch ersichtlich und zwar in Form von Popups, Funktionsausfällen oder durch den plötzlichen Absturz des PC.
Offenbar erinnern sich viele Internetnutzer noch gut daran. Heute aber werden Computerschädlinge so geschickt programmiert, dass eine Infektion nicht erkennbar wird – denn das Ziel der Täter besteht u.a. darin, möglichst viele und wertvolle Daten (u.a. Kreditkarteninformationen) zu stehlen, um diese in Untergrundforen gewinnbringend zu verkaufen. Eine andere Möglichkeit ist das Kapern und anschließende Einbinden in ein Botnetz. So können die Betrüger den Rechner u.a. für DDoS-Angriffe nutzen. „Cyber-Kriminelle“ sind daher also nicht daran interessiert, dass ihr Schadcode entdeckt und entfernt wird.

Foto: G Data Software AG, Bochum

„G Data Security Studie 2011“: Zu geringes Anwenderwissen über Online-Kriminalität, Angriffe auf persönliche Daten und Bedrohungspotenziale

Täglich berichten Medien über neue Angriffe auf Internetnutzer und Unternehmen, über Datendiebstahl, neue Computerschädlinge und die Strukturen der „eCrime-Kartelle“. Privatanwender geraten dabei stärker in den Fokus der Täter und werden immer häufiger Opfer der weltweit agierenden „Cyber-Banden“. Der Schutz der digitalen Identität ist im Zeitalter des Internets daher gesellschaftsübergreifend von elementarer Bedeutung. Die deutschen Anwender schnitten im internationalen Vergleich gar noch am besten ab. Das Wissen über Online-Kriminalität, Angriffe auf persönliche Daten und Bedrohungspotenziale sei aber auch bei den Befragten aus Deutschland nicht ausreichend, um sich effektiv dagegen schützen zu können.
Mehr als 15.000 Internetnutzer aus elf Ländern hat G Data hierfür eingehend über Virenschutz, Computerschädlinge oder über ihr Verhalten in Sozialen Netzwerken befragt. Die Ergebnisse wurden ausgewertet und mit der aktuellen und tatsächlichen Bedrohungslage im Internet verglichen.

Weitere Informationen zum Thema:

G DATA
G Data Security Studie 2011 / Wie schätzen Nutzer die Gefahren im Internet ein?

G DATA, 05.07.2011
Anwender wissen zu wenig über die Gefahren im Internet / G Data veröffentlicht internationale Sicherheitsstudie

[datensicherheit.de, 19.10.2010] Auch wenn Malware in jüngster Zeit sehr stark in den Medien thematisiert wurde, landete diese Bedrohung der Unternehmenssicherheit in der aktuellen Sicherheitsstudie auf Platz 2, während das mangelnde Bewusstsein der Mitarbeiter, welches sich in Irrtum und Nachlässigkeit manifestiert, den ersten PLatz einnahm.
An dritter Stelle rangieren unbefugte Kenntnisnahme, Informationsdiebstahl und Wirtschaftsspionage. <kes>-Chefredakteur Norbert Luckhardt betonte bei der Vorstellung, dass es hierbei nicht um bloße Statistik als Selbstzweck gehe – die Sicherheitsstudie solle konkret helfen, Unternehmenswerte zu schützen. Die Bedrohung lasse sich grob in „Unfälle“, also menschliches und technisches Versagen, sowie gezielte und ungezielte Angriffe gliedern.
Erfreulich sei, dass die KMU zunehmend schriftliche Konzepte für IT-Sicherheit vorliegen hätten, jedoch bestehe Nachholbedarf bei der Regelung des Umgangs mit Sozialen Netzwerken bzw. Web-2.0-Anwendungen.
In Zeiten knapper Budgets kommt der Rolle des Managements eine tragende Bedeutung zu; aber auch dort ist laut der Studie vielfach ebenfalls mangelndes Bewusstsein zu beklagen. Neben einigen Gegenmaßnahmen etwa zur Abwehr von Schadsoftware klafft auf dem Gebiet der „Data-Leakage-/Data-Loss-Prevention“ eine große Lücke – 26 Prozent planen zwar etwas zu tun, 18 Prozent haben schon vereinzelt Maßnahmen realisiert, aber die Hälfte will laut Studie auch zukünftig keine diesbezüglichen Anstrengungen unternehmen.
Die Sponsoren der Studie reagierten zum Teil mit Erschrecken über diesen aktuellen Zustandsbericht.