Zum dritten Mal veranstaltete die Firma Integralis ihre Security World. Rund 600 Teilnehmer aus der D-A-CH Region kamen zu Fachvorträgen und einer begleitenden Ausstellung. Einer der fünf Schwerpunktthemen war "E-Mail und Web-Sicherheit".
Mehrere Unternehmen präsentierten direkt in diesem Schwerpunktthema ihre Produktlösungen oder streiften das Thema auch bei anderen Vorträgen. Zielgruppe für alle Vorträge waren immer die KMUs oder die großen Konzerne. Für den klassischen Privat- oder Endanwender liefert die Veranstaltung zwar keine Produktlösungen, aber viele interessante Ideen, Hinweise oder Anregungen.
Vereinfacht lässt sich sagen:
SAAS (Security As AService [Manchmal auch Software As...]) nimmt weiterhin Fahrt auf. Nachdem die Hersteller bisher nur Produkte verkauft haben, nimmt das Angebot zu, diese auch für den Kunden zu betreiben.Diese Offert e reduziert i.d.R. beim Kunden die Betriebskosten.
Ohne „In The Cloud" geht es wohl nicht mehr. Klassische Lösungen wie ein Virenscanner setzen immer mehr auf zentrale Dienste, was u.a. auch eine permanente Internet-Verbindung voraussetzt.
Der Trend, nicht mehr Computerviren bzw. Virenfamilien zu zählen setzt sich durch. Es ist stattdessen üblich, unterschiedliche Binärdateien zu zählen. Das bedeute, dass bei einem verschlüsselten oder polymorphen Virus z.B. 50.000 Exemplare gezählt werden, anstatt ein Virus bzw. eine Familie.--> Ein polymorpher Virus verändert sein Erscheinungsbild, seinen Code. Beispiel: 4+3 = 7 aber 3+4 ist auch 7, aber der Programmcode ist ganz anders.
Der gewohnte „Dateivirus, der als EXE-Datei irgendwie verbreitet wird" ist so gut wie ausgestorben. Die Bedrohung geht heute vom WWW aus.
Jedes Jahr gibt es Veranstaltungen und Messen - jedes Jahr wird etwas Neues präsentiert, dass alles bisher Dagewesene in den Schatten stellt. Das ist ebenso üblich, wie jeder Hersteller irgendwo der Beste ist (Branchenführer, größte Datenbank, kürzeste Reaktionszeit, am längsten am Markt, die meisten Patente etc.).
Was von den präsentierten Sachen übrig bleibt, sieht man i.d.R nach 12 Monaten. Interessant ist aber die massive Nutzung des Schlagwortes „In The Cloud" (ItC) - wobei aber die Sichtweise, was sich dahinter verbirgt, wie die Services aussehen, teilweise gravierend von einander abweichen. Allerdings regen sich inzwischen schon Stimmen im Web, die „ItC" als vorübergehenden Hype abtun. Weshalb?
ItC kennt man, alle die z.B. mit Google Docs (o.ä.) arbeiten, nutzen ja schon Software-As-A-Service, die auf ItC-Dienstleistungen basieren. Die Frage ist aber, ob man so etwas auch mit Firmendaten tun will bzw. darf. Denn das Datenschutzrecht in Deutschland stellt da viele (unangenehme) Fragen. Wo beginnt ItC und wo hört ItC auf?
Wie steht es um die Belange eine Stellensuchenden, der eine Stellenbewerbung mit den üblichen Daten (Zeugnisse, Lebenslauf ...) an ein Unternehmen schickt, welches eine Schadsoftware-Prüfung mit einem ItC-Produkt abwickelt. Kann der Stellensuchende, sicher sein das sein Word-Dokument (welches unglückseligerweise mit einem Makro-Virus behaftet ist), nicht als Sample beim ItC-Dienstleister verbleibt?
Oder kann das Unternehmen, welches ItC-Dienste nutzt wirklich sicher sein, das nicht ein Geheimdienst, der mit der Staatsbelange-Flagge winkt, den Dienstleister „überredet", Daten eines Kunden herauszugeben?
Sicherheit ist u.a. auch einer Vertrauensfrage. Aber man sollte nicht zu paranoid sein und nun gleich überall einen Spion vermuten! Sicher ist aber, dass ItC, ebenso wie SAAS, viel zusätzliche Arbeit für Rechtsanwälte, Datenschützer und Firmenchefs bedeuten wird.
Aber Arbeit gibt es überall - Webseiten-Administratoren, sollten beispielsweise bei ihrem Webseiten-Hoster nachfragen, welche Vorkehrungen er trifft, um Schadsoftware zu erkennen bzw. zu eliminieren. Generell gilt dies auch für jeden Endanwender - denn wenn die Bedrohung aus dem Web kommt, muss man sich dagegen wappnen.
Eine aktuelle Webseite enthält unter Umständen viele verschiedene Elemente für den Besucher bereit, wie z.B.:
HTML-Code
JPG-Bilder
PDF-Dokumente
Javascript-Tools
Java-Applets
Externe Widgets
Verweise via IFrame
Sourcecodes im ZIP-, Zoo-, Arc-, CAB oder RAR-Achivformat
JPG-Bilder und PDF-Dokumente sind in letzter Zeit immer wieder negativ aufgefallen, durch Fehler im Format, der sich u.U. für einen Angriff ausnutzen lässt. IFRAMES sind eh immer kritisch zu sehen, denn sie können irgendwohin führen, ggf. zu einer Webseite, die eine Schwachstelle im Browser ausnutzt und so den Besucher infiziert. Es existieren viele unterschiedliche Bedrohungsansätze - und geben alle soll gleich gut ein Virenscanner helfen/schützen, den der Anwender auf seinem PC installiert hat?
Ein leichtes Stirnrunzeln mag da schon auftreten. Denn wenn ein einzelner Virenscanner all dies erkennen könnte, weshalb haben dann professionelle Web-Sicherheitsdienste so viel mehr an Funktionsumfang?
Einen guten Überblick gibt die Firma Cisco/ScanSafe in ihrem Vortrag „Security in The Cloud" (siehe Seite 17 bzgl. der genutzten Scanlets, die Schadsoftware erkennen).
Die Zeiten, da ein Virenscanner wirklich vor allen bekannten Viren schützte und einmal die Woche aktualisiert wurde, sind längst vorüber. Sicherheit ist heute ein Mehrfronten-Krieg, den der Webseiten-Administrator ebenso führen muss wie der Web-Nutzer. Beide sind in der Pflicht, sich Gedanken zu machen und Maßnahmen zum Schutz ihre Umgebung bzw. Ihres Angebotes zu machen. Dies beutet z.B. für den Webseiten-Adm
Nutzen der Security-Mechanismen die sein Frontend (Typo etc.) bietet
Nutzen der Zusatzservices, die sein Provider bietet
Nutzung von Scan-Services zur Überwachung des Web-Angebotes
Einspielen der freigegebenen Sicherheitspatche, die seine genutzten Produkte betreffen
Vermeiden von allem, was Risiken beinhaltet (Hacks, Dirty-Usage etc.)
Nutzen von Sicherheitsprodukten
Hinweise an den Anwender bzgl. Sicherheit
Überprüfen der AGBs bzgl. Haftung im Problemfall (Schadsoftware)
Betreiben von Risiko-Reduzierung, wo möglich (PDF mit Passwort-Schutz, ohne Edit)
Es ist eine Menge Arbeit, zweifelsohne - aber man sollte Sicherheit nicht als Bürde betrachten! Sicherheit ist ebenso ein Qualitätskriterium im Web, wie z.B. die Seiten-Ladezeit oder ein valider HTML-Code.
Wer noch etwas Motivation benötigt, dem seien die zahlreichen Vorträge zum durchlesen der Security World empfohlen, denn dort haben Experten ihr Wissen dargestellt. Und es ist wirklich so, vom Malware-Eisberg ist der größere Teil nicht sichtbar unter Wasser bzw. im Web verborgen!
Sicheres Arbeiten!