PrintNightmare, HiveNightmare – was kommt da noch alles?
Die Druckerwarteschlange soll man abschalten, nachdem immer neue Schwachstellen (Quelle: Borns IT- und Windows-Blog) veröffentlicht werden.
Vielen Dank an Günter Born, der sich die Mühe macht, IT-Probleme zu dokumentieren. Ich nutze seine Arbeit immer wieder.
Nun kommt gleich das nächste Problem in Form von HiveNightmare (Quelle: Borns IT- und Windows-Blog) auf uns alle zu.
Tatsächlich funktioniert das verblüffend einfach (ich habe das natürlich gleich nachgestellt) und man bekommt so Zugriff zu sensiblen Sicherheitsinformationen.
Wie auch bei der Lücke mit der Druckerwarteschlange benötigt man zunächst aber einen Zugang zu einem Computer.
Somit ist die erste und wichtigste, eigentlich selbstverständliche Schutzmaßnahme, den Computer vor jeglichem, fremden Zugriff zu schützen.
Nun gibt es ja nicht nur die obigen Sicherheitslücken, sondern dazu auch mehr als genug Lösungsvorschläge, weshalb das nicht mein Thema sein soll.
Mir geht es um die Frage, ob wir in Zukunft mit weiteren Sicherheitsproblemen dieser Art konfrontiert werden.
Definitiv – Ja!
Die beiden oben genannten Probleme sind (so wie sehr viele andere) auf die Hauptschwachstellen jeder Softwareentwicklung zurückzuführen:
- Komplexität
- historische Altlasten
Die Programme, die wir heute einsetzen sind so umfangreich, dass es keinen einzelnen Menschen gibt, der die Programmierung komplett und bis in jedes Detail überblicken kann.
Somit ist die “aufgabenteilige Programmierung” heute die Regel.
Aber wie schon ein altes Sprichwort sagt: “viele Köche verderben den Brei”.
Kein Unternehmen wird in der Lage sein, ab einer bestimmten Komplexität der Programme, eine 100%-ige Qualität sicherzustellen.
Die vorhandenen Tools helfen nur dabei, eine höhere Qualität zu erreichen.
Der zweite Aspekt – besonders bei Systemen wie Windows oder Office – es wird immer auf dem vorhandenen Code aufgebaut und weiter entwickelt.
Das ist keine “Schwäche” nur von Microsoft Produkten sondern betrifft die ganze Welt der Softwarentwicklung.
Selbst wenn man neu beginnt ,ein Programm zu schreiben, verwendet man in der Regel “Frameworks” oder Entwicklungsumgebungen, die ihre Sicherheitsprobleme an die neuen Programme vererben.
Die obigen Sicherheitslücken gibt es schon längere Zeit. Sie wurden jetzt erst entdeckt.
Beide Punkte werden sich auf absehbare Zeit nicht ändern und so müssen wir damit rechnen, dass auch regelmäßig neue Schwachstellen aufgedeckt und ausgenutzt werden.
Die IT eines Unternehmens war früher (bildlich gesprochen) komplett in einem Haus.
Wenn man also die Türen und Fenster zur Außenwelt ausreichend geschützt hat, konnte man schon viel erreichen.
Heute arbeiten wir aber in Zelten, die überall in der Welt temporär aufgestellt werden. Deren Türen und Fenster lassen sich nicht mehr so einfach überwachen und absichern.
Die Schattenseiten der immer mobileren Arbeit am Computer sind unvermeidbar.
Die technischen Hilfsmittel, die neu eingeführt wurden, um uns besser zu schützen, sind keine Garantien sondern nur Optimierungen.
Was bleibt – der Mensch.
Wenn wir in Zukunft anders arbeiten, dann müssen wir die Anwender auch entsprechend qualifizieren.
Bekommen die Mitarbeiter in Ihrem Unternehmen eine spezielle Schulung zum Umgang mit Laptop, Smartphone und Tablet?
Oder drückt man denen die neuen Geräte einfach so in die Hand?
Gehen Sie nicht davon aus, das jemand der einen Laptop bedienen kann auch darüber informiert ist, welche Besonderheiten es bezogen auf die Informationssicherheit gibt.
Das ist kein Allgemeinwissen!
Nutzen Sie also jede Möglichkeit die “First-Line of Defence” zu schulen und für die tägliche Arbeit zu rüsten.
Den an dieser Stelle haben Sie tatsächlich viele Möglichkeiten, sich vor jeglichen bekannten und neuen Angriffen zu schützen.