Abseits von der Warnung vor konkreten Bedrohungen und passenden Sicherheitstipps lohnt es sich, einmal einen allgemeinen Blick darauf zu werfen, was Sicherheit in der EDV eigentlich bedeutet. Und da dies hier der 200ste Beitrag in meinem Blog ist, nutze ich den Moment für ein paar grundlegende Beobachtungen.
Sicherheit aus Anwender- und Expertensicht
2015 hat Google eine umfassende Untersuchung zu Sicherheitspraktiken vorgestellt. Die Daten aus dieser Untersuchung erlauben es, die Sicherheitspraktiken von Experten und normalen Anwendern miteinander zu vergleichen. Das (englischsprachige) Schaubild dort listet sehr unterschiedliche Herangehensweisen in absteigender Wertigkeit:
Anwender
- Verwenden Antivirus-Software
- Verwenden starke Passwörter
- Wechseln Passwörter oft
- Besuchen nur bekannte Webseiten
- Geben persönliche Informationen nicht weiter
Experten
- Installieren Software-Updates
- Verwenden einzigartige Passwörter
- Verwenden 2-Faktor-Anmeldung
- Verwenden starke Passwörter
- Verwenden einen Passwort-Manager
Besonders fällt ins Auge, dass Antivirus-Software bei den Experten keinen hohen Stellenwert besitzt, während Anwender Updates vernachlässigen. Experten wissen, dass Sicherheit in erster Linie ein Prozess ist, der Arbeit am System erfordert, vor allem in der Form von Updates und Aktualisierungen. Anwender machen es sich dem gegenüber häufig zu leicht: Sie glauben, dass ein Antivirusprogramm einen dauerhaften und zuverlässigen Schutz bietet, wobei ich nicht selten beobachte, dass nicht einmal diese Programme bei Anwendern Updates bekommen oder ihr Versagen aufgrund irgendwelcher Fehler überhaupt nicht bemerkt wird.
Sicherheit als Prozess
In der EDV ist Sicherheit kein Zustand, der bleibt, wenn er einmal eingerichtet ist. Anders als bei einem Auto, das mit Airbags, Knautschzone, Sicherheitsgurten, ABS und ESP usw. auch in 20 Jahren noch dasselbe Maß an Sicherheit bei einem Unfall bietet wie heute, sofern die Funktionen nicht defekt sind, erodiert die Sicherheit eines Computersystems mit hoher Geschwindigkeit. Es werden regelmäßig neue mehr oder weniger schwerwiegende und mehr oder weniger leicht ausnutzbare Sicherheitsprobleme entdeckt, die beseitigt werden müssen. Aus diesem Grund stehen für Experten Updates an erster Stelle. Software aller Art, nicht nur das Betriebssystem, muss ständig aktualisiert werden. Leider beobachte ich bei Anwendern häufig eine gewisse Unlust dazu, oder gar Unverständnis für Update-Meldungen. Fast bei jedem Rechner, den ich mir ansehe, melden sich gleich nach dem Start Update-Benachrichtigungen für Java, Flash, Acrobat oder andere Programme, die schon seit Monaten ignoriert wurden. Hier liegt einer der häufigsten Anwenderfehler in Bezug auf Sicherheit: Updates sind äußerst wichtig.
Die Update-Praxis von Windows (und leider auch z.B. Adobe) ist mit ihrem monatlichen Patchtag schon lange nicht mehr zeitgemäß. Updates und Patches müssten eigentlich mindestens täglich kommen. Bei Antivirusprogrammen ist sogar ein noch schnellerer Zyklus üblich, zumindest bei Bezahlversionen. Unter Linux ist es keine Seltenheit, dass sich das System einmal am Tag mit Updates meldet. Sicherheitslücken werden hier sehr zuverlässig meist innerhalb weniger Stunden nach dem Bekanntwerden geschlossen. Bei Windows muss man auch schon mal einen ganzen Monat und mehr verstreichen lassen, bis man endlich wieder etwas mehr Sicherheit bekommt.
Im Mobilbereich sieht die Situation oft noch unerfreulicher aus, da Updates zumindest für das Betriebssystem hier meist schon nach kurzer Zeit vollständig ausbleiben. Android erhält von den Herstellern nur schleppend und nicht lange Updates, auch wenn Google sie eigentlich bereitstellt; Windows 10 Mobile erreicht sang- und klanglos ein End-of-Life nach nicht mal zwei Jahren, und selbst auf dem Desktop sieht es genau so aus, wenn man die vollständigen Betriebssystem-Upgrades unter dem Namen „Windows 10“ vermeidet: ein Windows 10 der ersten Stunde ist jetzt bereits vom Upgrade-Zyklus abgeschnitten, wenn man den vollständigen Austausch des Systems durch das Creator-Upgrade nicht durchführt. Bei iOS ist die Situation etwas besser, hier kommen die Geräte etwas länger in den Genuss von Systemupgrades.
Die Sicherheit eines Systems ist also nur dann gewährleistet, wenn beständig etwas dafür getan wird: vor allem umfasst das laufende Aktualisierungen, aber auch fortlaufende Weiterbildung und Wachsamkeit.
Im Fadenkreuz der Angriffe
Bei weitem nicht jedes Sicherheitsproblem wird tatsächlich für konkrete Angriffe genutzt. Die reine Zahl geschlossener oder auch offener Lücken sagt deshalb nicht unbedingt etwas über die konkrete Sicherheits-Situation aus. Viele technische Lücken, die in der Presse als besonders gefährlich dargestellt werden, sind nur unter besonderen Umständen oder mit umfangreicher Vorbereitung nutzbar. Oft kommt es gar nicht dazu. Und es ist zunehmend auch nicht mehr notwendig, sich auf technische Schwächen zu konzentrieren.
Praktisch jeder Angriff kann auf einer Skala zwischen zwei Extrempunkten eingeordnet werden. Am einen Ende dieser Skala befinden sich Angriffe auf Sicherheitslücken, die vollständig ohne Interaktion mit dem Anwender ablaufen, am anderen Ende der Angriff auf den Anwender selbst, der dahingehend manipuliert wird, ohne Ausnutzung technischer Lücken eine Schadsoftware zu installieren oder Daten preiszugeben (Phishing). Die meisten Angriffe lassen sich zwischen diesen Extrempunkten ansiedeln, wobei ich in den letzten Jahren beobachte, dass eine immer stärkere Verschiebung zum Anwender hin stattfindet. Das heißt, zunehmend wird der Anwender dahingehend manipuliert, bei der Infektion seines Systems mitzuwirken. Das liegt daran, dass die Systeme auf der einen Seite sicherer werden, wodurch völlig automatische Infektionen erschwert werden, auf der anderen Seite aber immer mehr Anwender nicht einmal einfachstes Grundlagenwissen mitbringen. Es ist viel leichter, den Menschen anzugreifen, als die Maschine.
Was der Anwender tun sollte
Werfen wir noch einmal einen Blick auf das, was Anwender nach der oben angeführten Liste für ihre Sicherheit tun.
Antivirus-Software
Über Antivirus-Software habe ich schon sehr häufig berichtet. Sie hat nur auf Windows-Systemen (und ggfs. auf E-Mail-Servern zum Aussortieren gefährlicher Anhänge) überhaupt Sinn, und sie kann selbst ein großes Sicherheitsrisiko darstellen. Sie bietet, wenn sie gepflegt wird, tatsächlich zusätzliche Sicherheit: aber wenn sie eine Schadsoftware entdeckt, dann ist diese bereits viel weiter vorgedrungen, als sie es eigentlich dürfte. Wenn Sie einen E-Mail-Anhang erhalten, der schädlich ist, hat der Virenscanner ihn nicht rechtzeitig aussortiert. Wenn Sie ihn öffnen können und der Scanner auch dann nicht anschlägt, hat der Virenschutz bereits vollständig versagt. Der Schutzwert von Virenscannern geht tatsächlich zunehmend zurück. Sich ausschließlich darauf zu verlassen, ist ein großer Fehler.
Passwörter
Sicherheitsbewusste Anwender verwenden laut Liste (Punkte 2 und 3) starke Passwörter und wechseln diese. Abgesehen von den Updates haben alle vier weiteren Punkte auf Expertenseite etwas mit Passwörtern zu tun. Hier haben wir also eine gewisse Übereinstimmung.
Starke Passwörter sind leider sehr schwierig zu merken. Was viele Anwender für ein starkes Passwort halten, ist oft bei weitem schwächer als gedacht. Und wer sich tatsächlich ein starkes Passwort merkt, dieses aber für viele Dienste einsetzt, schwächt sein Passwort, da es nur an einer der Stellen gestohlen werden muss, um es auch woanders missbrauchen zu können. Ist ein starkes Passwort einmal bekannt, ist es überall wertlos. Deshalb setzen die Experten nicht nur auf starke, sondern einzigartige Passwörter.
Die Experten benutzen zu diesem Zweck Passwort-Manager, also Programme, die die Passwörter selbst verwalten und nur ein Haupt-Passwort vom Benutzer verlangen. Ich selbst bevorzuge ein Passwort-Bildungssystem, bei dem ich aus dem Namen des Dienstes ein individuelles und sicheres Passwort konstruieren kann, ohne dieses notieren oder auswendig lernen zu müssen. Beide Herangehensweisen unterstützen die Verwendung unterschiedlicher sicherer Passwörter für alle Dienste. Wird eines der Passwörter bekannt, bleiben die anderen Dienste trotzdem gesichert.
Der Wechsel von Passwörtern, sofern diese nicht nachweisbar kompromittiert wurden, ist hingegen wenig nützlich. Es hat keinen Sinn, ein gutes Passwort turnusmäßig durch ein anderes gleichwertig gutes Passwort zu ersetzen, das erhöht die Sicherheit nicht. Wenn es beispielsweise 5 Jahre dauern würde, alle möglichen Kombinationen aus 12 Buchstaben, Zahlen und Sonderzeichen durchzuprobieren, dann würde ein Wechsel des Passworts innerhalb dieser Zeit nur dann einen Sicherheitsgewinn bringen, wenn ein solcher Berechnungsversuch tatsächlich läuft und das geänderte Passwort dann zufällig eine Kombination ist, die zum Zeitpunkt der Änderung bereits probiert worden ist. In allen anderen Fällen ist es lediglich ein sinnloser Tausch.
2-Faktor-Anmeldung
Die 2-Faktor-Anmeldung ergänzt die Passwort-Sicherheit um eine zusätzliche Anforderung, z.B. die Eingabe eines per SMS oder Code Generator übermittelten Codes. Viele Webseiten und Dienste wie Facebook oder Dropbox bieten diese Möglichkeit, und sie sollte überall, wo es sie gibt und wo sensitive Daten im Spiel sind, genutzt werden, auch wenn das lästig erscheint. Dann wäre nämlich die Sicherheit auch dann noch gewährleistet, wenn das Passwort bekannt wird. Es nutzt einem Datendieb nichts, mein Dropbox-Passwort zu kennen, wenn Dropbox bei Verbindungsversuchen von unbekannten (also nicht mir gehörenden) Rechnern erst einmal per Benachrichtigung auf meinem Handy einen Code bereitstellt, der zusätzlich anzugeben ist. Da müsste der Dieb auch noch mein Handy besitzen oder mich dazu bringen, ihm diesen Code zu nennen.
Auch die Annahme und Verwendung neuerer Sicherheitstechniken, wie es die 2-Faktor-Anmeldung ist, ist Teil des Prozesses der EDV-Sicherheit.
Besuch bekannter Webseiten
Sich auf bekannte Webseiten zu beschränken, bedeutet keine zusätzliche Sicherheit, da auch und gerade bekannte und verbreitete Webseiten z.B. durch Cross-Site Scripting und schädlich modifizierte Werbeeinblendungen durchaus zur Verteilung von Schadsoftware genutzt werden. Darüber hinaus beraubt man sich des Nutzens des Internets, wenn man nur seine ausgetretenen Pfade läuft. Dass Gefahren nur auf halbseidenen Angeboten (Sex und Raubkopien) lauern, ist eine Fehleinschätzung.
Weitergabe persönlicher Informationen
Natürlich bietet es einen gewissen Schutz, persönliche Daten nicht reflexartig weiterzugeben (z.B. Phishing). Häufig beobachte ich aber, dass Anwender ihre Besorgnis an den falschen Stellen ins Spiel bringen. Wer z.B. sein Handy als Navigationssystem benutzen will oder lokale Suchergebnisse bevorzugt, kann nicht die Standortdienste abschalten. Wer Sprachsuchen verwenden will, kann sich nicht darüber aufregen, dass Geräte Sprachinformationen aufnehmen und auswerten. Datenschutz ist wichtig, aber man muss sich gut überlegen, welche Daten schützenswert sind und welche Nutzung unserer Daten durch Dritte uns einen Vorteil bietet.
Aus Sicht der System-Sicherheit sind persönliche Daten zweitrangig.
Fazit
Wie dargestellt, ist es zunehmend der Anwender, also Sie, der ins Fadenkreuz der Angriffe gerät. Nur noch sehr seltene Angriffe erfordern keine Mithilfe des Anwenders. Es ist Ihre Aufgabe, die Sicherheit Ihres gesamten Systems durch Updates, soweit verfügbar, und durch regelmäßige Fortbildung und Wachsamkeit zu gewährleisten. EDV-Sicherheit ist kein einmal erreichter, dauerhafter Zustand, sondern ein Prozess, der Aufmerksamkeit verlangt.