Du bist hier:  Seitenreport    Artikel

Die Zukunft der Web-Sicherheit? (Gastbeitrag)

23. February 2011
Ralph DombachKommentare: 0

Zum dritten Mal veranstaltete die Firma Integralis ihre Security World. Rund 600 Teilnehmer aus der D-A-CH Region kamen zu Fachvorträgen und einer begleitenden Ausstellung. Einer der fünf Schwerpunktthemen war „E-Mail und Web-Sicherheit".

Mehrere Unternehmen präsentierten direkt in diesem Schwerpunktthema ihre Produktlösungen oder streiften das Thema auch bei anderen Vorträgen. Zielgruppe für alle Vorträge waren immer die KMUs oder die großen Konzerne. Für den klassischen Privat- oder Endanwender liefert die Veranstaltung zwar keine Produktlösungen, aber viele interessante Ideen, Hinweise oder Anregungen.

Vereinfacht lässt sich sagen:

  • SAAS (Security AAService [Manchmal auch Software As...]) nimmt weiterhin Fahrt auf. Nachdem die Hersteller bisher nur Produkte verkauft haben, nimmt das Angebot zu, diese auch für den Kunden zu betreiben.Diese Offert e reduziert i.d.R. beim Kunden die Betriebskosten.

  • Ohne „In The Cloud" geht es wohl nicht mehr. Klassische Lösungen wie ein Virenscanner setzen immer mehr auf zentrale Dienste, was u.a. auch eine permanente Internet-Verbindung voraussetzt.

  • Der Trend, nicht mehr Computerviren bzw. Virenfamilien zu zählen setzt sich durch. Es ist stattdessen üblich, unterschiedliche Binärdateien zu zählen. Das bedeute, dass bei einem verschlüsselten oder polymorphen Virus z.B. 50.000 Exemplare gezählt werden, anstatt ein Virus bzw. eine Familie.--> Ein polymorpher Virus verändert sein Erscheinungsbild, seinen Code. Beispiel: 4+3 = 7 aber 3+4 ist auch 7, aber der Programmcode ist ganz anders.

  • Der gewohnte „Dateivirus, der als EXE-Datei irgendwie verbreitet wird" ist so gut wie ausgestorben. Die Bedrohung geht heute vom WWW aus.

Jedes Jahr gibt es Veranstaltungen und Messen - jedes Jahr wird etwas Neues präsentiert, dass alles bisher Dagewesene in den Schatten stellt. Das ist ebenso üblich, wie jeder Hersteller irgendwo der Beste ist (Branchenführer, größte Datenbank, kürzeste Reaktionszeit, am längsten am Markt, die meisten Patente etc.).

Was von den präsentierten Sachen übrig bleibt, sieht man i.d.R nach 12 Monaten. Interessant ist aber die massive Nutzung des Schlagwortes „In The Cloud" (ItC) - wobei aber die Sichtweise, was sich dahinter verbirgt, wie die Services aussehen, teilweise gravierend von einander abweichen. Allerdings regen sich inzwischen schon Stimmen im Web, die „ItC" als vorübergehenden Hype abtun. Weshalb?

ItC kennt man, alle die z.B. mit Google Docs (o.ä.) arbeiten, nutzen ja schon Software-As-A-Service, die auf ItC-Dienstleistungen basieren. Die Frage ist aber, ob man so etwas auch mit Firmendaten tun will bzw. darf. Denn das Datenschutzrecht in Deutschland stellt da viele (unangenehme) Fragen. Wo beginnt ItC und wo hört ItC auf?

Wie steht es um die Belange eine Stellensuchenden, der eine Stellenbewerbung mit den üblichen Daten (Zeugnisse, Lebenslauf ...) an ein Unternehmen schickt, welches eine Schadsoftware-Prüfung mit einem ItC-Produkt abwickelt. Kann der Stellensuchende, sicher sein das sein Word-Dokument (welches unglückseligerweise mit einem Makro-Virus behaftet ist), nicht als Sample beim ItC-Dienstleister verbleibt?

Oder kann das Unternehmen, welches ItC-Dienste nutzt wirklich sicher sein, das nicht ein Geheimdienst, der mit der Staatsbelange-Flagge winkt, den Dienstleister „überredet", Daten eines Kunden herauszugeben?

Sicherheit ist u.a. auch einer Vertrauensfrage. Aber man sollte nicht zu paranoid sein und nun gleich überall einen Spion vermuten! Sicher ist aber, dass ItC, ebenso wie SAAS, viel zusätzliche Arbeit für Rechtsanwälte, Datenschützer und Firmenchefs bedeuten wird.

Aber Arbeit gibt es überall - Webseiten-Administratoren, sollten beispielsweise bei ihrem Webseiten-Hoster nachfragen, welche Vorkehrungen er trifft, um Schadsoftware zu erkennen bzw. zu eliminieren. Generell gilt dies auch für jeden Endanwender - denn wenn die Bedrohung aus dem Web kommt, muss man sich dagegen wappnen.

Eine aktuelle Webseite enthält unter Umständen viele verschiedene Elemente für den Besucher bereit, wie z.B.:

  • HTML-Code

  • JPG-Bilder

  • PDF-Dokumente

  • Javascript-Tools

  • Java-Applets

  • Externe Widgets

  • Verweise via IFrame

  • Sourcecodes im ZIP-, Zoo-, Arc-, CAB oder RAR-Achivformat

JPG-Bilder und PDF-Dokumente sind in letzter Zeit immer wieder negativ aufgefallen, durch Fehler im Format, der sich u.U. für einen Angriff ausnutzen lässt. IFRAMES sind eh immer kritisch zu sehen, denn sie können irgendwohin führen, ggf. zu einer Webseite, die eine Schwachstelle im Browser ausnutzt und so den Besucher infiziert. Es existieren viele unterschiedliche Bedrohungsansätze - und geben alle soll gleich gut ein Virenscanner helfen/schützen, den der Anwender auf seinem PC installiert hat?

Ein leichtes Stirnrunzeln mag da schon auftreten. Denn wenn ein einzelner Virenscanner all dies erkennen könnte, weshalb haben dann professionelle Web-Sicherheitsdienste so viel mehr an Funktionsumfang?

Einen guten Überblick gibt die Firma Cisco/ScanSafe in ihrem Vortrag „Security in The Cloud" (siehe Seite 17 bzgl. der genutzten Scanlets, die Schadsoftware erkennen).

Die Zeiten, da ein Virenscanner wirklich vor allen bekannten Viren schützte und einmal die Woche aktualisiert wurde, sind längst vorüber. Sicherheit ist heute ein Mehrfronten-Krieg, den der Webseiten-Administrator ebenso führen muss wie der Web-Nutzer. Beide sind in der Pflicht, sich Gedanken zu machen und Maßnahmen zum Schutz ihre Umgebung bzw. Ihres Angebotes zu machen. Dies beutet z.B. für den Webseiten-Adm

  • Nutzen der Security-Mechanismen die sein Frontend (Typo etc.) bietet

  • Nutzen der Zusatzservices, die sein Provider bietet

  • Nutzung von Scan-Services zur Überwachung des Web-Angebotes

  • Einspielen der freigegebenen Sicherheitspatche, die seine genutzten Produkte betreffen

  • Vermeiden von allem, was Risiken beinhaltet (Hacks, Dirty-Usage etc.)

  • Nutzen von Sicherheitsprodukten

  • Hinweise an den Anwender bzgl. Sicherheit

  • Überprüfen der AGBs bzgl. Haftung im Problemfall (Schadsoftware)

  • Betreiben von Risiko-Reduzierung, wo möglich (PDF mit Passwort-Schutz, ohne Edit)

Es ist eine Menge Arbeit, zweifelsohne - aber man sollte Sicherheit nicht als Bürde betrachten! Sicherheit ist ebenso ein Qualitätskriterium im Web, wie z.B. die Seiten-Ladezeit oder ein valider HTML-Code.

Wer noch etwas Motivation benötigt, dem seien die zahlreichen Vorträge zum durchlesen der Security World empfohlen, denn dort haben Experten ihr Wissen dargestellt. Und es ist wirklich so, vom Malware-Eisberg ist der größere Teil nicht sichtbar unter Wasser bzw. im Web verborgen!

Sicheres Arbeiten! 


Über den Autor

Ralph Dombach

Einstieg 1980 in das Berufsleben bei einem Elektro-/Elektronikkonzern. nach einigen Jahren als Operator erfolgte ein Wechsel in die wachsende Sparte der Computersicherheit.Seit 1987 mit Security befasst, Schwerpunkt Computerviren (JA - ich erlebte noch DOS-und Bootsektorviren). Entwurf und Programmierung von Schutzprogrammen (z.B. HASI) für DOS/Windows-Computer. Seit 1997 mehrheitlich in der Sicherheitsadministration tätig und beschäftigt mit dem Versuch, die breite Masse der Computeranwender für das Thema Sicherheit zu interessieren.Seit 2001 ein neuer Arbeitgeber, aber nach wie vor aktiv mit/für IT Security! 
www.secuteach.de

  •  
  • 0 Kommentar(e)
  •  

Kommentar hinterlassen

Zurück

Mehrfach empfohlen

Seitenreport ist einer der bekanntesten SEO und Website Analyse Dienste im deutschsprachigen Raum und wurde u.a. schon empfohlen:
von Mr. Wong im Wong Letter
vom Leserservice der Deutschen Post
vom Technik Blog SiN
und vielen anderen

Seitenreport API

Verfolge die SERP Positionen Deiner Keywords und erhalte Informationen über verwendete Mikroformate, frage die Ergebnisse unserer Analysen live ab oder greife auf unsere History-Datenbank zu. Dies alles bietet Dir die neue Seitenreport API. Kontaktiere uns, um weitere Infos zu erhalten.