Business-Sicherheit für 2011 - Fünf Sicherheitsstrategien im neuen Jahr Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


08.01.2011 Roger Grimes*

Business-Sicherheit für 2011 - Fünf Sicherheitsstrategien im neuen Jahr

Unternehmens-Administratoren aufgepasst: Welche neuen Bedrohungen erwarten Sie im Jahr 2011? Wir stellen Ihnen die größten Gefahren für die IT vor.

Wir stellen Ihnen in diesem Artikel eine Liste wichtiger Sicherheits-Trends für das Jahr 2011 vor. Wir werden aber weder über Cloud-Computing, noch über Virtualisierung noch über Gefahren für das Smartphone sprechen. Schließlich gibt es schon Dutzende Artikel zu diesen Themen.

Stattdessen möchten wir Ihnen fünf andere sicherheits-relevante Themen vorstellen, die ebenfalls ein großes Schadens-Potenzial besitzen und wie diese auf die Zukunft der IT-Systeme Einfluss nehmen werden. Wir gehen auf Web 2.0, benutzerdefinierbare IT, globale SSO (single sign-on), fortgeschrittene und hartnäckige neue Bedrohungen und das Ende von DMZ genauer ein. Schließlich werden Sie in diesem Jahr wahrscheinlich die eine oder andere Herausforderung aus einem dieser Bereiche meistern müssen.

WEB 2.0: WAS NICHT IM NETZ IST, KOMMT INS NETZ Vor einigen Wochen haben wir einen Kunden beraten, dessen neue Datenbank-Applikation auf Sicherheitsaspekte getestet werden sollte. Wir fanden die üblichen SDL (Security Design Lifecycle) Bugs, die bei Neuentwicklungen in großer Anzahl vorkommen. Uns bereitete jedoch sehr viel mehr Kopfschmerzen, dass die Entwickler für die Software lediglich eine traditionelle Offline-Programmiersprache genutzt haben. Es war nicht die kleinste Spur einer Web-Benutzeroberfläche auffindbar. Diesen Punkt haben wir den üblichen Test-Resultaten angefügt.

Die Entwickler antworteten uns, dass das Internet nicht für jede Applikation der richtige Platz sei. Sie begründeten dies vor allem mit den Leistungsdaten, da deren Software alle anderen Web-Applikationen um einen Faktor drei bei der Geschwindigkeit schlägt. Wir haben dem Leistungsaspekt soweit zugestimmt, uns jedoch vehement gegen die Aussage, dass nicht jede Applikation ins Internet gehört, gesträubt. Natürlich ist das Web nicht die beste Wahl für alle Applikationen der Welt. Schließlich können Programme in einer geschlossenen Umgebung programmiert werden, sodass kein Gedanke an die restliche Infrastruktur verschwendet werden muss. Aber schon seit Jahren verlassen beinahe alle Applikationen die geschlossene Umgebung und gelangen ins Web 2.0. Und was heute noch nicht im Internet herumschwirrt, wird morgen online gehen.

Der Kunde der Zukunft erwartet von einer Applikation, dass er sie über einen Webbrowser oder als Web-Service anwählen kann. Und das natürlich plattformunabhängig mal über den PC, dann wieder über ein Smartphone oder einen Tablet-PC. Verschiedene Schnittstellen oder VPNs schaffen hier auf Dauer keine Abhilfe. Sollte Ihre App nicht einfach über das Internet verfügbar sein, dann wird sie entweder nicht genutzt und verschwindet vom Markt oder sie muss neu programmiert werden. Deutlicher als heute waren die Signale noch nie. Deswegen sollten Programmierer diesen Trend nicht verschlafen.

Natürlich genügt es nicht eine App einfach im Internet zugänglich zu machen. Dies gilt vor allem für Applikationen, die eigentlich gar nicht internetbasiert arbeiten. Zwar wird eine solche Strategie auf kurze Sicht funktionieren, aber es wäre keine langfristige Lösung. Dazu gehören traditionelle Virtualisierungs-Techniken, offline-VPNs und Applikationen-Gateways. In Zukunft wird eine App nur überleben, wenn schon in der ersten Programmzeile der Grundstein für die Internetnutzung gelegt wird. Zwar sind die Applikationen über eine Web-Benutzeroberfläche dann langsamer, aber dies fällt nicht ins Gewicht.

SMARTPHONES GERATEN AUSSER RAND UND BAND Wir haben häufiger über die schwierige Aufgabe der IT-Admins berichtet, die schon heute immer mehr persönliche mobile Geräte und immer weniger fest-installierte Arbeitsplätze verwalten müssen. Smartphones und iPads werden in die Unternehmen geschwemmt und Administratoren versuchen fieberhaft die mobilen Geräte zu verwalten. Gerade auf der Sicherheitsebene haben alle Smartphone-Hersteller noch längst nicht ihre Hausaufgaben erledigt.

Es ist nicht nur, dass häufig einfache Richtlinien, wie eine minimale Passwortlänge und die Nutzung bestimmter Zeichen, nicht an alle Geräte übermittelt werden können. Administratoren können außerdem bisher kaum überprüfen, ob überhaupt ein Passwort genutzt wird. Die Überwachung von Aktualisierungen, Trojaner-Programmen und Anti-Malware-Software ist ebenfalls sehr kompliziert. Zwar können Geräte, welche die erteilten Richtlinien nicht erfüllen, normalerweise nicht auf kritische und wertvolle Daten zugreifen. Aber der Alltag zeigt, dass es immer irgendwo eine gewollte oder ungewollte Informationslücke gibt. Es geht schon so weit, dass bestimmte Geräte vorgaukeln die Richtlinien zu erfüllen, obwohl dies gar nicht der Fall ist. Willkommen in der schönen neuen Welt der vollen Verantwortung und nicht-existenten Kontroll-Mechanismen.

SYMBOLISCHE SICHERHEIT - MASTERPASSWÖRTER Das Internet und alle Cloud-Modi – privat, öffentlich, B2B, hybrid und weitere – ermöglichen unzählige Möglichkeiten. Und diese möchte der Nutzer auch als Gesamtheit mit nur einem einzigen Benutzernamen und Kennwort nutzen. Was schon im privaten Netzwerk nicht immer funktioniert, schwappt nun auch auf Unternehmen über.

Deswegen wird Ihnen früher oder später aufgetragen werden, den Zugang auch zu Systemen, die sich außerhalb Ihres Kontrollbereichs befinden, mit ein und demselben Passwort zu gewährleisten. Sie werden dazu webbasierte Standards, Cloud-Gateways und Claims-basierte Identitäts-Metasysteme nutzen. Anstatt sich über Authentifikations-Protokolle und Passwort-Hashes zu sorgen, werden Sie in Zukunft XML-basierte SAML (Security Assertion Markup Language) Zugänge schützen. Sollten Sie mit diesen Begriffen noch nicht vertraut sein, dann bietet die Seite identityblog.com (englisch) eine gute Einführung.

HACKER WERDEN ZU HAUSBESETZERN Früher brachen die professionellen bösen Jungs in einem Unternehmen ein, fanden heraus wo das Geld liegt, stahlen es und machten sich schnellstmöglich wieder aus dem Staub. Heutzutage verschanzen sich die Angreifer auf der Webseite mithilfe fortgeschrittener dauerhafter Hintertüren.

Das Ziel dieser Angriffe sind die unternehmensinternen Geheiminformationen und Urheberrechte. Die Eindringlinge wollen alles abstauben, was den Wert des Unternehmens ausmacht. Natürlich ohne einen Cent zu zahlen, um es danach selbst zu nutzen oder an Konkurrenten zu verkaufen. Das Masterpasswort-Problem verschärft die Gefahr weiterhin, da die Angreifer problemlos an diese herankommen und sich im Unternehmen festsetzen. Und erwischen Sie die Übeltäter auf frischer Tat, wird in Kürze der nächste Angriff erfolgen.

Warum kommen sie so einfach davon? Das organisierte Verbrechen agiert aus Ländern in denen sie rechtlich nicht verfolgt werden können. Und um sich aus den Krallen der hartnäckigen Schadsoftware zu lösen, müssten Sie tief im System Veränderungen vornehmen, die den Betriebsablauf mit Sicherheit stören werden. Wie schön wäre es doch, wenn unsere größten Sorgen Makro- und Boot-Viren wären, wie noch vor wenigen Jahren.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • ETC - Enterprise Training Center

    ETC - Enterprise Training Center E-Learning, Datenschutz, B2B Dienste und Lösungen, Outsourcing, IT-Personalbereitstellung, Aus- und Weiterbildung mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr

Hosted by:    Security Monitoring by: