Welche Sicherheitstrends erwarten die Branche in diesem Jahr? Experten geben ihre Einschätzungen ab.
IT-Sicherheit wird nun auch für die Anwender zum Geschäft. Viele haben erkannt, dass das Wichtigste, was sie besitzen, ihre Daten und Systeme sind, die aber nur noch geschützt etwas wert sein können. "Es ist mittlerweile üblich, dass der CISO die Freigabe erteilen muss, wenn es darum geht, unternehmenskritische Daten zu schützen", betont Matthias Rosche vom Ismaninger Systemintegratoren Integralis die gewachsene Bedeutung von Security-Verantwortlichen in den Unternehmen. Sicherheit werde vielfach nicht mehr isoliert, sondern als wichtiger Bestandteil von IT-Projekten gesehen. Besonders im Mittelstand und darunter, wo die Security-Budgets nicht gerade üppig ausfallen, ist aber noch Luft nach oben:
Die Weiterentwicklung vom reinen IT- hin zum Business-Thema ist auch für Steve Durbin, Vice President des Information Security Forum (ISF), zweifelsohne festzustellen: "Je enger die Geschäftsbeziehungen ausfallen, desto größer und unberechenbarer werden die Sicherheitsanforderungen." Er unterstreicht die Bedeutung der gesamten Supply Chain eines Unternehmens für die Sicherheit: "Die Daten der Zulieferer sind mit die wichtigsten Informationen, die es gibt." Weil die Lieferkette zum Kerngeschäft gehört, bewegt sich auch deren Absicherung immer weiter in Richtung des Unternehmenszentrums.
Risiken verwalten
Wird der Anwender mobiler, wird er nicht zwangsläufig unsicherer - die Security-Strategie dahinter muss aber stimmen. Foto: fotolia.com/Benicce
Im Bereich Risiko-Analyse und -Management tut sich deshalb eine Menge. Je mehr kritische Daten bewegt werden, desto wichtiger werden deren Klassifizierung und Risikobewertung. Weil sich das aber nicht von jetzt auf gleich bewerkstelligen lässt, setzen Anwender in der Zwischenzeit vermehrt auf pauschale, schneller integrierbare Konzepte: Verschlüsselung, Gerätekontrolle, Netzwerküberwachung und Policies, auch um den gestiegenen regulatorischen Vorschriften Herr zu werden. Der zunehmende Einsatz von Mobilgeräten und Cloud-Services trägt dazu bei, dass kurzfristig reagiert werden muss. Mittel- und langfristige Sicherheitskonzepte sind derweil im Wartestand der sorgfältigen Eruierung.
Zeit für Experimente ist nicht - das trifft auch auf die Betreiber kritischer Infrastrukturen zu. In nächster Zeit befürchten viele Sicherheitsexperten vermehrt komplexe Angriffe auf Industriesteuerungs- und Produktionsanlagen, auf intelligente Stromnetze oder internetverbundene Logistik- und Verkehrsleitsysteme. "Wir werden erste Anzeichen für Angriffe auf kritische Industrieanlagen erleben", prognostiziert Costin Raiu, Virenforscher bei Kaspersky Lab. Er führt aus: "Die bemerkenswertesten IT-Sicherheitstrends für das Jahr 2013 werden neue Arten von Cyberkriegsoperationen, ein Anstieg zielgerichteter Attacken gegen Unternehmen und neue, hoch entwickelte mobile Bedrohungen sein."
(Mobile) Clients in Gefahr
Arne Ohlsen, Blue Coat, warnt vor neuen Gefahren aus dem Web. Foto: Blue Coat Systems
Was die Gefahren auf der Client-Ebene angeht, gibt es zahlreiche neue Angriffsvektoren und teils altbekannte Einfallstore für Malware, um in die Unternehmensnetze einzudringen. Größtes Ärgernis stellen nach Auskunft von Arne Ohlsen, tätig beim Web-Sicherheitsspezialisten Blue Coat Systems, die Suchmaschinen dar. Mehr als ein Drittel aller bekannt gewordenen erfolgreichen Web-Attacken auf Unternehmen in den vergangenen Monaten begannen mit dem so genannten SEO-Poisoning: Kriminelle manipulieren die Suchergebnisse der großen Portale wie Google, Bing oder Yahoo, um so möglichst viele Besucher auf Schadcode-Seiten zu lotsen. Dabei gehe es laut Ohlsen gar nicht mehr nur um tagesaktuelle Suchtermini wie früher einmal, sondern um alltägliche Populärthemen wie Gartenbau oder Inneneinrichtung. Darüber hinaus werden beliebte Websites gehackt, um den Besuchern Drive-by-Downloads unterzuschieben - besonders im Fokus stehen hier auch IT-Informationsseiten, die privilegierte Zielgruppen wie Datenbank- oder Netzwerkadministratoren ansprechen.
Das so genannte "Malvertising", also das Platzieren gefälschter Werbeanzeigen auf beliebten Portalen, die beim Anklicken den Client infizieren und Schadcode, der über soziale Netze weitergegeben wird, stellen weitere Bedrohungen auf Client-Seite dar. Zu schlechter Letzt ist ein alter Bekannter zurück: "Die Spam-Mail ist wieder auf dem Vormarsch", stellt Ohlsen fest.
Symantec-Mobilexperte Stefan Wesche stellt einen enormen Anstieg von Android-Malware fest. Foto: Symantec
Die Gefahren aus dem Web treffen auch die mobilen Plattformen mit Wucht - allen voran das offene System Android. Waren hier Anfang 2012 noch kaum mehr als einige Proof-of-Concepts im Umlauf, ist die wachsende "Trojanisierung" der App-Stores besonders im Google-Umfeld festzustellen. Von Anfang April bis Ende November habe sich die Zahl der Android-Schädlinge verzehnfacht, erläutert Symantec-Experte Stefan Wesche. Ohlsen unterstreicht: "Es gibt bereits acht uns bekannte dezidierte Malware Delivery Networks, die sich auf den mobilen Bereich spezialisiert haben und die nichts anderes tun, als Schädlinge über Android-Endgeräte zu distribuieren."
App-Stores im Security-Check Wie sicher sind die App-Stores von Apple, Google, Samsung, RIM, Nokia, Opera oder Microsoft? Wir haben die Marktplätze auf diverse Security-Features getestet.
Mobiload: App Developer Der App-Marktplatz Mobiload zum Beispiel ermöglicht das Einreichen von Apps zur Veröffentlichung ohne eigenes Benutzerkonto für den Entwickler. Da keine Authentifizierung des Entwicklers beim Hochladen der App vorgesehen ist, kann nicht ohne weiteres festgestellt werden, ob eine neue App tatsächlich von einem bereits bekannten Entwickler stammt.
Samsung Apps: Developer App-Anbieter registrieren sich bei Samsung Apps mit einem umfangreichen Profil und erhalten jeweils ein eigenes Benutzerkonto.
Google Play: App Developer Die Identität eines App-Entwicklers kann bei Google Play über die Zugangsdaten für das Google-Konto geprüft werden.
Apple: App Developer Der App Store von Apple setzt für die Einreichung von Apps eine Apple ID für den Entwickler voraus. Die erschwert die Übernahme eines legitimen Entwicklerkontos.
Windows Phone: Anmeldung Die Anmeldung der Entwickler im App Hub (Windows Phone Apps) erfolgt verschlüsselt, um ein Abhören der Zugangsdaten zu verhindern.
Soc.io Mall: Anmeldung Die Verschlüsselung der Anmeldeseite für die Entwicklerkonten von Soc.io Mall erfolgt nur teilweise.
Samsung Apps: Anmeldung Die Anmeldung als Entwickler oder Anbieter bei Samsung Apps erfolgte im Test ohne Verschlüsselung.
Opera: Anmeldung Auch die Anmeldung als Entwickler im App-Store von Opera sah im Test keine Verschlüsselung vor.
BlackBerry: Anmeldung Entwickler im App Store von BlackBerry (BlackBerry App World) benötigen zur Anmeldung eine BlackBerry ID. Die Anmeldung erfolgt verschlüsselt.
Apple: App-Reputation Anonyme, nicht nachvollziehbare Bewertungen werden im App Store von Apple dadurch vermieden, dass sich der Nutzer zuerst mit seiner Apple ID anmelden muss.
Google Play: App-Reputation Auch Google Play fordert eine Anmeldung für Erfahrungsberichte über Apps. Dies erschwert das Erzeugen gefälschter Bewertungen und erhöht den Wert einer guten App-Reputation.
Mobiload: App-Reputation Bei Mobiload kann ein Rating für Apps ohne jede Anmeldung vergeben werden.
SlideME: App-Reputation Während Ratings bei SlideME ohne Anmeldung anonym möglich sind, setzen Kommentare eine Anmeldung voraus. Ratings haben hier also eine geringere Aussagekraft als bei Marktplätzen, die die Vergabe von „Sternen“ nur angemeldeten Nutzern erlauben.
Amazon: App-Reputation Der App Store von Amazon nutzt das von Amazon bekannte Verfahren für Bewertungen, setzt dafür also ein Benutzerkonto voraus.
Samsung Apps: Reputation Bei Samsung Apps ist eine App-Bewertung ohne Anmeldung nicht möglich.
Opera: App-Reputation Der App Store von Opera setzt für das Rating einer App keine Anmeldung voraus.
Nokia: App-Reputation Der App Store von Nokia setzt eine Anmeldung voraus, wenn man eine App bewerten möchte.
OpenAppMkt: App-Reviews Der App-Marktplatz OpenAppMkt sieht in der Beschreibung des Registrierungsprozesses für neue Apps kein internes Review vor.
AndroidPIT: App-Reviews Bei AndroidPIT kann man einen kostenpflichtigen App-Test freiwillig anfordern.
Windows Phone: App-Reviews Microsoft betreibt ein Zertifizierungsprogramm für die Windows Phone Apps.
Fazit
Der über allem schwebende Security-Trend für das Jahr 2013 scheint klar: Es geht weg vom geräte- und systemzentrierten Sicherheitsansatz hin zu einer daten- und nutzerzentrierten Sichtweise. Wo welche Daten liegen, ist zweitrangig geworden - sieht man einmal von Compliance-Vorgaben und anderen Datenschutzgesetzen ab. Wichtig ist nunmehr, wie sich die Daten an sich schützen lassen - ob in der Cloud, auf dem Smartphone, auf der heimischen NAS, im virtualisierten Rechenzentrum oder auf dem Mainframe. Dass die Menge an Daten nicht gerade schrumpft, macht diese Idee zu einer umso größeren Aufgabe für Hersteller, Unternehmensanwender und jeden einzelnen Angestellten. Jeder von uns produziert heute so viele Daten wie noch nie, greift auf so viele fremderzeugte Daten wie noch nie zu. Datenanalyse führt zu Datenklassifizierung führt zu Datensicherheit und Datenschutz. Führt aber auch zu neuen Berufen wie Data Scientist, Data Analyst und Data Security Officer.
Die Perimetersicherheit mit den guten alten Firewalls, Virenscannern, Intrusion-Detection/Prevention-Systemen hat langsam, aber sicher ausgedient. Rudimentär wird sie zwar noch eine Zeit lang überleben - die große Geige spielen mittelfristig aber die Themen Verschlüsselung, Zugriffsschutz, Datenabflusskontrolle/DLP und Digitales Rechte-Management. Dahinter steckt auch eine Hoffnung, die Spezialisten schon lange hegen: IT-Security wird Commodity. Und das sollte im Interesse aller liegen.
Android Lost Free Mit „Android Lost Free“ steuern Sie Ihr Android-Smartphone aus der Ferne via SMS oder über das Internet. Ferner können Sie die Daten auf Ihrer SD-Karte löschen, Ihr verlorenes oder gestohlenes Handy per GPS finden. <br><br> Preis: Kostenlos
AntiVirus & Security PRO Die Premium-Version „AntiVirus & Security PRO“ schützt in Echtzeit Ihr Android-Smartphone oder –Tablet-PC vor Online-Angriffen, Viren, Malware und Spyware. Hierzu scannt die Lösung Anwendungen, Dateien sowie Einstellungen. <br><br> Preis: 10,99 Euro
App Lock „App Lock“ versieht installierte Applikationen mit einem Passwort oder Muster, um so den unberechtigten Zugriff zu verhindern. <br><br> Preis: 1,48 Euro
avast! Mobile Security „avast! Mobile Security” beinhaltet Handy-Diebstahlsicherung, mobile Security und Virenscanner mit Unstructured Supplementary Service Data (USSD) Blocker. User gerooteter Geräte erhalten ferner eine Firewall. <br><br> Preis: Kostenlos
Avira Free Android Security „Avira Free Android Security“ fasst mehrere Sicherheitsfunktionen zusammen. Es gibt SMS-, Anruf-Blocker, Remote-Sperrfunktion, Signalruf-Fernauslöser, Positionsbestimmung und Funktionen zur Gerätesteuerung via Webkonsole. Mit letzteren können Sie die Akkulaufzeit überwachen sowie maximal fünf Geräte verwalten. <br><br> Preis: Kostenlos
ES Sicherheits-Manager Mit „ES Sicherheits-Manager“ schützen Sie individuelle Bereiche Ihres Smartphones. Dies geschieht entweder via Passwort oder Geste. Wer möchte kann, zudem sein Handy sperren. Hierfür verschickt der User eine SMS mit einem entsprechenden Code an seine Rufnummer. Er kann sein Smartphone auch so konfigurieren, dass ein SIM-Karten-Wechsel das Gerät sperrt. <br><br> Preis: Kostenlos
G Data AntiVirus Free „G Data AntiVirus Free“ überprüft Ihr Gerät sowie die eingelegte SD-Karte auf eventuell vorhandene Schadsoftware und entfernt diese. Außerdem erhalten Sie eine Berichtigungskontrolle über alle installierten Apps. <br><br> Preis: Kostenlos
SafeWallet „SafeWallet“ schützt Ihre Passwörter vor Dritten, indem es alle Informationen mittels AES-256Bit verschlüsselt. Die Sicherheits-Lösung unterstützt zudem Dropbox-Cloud- sowie lokale Synchronisation. <br><br> Preis: 0,78 Euro
Lookout Security & Anti Virus Die Sicherheits-Lösung „Lookout“ schützt Android-Geräte vor Viren, Verlust oder Diebstahl. Die App scannt je nach Konfiguration das Smartphone täglich oder wöchentlich nach Viren und Spyware. Des Weiteren können Sie Ihr Gerät orten, Backups erstellen oder URLs blocken, die private Informationen stehlen.<br><br> Preis: Kostenlos
Dr. Web Antivirus Light „Dr. Web Antivirus“ schützt Ihr Android-Gerät vor Viren. Ein Dateiwächter überprüft via „on the fly“ alle Dateien. <br><br> Preis: Kostenlos
mSecure - Password Manager „mSecure“ verschlüsselt persönliche Informationen zu Log-ins, Bankkonten und Kreditkarten nach dem Blowfish-Algorithmus mit 256Bit. Das Programm beinhaltet auch einen Passwort-Generator sowie eine Backup-Funktion. <br><br> Preis: 7,99 Euro
SMS Filter „SMS Filter“ hilft Ihnen Ihr SMS-Posteingang von lästigen Nachrichten sauber zu halten. Sie fügen die zu sperrenden Rufnummern entweder aus dem Telefonbuch, aus der History Ihres SMS-Eingangs oder manuell der Blacklist zu. <br><br> Preis: Kostenlos
Zoner AntiVirus Free „Zoner AntiVirus Free“ umfasst mehrere Funktionen. Es schützt vor Viren, Trojanern, Würmern, Malware und Dialern. Darüber hinaus wurden ein Diebstahlschutz, Telefonfilter, eine Kindersicherung und ein Task-Manager integriert. <br><br> Preis: Kostenlos
Secrets for Android „Secrets for Android“ verschlüsselt Passwörter, Bankzugangsdaten, Kreditkarten- und weitere sensible Informationen im AES-256-Verfahren. <br><br> Preis: Kostenlos