Ilja- posted on
- Kommentare deaktiviert für Aktuelles und Gedanken – BSI Cybersicherheit 2024
Das „Bundesamt für Sicherheit in der Informationstechnologie“ (BSI) veröffentlichte vor kurzem die Ergebnisse einer Befragung zur Cybersicherheit.
Die Ergebnisse können hier geladen werden:
Unter „sicher“ oder „Sicherheit“ stellt sich jeder Mensch etwas anderes vor. Leider wird der BSI-Bericht hier nicht konkret.
Für Einen ist „sicher“, dass er merkt, wenn er gerade angegriffen wird.
Für einen Anderen ist „sicher“, dass der eigene Computer schon „sicher“ sein wird. Der Computer in der Einwohnermeldebehörde jedoch angegriffen werden kann und seine personenbezogenen Daten (pbD) dann „sicher“ weg sind.
Bitte denken Sie darüber nach, was für Sie „sicher“ und „Sicherheit“ in Bezug auf Computer und Software gilt.
Hier einige Eckdaten aus dem Bericht …
Maßnahmen der Befragten für die Sicherheit
47% verlassen sich auf Virenscanner
47% verlassen sich auf sichere Passwörter
37% verlassen sich auf Zwei-Faktor-Anmeldung (2FA)
Antworten bei Nichtnutzung von Maßnahmen
29% fühlen sich sicher
26% geben an, dass es zu komplex ist
22% fühlen sich überfordert
21% sagen „Ich weiß nicht, was ich tun soll, weil überall etwas Anderes empfohlen wird.“
Demgegenüber steht
42% waren in den letzten 12 Monaten von Cyberkriminalität betroffen
47% wünschen sich mehr Programme für mehr Schutz
meine Gedanken
Virenscanner
Virenscanner helfen nur bedingt. Würden Virenscanner ordentlich funktionieren, gäbe es keine Schadsoftware mehr. Virenscanner können nur das erkennen, was schonmal da war; also keine neue Schadsoftware.
Der Hauptanwendungsfall für einen Virenscanner liegt, meiner Erfahrung nach, nur darin, das nächste Abo für den Virenscanner-Hersteller abzuschließen, damit dieser seine Gewinne maximieren kann.
42% der Befragten gaben an, dass sie in den letzten 12 Monaten von Cyberkriminalität betroffen waren. Wiederum 47% wünschen sich mehr Programme zum Schutz.
Im Bericht wird leider nicht erwähnt welche Art von Cyberkriminalität das war. Ich schätze, dass ein guter Teil davon „Ransomware“ und/oder „Phishing“ war. Vor beiden Bedrohungen schützen Virenscanner nicht.
sichere Passwörter und 2FA
Sichere Passwörter schützen sehr gut gegen sog. Brute-Force Angriffe.
Gegen Phishing-Angriffe hilft es nicht. Bei Phishing gibt man ja (mehr oder weniger) bewusst das sichere Passwort an eine dritte Person oder einen WebService weiter.
Gegen Phishing kann 2FA schützen, zumindest, wenn man den zweiten Faktor nicht auch weitergibt.
Sicherheitsgefühle
Ich zähle mich nicht zu den ca. 30% der Befragten, die sich „sicher“ fühlen. Ganz im Gegenteil.
Alleine schon was sich bspw. Microsoft in den letzten Monaten geleistet hat. Da kann ich Allen nur empfehlen die Finger von Microsoftprodukten zu lassen.
Beispiel 1
Master-Key Problem: https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/
Verliert man den Master-Key, verliert man die Kontrolle über die Services. Das kann man auch nicht schönreden. Seit dem sind Sicherheitsversprechen seitens Microsoft wertlos. Das ist ein Totalverlust! Normalerweise müsste Microsoft alles von Grund auf neu aufbauen. Keine Software und kein (public cloud) Service seitens Microsoft ist mehr vertrauenswürdig (wenn sie das überhaupt jemals waren).
Selbst im Post Mortem gibt Microsoft zu, dass sie bisher noch immer nicht wissen was alles konkret passiert ist. Master-Key Post Mortem: https://msrc.microsoft.com/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition/
Beispiel 2
Microsoft erkennt nicht rechtzeitig, dass Angreifer das firmeninterne Exchange genutzt haben, um eMails der Sicherheitsabteilung anzufangen. Ausgerechnet der Sicherheitsabteilung. Sowas kann man sich gar nicht ausdenken.
https://www.heise.de/news/Cyber-Angreifer-erbeuten-E-Mails-von-Microsoft-Mitarbeitern-9603710.html
Beispiel 3
Die neue Outlook-App. Empfehlung, bitte nicht benutzen
https://www.heise.de/news/Microsoft-krallt-sich-Zugangsdaten-Achtung-vorm-neuen-Outlook-9357691.html
Beispiel 4
Windows Recall soll kommen, wenn auch nur nach expliziter Freigabe durch den Benutzer. Muss ich wirklich erklären was ein Angreifer oder ein Administrator damit alles machen kann? Versetzen Sie sich in die Lage des Angreifers, wenn er bspw. bei einem Hausarzt „einsteigt“. Es geht also mitnichten nur um private Computer …
… aber trotzdem … „Dieser Geist ist aus der Flasche“, ist es einmal da, kann es auch genutzt werden; und zwar nicht nur durch den Benutzer selbst.
Gut, vielleicht nutzen die Befragten, die sich sicher fühlen, auch nur Apple Produkte. Immerhin wird Apple in ihren Marketing- und Verkaufsmaßnahmen nicht müde zu erwähnen, dass ihre Produkte sicher sind. Wenn man das nur oft genug hört, dann glaubt man es dann auch. Allerdings ist es dort auch nicht besser.
https://daniel.haxx.se/blog/2024/03/08/the-apple-curl-security-incident-12604/ (angeblich wegen Kinderpornografie)
Das ich mich nicht „sicher“ fühle hängt mit meinem Job zusammen. Wir Sicherheitsleute (White-Hat’s) lesen Nachrichten, die i.d.R. nicht über die Tagesschau verbreitet werden.
Was lernen wir daraus …
KEINE SOFTWARE IST „SICHER“
KEIN DIENST IST „SICHER“
Da helfen auch keine „Programme für mehr Schutz“, wie es 47% der Befragten sich wünschen. Diese Programme sind ebenfalls nicht sicher. Sie gaukeln nur Sicherheit vor; siehe https://www.heise.de/news/Juniper-225-Sicherheitsluecken-in-Secure-Analytics-9775115.html
Das Schlimme an dem BSI-Bericht ist aber, dass selbst das BSI keine konkreten Vorschläge zur Sicherheit macht. Die haben quasi nur Checklisten, die Fragen zur Sicherheit stellen. Was man konkret machen muss wird dort nicht beschrieben.
Was kann man also genau machen?
Hierfür gibt es genauso viele Antworten wie es individuelle Anwendungsfälle gibt.
Suchen Sie sich jemanden der sich mit IT-Sicherheit auskennt und dem Sie ein gewisses Maß an Vertrauen schenken können.
Sicherheit ist immer individuell.
weitere Fachbeiträge …
- Juli 2024 (1)
- Juni 2024 (2)
- Dezember 2023 (1)
- Oktober 2023 (1)
- August 2023 (1)
- Juni 2023 (1)
- September 2022 (2)
- August 2022 (2)
- Juni 2022 (1)
- Mai 2022 (3)
- April 2022 (2)
- März 2022 (4)
- Februar 2022 (7)
- Januar 2022 (12)
- Dezember 2021 (8)
Informationssicherheit und Datenschutz – Beratung und Konzeption – Landsberg am Lech
