Gefuehl IT-Sec

Das „Bundesamt für Sicherheit in der Informationstechnologie“ (BSI) veröffentlichte vor kurzem die Ergebnisse einer Befragung zur Cybersicherheit.

Die Ergebnisse können hier geladen werden:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Digitalbarometer/CyMon-ProPK-BSI_2024_Kurzbericht.pdf


Unter „sicher“ oder „Sicherheit“ stellt sich jeder Mensch etwas anderes vor. Leider wird der BSI-Bericht hier nicht konkret.

Für Einen ist „sicher“, dass er merkt, wenn er gerade angegriffen wird.

Für einen Anderen ist „sicher“, dass der eigene Computer schon „sicher“ sein wird. Der Computer in der Einwohnermeldebehörde jedoch angegriffen werden kann und seine personenbezogenen Daten (pbD) dann „sicher“ weg sind.

Bitte denken Sie darüber nach, was für Sie „sicher“ und „Sicherheit“ in Bezug auf Computer und Software gilt.


Hier einige Eckdaten aus dem Bericht …

Maßnahmen der Befragten für die Sicherheit

47% verlassen sich auf Virenscanner

47% verlassen sich auf sichere Passwörter

37% verlassen sich auf Zwei-Faktor-Anmeldung (2FA)

Antworten bei Nichtnutzung von Maßnahmen

29% fühlen sich sicher

26% geben an, dass es zu komplex ist

22% fühlen sich überfordert

21% sagen „Ich weiß nicht, was ich tun soll, weil überall etwas Anderes empfohlen wird.

Demgegenüber steht

42% waren in den letzten 12 Monaten von Cyberkriminalität betroffen

47% wünschen sich mehr Programme für mehr Schutz


meine Gedanken

Virenscanner

Virenscanner helfen nur bedingt. Würden Virenscanner ordentlich funktionieren, gäbe es keine Schadsoftware mehr. Virenscanner können nur das erkennen, was schonmal da war; also keine neue Schadsoftware.

Der Hauptanwendungsfall für einen Virenscanner liegt, meiner Erfahrung nach, nur darin, das nächste Abo für den Virenscanner-Hersteller abzuschließen, damit dieser seine Gewinne maximieren kann.

42% der Befragten gaben an, dass sie in den letzten 12 Monaten von Cyberkriminalität betroffen waren. Wiederum 47% wünschen sich mehr Programme zum Schutz.

Im Bericht wird leider nicht erwähnt welche Art von Cyberkriminalität das war. Ich schätze, dass ein guter Teil davon „Ransomware“ und/oder „Phishing“ war. Vor beiden Bedrohungen schützen Virenscanner nicht.

sichere Passwörter und 2FA

Sichere Passwörter schützen sehr gut gegen sog. Brute-Force Angriffe.

Gegen Phishing-Angriffe hilft es nicht. Bei Phishing gibt man ja (mehr oder weniger) bewusst das sichere Passwort an eine dritte Person oder einen WebService weiter.

Gegen Phishing kann 2FA schützen, zumindest, wenn man den zweiten Faktor nicht auch weitergibt.

Sicherheitsgefühle

Ich zähle mich nicht zu den ca. 30% der Befragten, die sich „sicher“ fühlen. Ganz im Gegenteil.

Alleine schon was sich bspw. Microsoft in den letzten Monaten geleistet hat. Da kann ich Allen nur empfehlen die Finger von Microsoftprodukten zu lassen.

Beispiel 1

Master-Key Problem: https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/

Verliert man den Master-Key, verliert man die Kontrolle über die Services. Das kann man auch nicht schönreden. Seit dem sind Sicherheitsversprechen seitens Microsoft wertlos. Das ist ein Totalverlust! Normalerweise müsste Microsoft alles von Grund auf neu aufbauen. Keine Software und kein (public cloud) Service seitens Microsoft ist mehr vertrauenswürdig (wenn sie das überhaupt jemals waren).

Selbst im Post Mortem gibt Microsoft zu, dass sie bisher noch immer nicht wissen was alles konkret passiert ist. Master-Key Post Mortem: https://msrc.microsoft.com/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition/

Beispiel 2

Microsoft erkennt nicht rechtzeitig, dass Angreifer das firmeninterne Exchange genutzt haben, um eMails der Sicherheitsabteilung anzufangen. Ausgerechnet der Sicherheitsabteilung. Sowas kann man sich gar nicht ausdenken.

https://www.heise.de/news/Cyber-Angreifer-erbeuten-E-Mails-von-Microsoft-Mitarbeitern-9603710.html

Beispiel 3

Die neue Outlook-App. Empfehlung, bitte nicht benutzen

https://www.heise.de/news/Microsoft-krallt-sich-Zugangsdaten-Achtung-vorm-neuen-Outlook-9357691.html

Beispiel 4

Windows Recall soll kommen, wenn auch nur nach expliziter Freigabe durch den Benutzer. Muss ich wirklich erklären was ein Angreifer oder ein Administrator damit alles machen kann? Versetzen Sie sich in die Lage des Angreifers, wenn er bspw. bei einem Hausarzt „einsteigt“. Es geht also mitnichten nur um private Computer …

… aber trotzdem … „Dieser Geist ist aus der Flasche“, ist es einmal da, kann es auch genutzt werden; und zwar nicht nur durch den Benutzer selbst.

https://www.heise.de/news/Microsoft-Recall-Neue-Suchfunktion-und-mehr-KI-Anwendungen-fuer-Copilot-PCs-9724721.html

Gut, vielleicht nutzen die Befragten, die sich sicher fühlen, auch nur Apple Produkte. Immerhin wird Apple in ihren Marketing- und Verkaufsmaßnahmen nicht müde zu erwähnen, dass ihre Produkte sicher sind. Wenn man das nur oft genug hört, dann glaubt man es dann auch. Allerdings ist es dort auch nicht besser.

https://gofetch.fail

https://daniel.haxx.se/blog/2024/03/08/the-apple-curl-security-incident-12604/ (angeblich wegen Kinderpornografie)


Das ich mich nicht „sicher“ fühle hängt mit meinem Job zusammen. Wir Sicherheitsleute (White-Hat’s) lesen Nachrichten, die i.d.R. nicht über die Tagesschau verbreitet werden.

Was lernen wir daraus …

KEINE SOFTWARE IST „SICHER“

KEIN DIENST IST „SICHER“

Da helfen auch keine „Programme für mehr Schutz“, wie es 47% der Befragten sich wünschen. Diese Programme sind ebenfalls nicht sicher. Sie gaukeln nur Sicherheit vor; siehe https://www.heise.de/news/Juniper-225-Sicherheitsluecken-in-Secure-Analytics-9775115.html

Das Schlimme an dem BSI-Bericht ist aber, dass selbst das BSI keine konkreten Vorschläge zur Sicherheit macht. Die haben quasi nur Checklisten, die Fragen zur Sicherheit stellen. Was man konkret machen muss wird dort nicht beschrieben.


Was kann man also genau machen?

Hierfür gibt es genauso viele Antworten wie es individuelle Anwendungsfälle gibt.

Suchen Sie sich jemanden der sich mit IT-Sicherheit auskennt und dem Sie ein gewisses Maß an Vertrauen schenken können.

Sicherheit ist immer individuell.


weitere Fachbeiträge …


Informationssicherheit und Datenschutz – Beratung und Konzeption – Landsberg am Lech