Sicherheit

Der 1994 eingeführte IT-Grundschutz ist der wohl meistgenutzte Standard für Informationssicherheit in Deutschland.
Nun wurde er vom Bundesamt für Sicherheit in der Informationstechnik (BSI) grundlegend überarbeitet.
Die modernisierte Fassung soll vor allem die speziellen Bedürfnisse und Anforderungen kleiner und mittlerer Unternehmen stärker berücksichtigen als zuvor.
Speziell für kleine und mittlere Unternehmen sowie kleinere Behörden, die sich erstmals mit dem Thema IT-Sicherheit auseinandersetzen, hat das BSI außerdem einen "Leitfaden zur Basis-Absicherung" entworfen, der auf dem Standard 200-2 basiert. Er beschreibt auf 44 Seiten drei grundlegende Schritte zur Umsetzung erster Sicherheitsmaßnahmen.
Die Veröffentlichungen stehen auf der Internetpräsenz des BSI zum kostenlosen Download bereit.
Quelle: Heise Security


Alle Telefon-Carrier stellen zur Zeit ihre Telefonanschlüsse auf "All-IP" um.
Leitungsvermittelte ISDN- und Analoganschlüsse werden zurück gebaut und durch eine reine paketvermittelte Datenverbindung über Internet ersetzt.

Regionale Vermittlungsstellen werden durch zentrales virtuelles Routing ersetzt. Fehler wirken sich jetzt nicht mehr regional aus, sondern großflächig.

Festnetz-Telefonie im IP-Netz ist nur noch möglich bei funktionierendem Internet. Und das Internet ist extrem anfällig gegen Angriffe aller Art.

Im ISDN-Netz wurde die Stromversorgung bis zum Endgerät von der Vermittlungsstelle eingespeist, notfalls mit Notstromversorgung.
Im All-IP-Netz muß der lokale VoIP-Router eine eigene (Not)stromversorgung besitzen. Doch das nutzt nicht viel. Der DSLAM, der den Straßenzug mit Internet versorgt, besitzt keine Notstromversorgung.

Hinzu kommt, dass auch die Notstromversorgung der Mobilfunkmasten in den letzten Jahren zurück gebaut wurde.

Man kann also davon ausgehen, dass bei einem Stromausfall keine Kommunikationsmöglichkeit über Telefon oder Internet mehr besteht.


Am 22. Juni 2017 verabschiedet der Bundestag ein weitreichendes Überwachungsgesetz.
Um Geräte hacken zu können, müssen staatliche Stellen Schwachstellen schaffen oder ausnutzen oder gar auf dem Schwarzmarkt erwerben.
Das Interesse, Sicherheitslücken öffentlich zu machen oder für deren Beseitigung zu sorgen, wird somit auf staatlicher Seite gegen Null tendieren.


Im Moment geht es wie eine Welle durch das Netz und die Einschläge waren sehr nahe.
Die Fachleute rufen, dass man Sicherheit nun endlich Ernst nehmen soll!
Aber so einfach ist das nicht.

  • nicht jedes System in Industrieanlagen darf einfach aktualisiert werden.
  • nicht jeder Patch läuft komplikationslos, vorsichtige Tests sind gefragt.
  • nicht jede Ransomware läßt sich durch aktuelle Systeme vermeiden.
  • Nutzerinformation hat einen Stand erreicht, wo ich sie eher als Nutzerverunsicherung bezeichnen möchte.

Ein gewisses Maß an Verunsicherung ist sicher eine gute Sensibilisierung.
Wenn Anwender sich aber überhaupt nicht mehr trauen, einen Link anzuklicken, wird das Arbeitsmittel Internet unbrauchbar.
Praktikabler oder zumindest gleich wichtig scheinen mir da die folgenden Lösungsansätze:

  • Backup, vollständig, zeitnah und vom Netz getrennt.
  • Berechtigung des Anwenders einschränken - das ist keine Gängelei und ich selbst arbeite auch so.
  • Verzeichnisrechte setzen - Ransomware kann nur Verzeichnisse mit Schreibzugriff befallen.
  • Applikationen einschränken. Java, Javascript, Flash, Powershell und Office Makros sind die Haupteinfalltore.
  • Internetzugang einschränken. Kein Internet => keine Ransomware.

Weiterer zum diesem Thema: ransomware-virenabwehr-sicherheitsstrategien


HTTPS stellt eine Transportverschlüsselung der Daten vom Browser des Nutzers zum Webserver dar.

Besonders bei Übertragung von Passwort- oder Pineingaben ist das ein großer Vorteil, aber es schützt auch weitgehend vor Abhören des Datenverkehrs in offenen WLANS oder im Internet.

Google favorisiert HTTPS-Seiten seit Ende 2016 durch ein besseres Ranking der Suchmaschine.

Anfang 2017 macht auch Firefox ernst und warnt recht deutlich bei Passwort-Eingabefeldern ohne HTTPS-Verschlüsselung.

Das ist im Intranet ausgesprochen sinnlos, und im Internet verunsichert es die Anwender.

Seitenbetreiber stellen also zur Zeit gezwungenermaßen massenweise ihre Seiten um.
Und das geht nicht ohne Komplikationen ab.


Immer wieder tauchen in den Medien Berichte auf, dass von Unbekannten unberechtigt fremde Heizungen geregelt werden, Überwachungskameras übernommen werden oder dass der eigene Toaster Moskau angreift.

Mit zunehmender Verbreitung der intelligenten Haustechnik wird dieses Szenario immer realistischer und bedrohlicher.

Dabei gibt es ein paar einfache und effektive Maßnahmen dagegen.

1. Kontrolle über den eigenen Router

2. Keinen eingehenden Internet-Verkehr zulassen

3. Ausgehenden Internet-Verkehr einschränken


Das BSI ist auf Anweisung des Innenministers maßgeblich an der Entwicklung des Bundestrojaners beteiligt.

An genau dieses BSI sollen alle Betreiber kritischer Infrastrukturen nach dem aktuellen IT-Sicherheitsgesetz ihre potentiellen Schwachstellen übermitteln.


Ungeliebt und lästig, ist das Backup doch eine der wichtigsten Grundaufgaben an jedem Computer, auf dem Daten liegen oder dessen Ausfall schmerzt.

Grundregeln:

1. Sichern so oft wie nötig.
2. Backups außerhalb der Reichweite möglicher Fehlerquellen aufbewahren.
3. Sicherungen so lange wie nötig aufbewahren.
4. Backups sollten auch nach langer Zeit noch lesbar sein.
5. Ein Backup sollte möglichst automatisch arbeiten, einfach sein und darf nicht vergessen werden können.


Winfuture hat ein Echtzeit-Video zu einer Infizierung mit "Locky" online gestellt. Die Schnelligkeit und Einfachheit der Infektion ist verblüffend.

Virenscanner haben hier fast keine Chance, weil der Virus online nachgeladen wird und der Schadcode beliebig geändert werden kann.

Ransomware ist kein Windows-Problem. Jedes Betriebssystem ist gleichermassen angreifbar.

Der Benutzer hat nach wie vor eine Chance, wenn er denkt und mit Bedacht handelt.
Laufende Anwenderschulung und Sensibilisierung ist wichtiger denn je.

Abwehrmechanismen und Prevention, die jede Firma einhalten sollte

.. (Rechte einschränken, Backup) ..
Dann wird es etwas technischer  ....

Ich bin betroffen, was tun?

• Computer sofort vom Netzwerk trennen!

• Unbedingt Screenshoot ausdrucken. Der dort genannte Schlüssel ist notwendig für eventuell später mögliche Dechiffrierung und im Notfall für Lösegeldzahlung.


Das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" bringt zunächst verschärfte Anforderungen für Webserver-Betreiber und Meldepflichten für Telekommunikations-Provider und Kernkraftwerks-Betreiber.

Für sonstige Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen gilt das erst, wenn entsprechende Rechtsverordnungen in Kraft treten.


 
- Seite: 1 -