Freitag, Mai 17, 2024

Peinliche Datenpannen

Der böse Software-Wurm Conficker brachte es in die Schlagzeilen. Aber Hightech-Bedrohungen sind nur die halbe Miete. Selbst Organisationen oder Unternehmen sind manchmal offen wie ein Scheunentor, weil einfache Grundregeln der Security oder Vertraulichkeit nicht beachtet werden.

Wochenlang rätselten Publikums- und Fachmedien, was der technisch besonders teuflische IT-Wurm Conficker wohl anrichten würde, wenn er sein erstes Wirken ausgerechnet am »Scherztag« 1. April entfaltet. Aber April, April: Der befürchtete weltweite Zusammenbruch des Internets blieb aus, eine Entwarnung kann freilich auch nicht gegeben werden. Sicherheitsdienstleister und die Fachpresse identifizierten bislang A-, B- und C-Varianten, die zwar immer trickreich, aber unterschiedlich bösartig vorgehen. Der Hintergrund: Conficker verhält sich nicht anders als andere altbekannte IT-Würmer. Über Netzwerke und hier vor allem natürlich über das Internet versucht er, Kontrolle über möglichst viele einzelne PCs zu erlangen.

Eine Schwachstelle im Betriebssystem oder Anwenderprogrammen – im Fachjargon Vulnerability genannt – genügt, damit sich die Malware erfolgreich festsetzen kann und die Kontrolle über den PC, oder noch schlimmer, einen Server übernimmt. Ein harmloses Spiel von fröhlichen Crackern ist das schon lange nicht mehr. Das »Geschäft« wird seit Jahren von mafiösen Organisationen gesteuert, die die so »gekaperten« PCs in bare Münze umwandeln. Dann wird erpresst, Firmengeheimnisse und Kontodaten verkauft oder die ferngesteuerte IT wird als dezentraler Mail-Server für Junk-Mails missbraucht.

»Zielgruppe« Business
Besonders bitter ist, dass die IT-Mafia nicht nur bei oft schlecht gesicherten Privat-PCs ein leichtes Spiel hat. Bezeichnend ist, dass sich der Conficker-Wurm bevorzugt bei Organisationen und Unternehmen aller Schattierungen eingenistet hat. Kein Wunder, dort findet man auch wesentlich interessantere Daten als die Fotos von Omas letzter Geburtstagsfeier. »Es ist traurig, aber vielen Anwendern fehlt immer noch das Bewusstsein für Sicherheit«, umreißt Gerhard Göschl, Security-Chef bei Microsoft Österreich, die Situation. Manchmal dürften freilich auch die Lizenzen fehlen, um ohne schlechtes Gewissen in den Genuss automatischer Software-Updates zu kommen (siehe Kasten). Ein beliebtes Einfallstor für böse Buben sind die Office-Formate von Microsoft. Sie sind fast überall im Einsatz und sie haben – wie jede Software – Sicherheitslücken. Security-Patches, und auch das ist fast unvermeidlich, sind nicht immer zeitnah verfügbar.

Und selbst wenn solche Patches verfügbar sind, werden sie lange nicht von allen Anwendern eingespielt. Seit fast einem Jahr prüft der Report, was so an doc-, ppt- oder xls-Attachments via Mail verschickt wird – und erlebte blaue Wunder. Manchmal sind es mehr, manchmal weniger: Aber rund ein Drittel der Attachments fällt etwa durch einen Schwachstellentest mit dem Vulnerability-Scanner »OfficeCat«. Ein paar Highlights: Auch Security-Unternehmen verschicken fragwürdige Dokumente, die uralte und längst behobene Schwachstellen aufweisen. Banken, Industrie, PR-Agenturen, Interessensvertreter, Flugsicherung, IBM und Co: Die Liste lässt sich fast beliebig fortsetzen. Sehr selten, aber doch patzt sogar Microsoft.

Bauanleitung oder Darmrezept gefällig?
Aber nicht nur die gebräuchlichen MS-Office-Formate verdienen mittlerweile Beachtung. Auch das Adobe-Format PDF ist nicht mehr unkritisch. »Wir beobachten, dass seit Sommer letzten Jahres die Zahl der PDF-Angriffe extrem zugenommen hat und sich von Monat zu Monat verdoppelt«, konstatiert Göschl. Ganz falsch dürfte Göschl damit nicht liegen. Selbst Linux- und Mac-User sahen sich erst kürzlich mit einer schwerwiegenden Lücke einer PDF-Open-Source-Komponente konfrontiert. Zeitnahe Updates sind also auch für diese vorgeblich sicheren Systeme ein Muss. Wo ebenfalls häufig gepatzt wird, ist die saubere Trennung von internem Netzwerk und dem öffentlichen Internet. Der Report konnte problemlos ein Rezept gegen Darmverstopfung aufspüren, das der IT-Administrator einer Tierkörperverwertung im nichtöffentlichen Bereich seiner Webseite abgespeichert hatte. Hackerkünste sind dazu nicht notwendig. Mit ein paar Unix-Tools in Kombination mit Suchmaschinen lassen sich solche Einblicke – völlig legal natürlich – sogar automatisieren.

Interessanter als Darmrezepte sind freilich andere Infos, die sich so finden lassen. Sie brauchen die Daten aller wichtigen rumänischen Bank-Consulter? Kein Problem. Eine österreichische Bank liefert das frei Haus. Ebenso Wohnadresse, Handynummer und der private E-Mail-Anschluss eines Vorstands. Aber es geht noch pikanter: Wollten Sie immer schon den Mafia-Beauftragten eines zentralen Nato-Staates anrufen? Auch kein Problem. Für Börsianer interessant: Auch Vertragsdetails über dicke und unveröffentlichte Waffendeals lassen sich so finden. Auch die Techniker werden fündig. Wer ein technisches Subsystem eines der modernsten »Flüster-U-Boote« der Welt ein bisschen genauer nachbauen will als im Modellbausatz um 29 Euro, findet ebenfalls wertvolle Informationen. Fast schon skurril: Via Powerpoint warnt etwa der Information-Security-Officer einer Nato-Einheit seine Kollegen vor vielfältigen IT-Gefahren. Der kleine Schönheitsfehler: Auch diese ppt-Datei ist leider »vulnerable«.

Tipps: Die wichtigsten Minimalmaßnahmen
Selbst kleine Unternehmen ohne IT-Abteilung können die Sicherheit oder Vertraulichkeit ihrer Daten mit einfachen Mitteln erhöhen. So banal das klingt, aber selbst in großen Organisationen wird das nicht immer beachtet: Updates, Updates! Das gilt sowohl für das Betriebssystem wie die beliebten Office-Anwendungen. Wer hier schlampt, ist zumeist selber schuld. Marktführer Microsoft bietet automatische Update-Funktionen. Gültige Software-Lizenzen sollte man dafür freilich schon besitzen. Auch alternative Betriebssysteme wie Linux oder MacOS bieten seit Urzeiten automatische Updates.

Lästig, aber notwendig: Speziell für Microsoft-Betriebssysteme sind auch regelmäßige Updates für Firewall- oder Anti-Virensoftware ein Muss.
Eine saubere Trennung von Intranet und Internet: Selbst große Organisationen, bei denen man das nie vermuten würde, gelingt dieses »Pflichtprogramm« nicht immer. Oft genug gelangen so vertrauliche Dokumente und Daten an die Öffentlichkeit.

Die beliebten MS-Word-Dokumente sind geschwätziger, als viele Anwender immer noch vermuten würden. Sind die Funktionen nicht deaktiviert, verraten sie etwa Versionsgeschichte, Textrevisionen oder Sachbearbeiter. Klingt harmlos, kann aber enorme Konsequenzen haben: Im Jänner 2003 stolperte Ex-Britenpremier Tony Blair beinahe über einen harmlosen PR-Text, der den Irakkrieg begründen sollte. Das ging nur so lange gut, bis sich ein findiger Journalist das doc einmal näher ansah – und so den Inhalt als geschönte Lügengeschichte enttarnen konnte.

Details

Meistgelesene BLOGS

Firmen | News
01. März 2024
Deutsch-Österreichisches Technologieforum: Transformation der Wirtschafts- und Energiesysteme
Unter dem Motto „Mission Zukunft - Transformation der Wirtschafts- und Energiesysteme" veranstalten die Deutsche Handelskammer in Österreich in Kooperation mit Fraunhofer Austria Research das Deutsch-...
Read More
Nicole Mayer
26. Jänner 2024
Jetzt einreichen: Staatspreis sucht exzellente Betriebe
Der Bewerb um die höchste staatliche Auszeichnung für Unternehmensqualität in Österreich ist eröffnet. Gemeinsam mit dem Bundesministerium für Arbeit und Wirtschaft (BMAW) sucht Quality Austria wieder...
Read More
Firmen | News
14. März 2024
Letzte Chance: Sind Sie Österreichs „CISO of the Year"? Anmeldungen noch bis 29. März 2024 möglich
Bereits zum dritten Mal verleiht die auf Informationssicherheit spezialisierte Zertifizierungsinstanz CIS - Certification & Information Security Services GmbH die begehrte Personenauszeichnung „CI...
Read More
Alfons A. Flatscher
26. Jänner 2024
Neues statt sparen
Ganz oben auf der Agenda unserer Leser*innen steht: Neues schaffen! Wir haben gefragt, 150 Leser*innen haben uns qualifizierte Antworten geliefert. (Zum Artikel: Chancen überall, nicht erst ab 2025) D...
Read More
Katharina Bisset
07. Februar 2024
Digital Services Act: neue Pflichten für Plattformen, Marktplätze und Co.
Ab 14. Februar 2024 müssen alle Pflichten des Digital Services Act von betroffenen Unternehmen umgesetzt werden – aber was bedeutet dies konkret? Der Umfang der Pflichten hängt davon ab, welche Dienst...
Read More
Firmen | News
25. März 2024
Copilot für Microsoft 365: Die Zukunft der Arbeit durch nahtlose KI-Integration
Die Arbeitswelt befindet sich im Wandel und Künstliche Intelligenz (KI) spielt dabei eine entscheidende Rolle. Unternehmen weltweit erkennen zunehmend die Bedeutung von KI für ihre Produktivität und W...
Read More
Alfons A. Flatscher
21. März 2024
Kritisch & kreativ
 Mit KI-Technologien bleibt kein Stein auf dem anderen. Ganze Berufsstände, die sich bisher unangreifbar fühlten, geraten plötzlich in eine Krise. Legionen von Programmierern arbeiten gerade an d...
Read More
Mario Buchinger
22. Jänner 2024
Braucht die Organisationsentwicklung noch Coaching und Consulting?
In der Consulting- und Coaching-Branche gibt es sicher einige Leute, die kompetent Organisationen unterstützen können. Aber viele der Coaches und Consultants nützen meist nur sich selbst. Worauf Unter...
Read More

MEDIADATEN

REPORT (+) 2024 
Bau & Immobilien REPORT 2024 
 REPORT Online
  Datenschutzerklärung   Allgemeine Geschäftsbedingungen

Log in or Sign up

Social Icon Social Icon Social Icon Social Icon Social Icon
Suche

Selected Filters

Open Filters
Geek ElasticSearch powered by JoomlaGeek.com