Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Bericht veröffentlicht. Darin werden Schadprogramme als weiterhin größte Bedrohung für private Anwender, Unternehmen und Behörden aufgeführt, weil sie häufig klassische Abwehrmaßnahmen umgehen und zunehmend mobile und alternative Plattformen ins Visier nehmen. Rund 439 Millionen Schadprogramme für Computer soll es mittlerweile geben, die zum Großteil automatisch generiert wurden, um signaturbasierte Erkennungsverfahren auszuhebeln. Wegen des hohen Marktanteils von Windows attackieren sie vor allem Nutzer mit dem Microsoft-Betriebssystem, während bei den mobilen Plattformen Android das wichtigste Angriffsziel ist. Generell geht dem BSI zufolge das größte Sicherheitsrisiko im Mobilbereich von Apps aus, die nicht aus den offiziellen Stores von Apple, Google und Microsoft geladen werden.
Da nur wenige Attacken öffentlich bekannt werden und kaum valide Statistiken vorliegen, geht das BSI von einer hohen Dunkelziffer aus. Viele Opfer würden für sich behalten, dass sie attackiert wurden.
Am heftigsten war Flash gebeutelt, auf das rund 160 kritische Schwachstellen entfielen, gefolgt von Internet Explorer, Mac OS X, Windows und Google Chrome. Trotz der weiterhin großen Bedrohung durch Software-Schwachstellen zeichnet sich dem BSI zufolge ein Umdenken bei den Herstellern und Entwicklern ab, das durch verbesserte Entwicklungsmethoden und kürzere Reaktionszeiten zu einer Erhöhung der IT-Sicherheit führen kann.
Die Hersteller müssten ihrer Verantwortung aber über den gesamten Lebenszyklus eines Produktes gerecht werden. Speziell Großkunden sollten bei der Verhandlung von Lieferverträgen verbindliche Fristen für das Beheben von Sicherheitslücken einfordern, rät das Bundesamt. Man selbst habe bereits bei einigen Rahmenverträgen zur Beschaffung von IT für den Bund damit begonnen.
Der Bundesinnenminister bemängelt im Vorwort des Lageberichtes, dass einige IT-Hersteller dazu tendieren würden, für die aus ihrer Sicht weniger schwer-wiegenden Lecks in ihren Produkten keine Sicherheitsupdates mehr bereitzustellen.
Der Schutz von IT-Systemen könne oft nicht mit den hoch entwickelten Werkzeugen der Angreifer Schritt halten. Weder Staat noch Wirtschaft könnten allein für IT-Sicherheit sorgen — man müsse die Zusammenarbeit intensivieren.
Anwender in der Verantwortung
Neben den Herstellern sieht das BSI aber auch den Anwender in der Verantwortung, für IT-Sicherheit zu sorgen — auch wenn er häufig das schwächste Glied in der Verteidigungskette ist: Er brauche ein gesundes Misstrauen, dies erklären alle Sicherheitsexperten. Beispielhaft führen sie die wachsende Zahl an Fitness-Trackern an, die sensible Gesundheitsdaten ihrer Besitzer ins Internet übertragen. Es sei davon auszugehen, dass die Verwundbarkeit der Technik oder die Datennutzung durch die Betreiber kaum hinterfragt werde. Überall dort, wo fehlendes Technikverständnis auf intransparente Angebote treffe, seien persönliche Daten und digitale Identitäten gefährdet.Desinteresse und Überforderung würden den Nutzer zum sorglosen Handeln verleiten. Auch beim Cloud Computing attestiert das BSI den Nutzern ein geringes Sicherheitsbewusstsein. Sie würden zu wenig Sicherheitsmaßnahmen nachfragen und damit dazu beitragen, dass die Anbieter zu wenig in diesen Bereich investieren. Der Weg von digitaler Sorglosigkeit zum digitalen verantwortungsbewussten Handeln ist keine isolierte Leistung eines einzelnen Anwenders, betont das BSI in seinem Lagebericht. Die Verantwortung für die digitale Sicherheit würden alle Beteiligten tragen nicht nur die Diensteanbieter alleine.
Kommentare
Kommentar veröffentlichen