InterviewIT-ManagementIT-ProjekteKarriereSicherheitSicherheitsmanagement

Security-Experte Andreas Winterer: “Wie Fernfahrer im Suff”

0 1 Keine Kommentare

IT-Experte Andreas Winterer im exklusiven ITespresso-Interview über Sicherheitsprobleme bei kleinen Unternehmen, die eiserne Regeln für jeden IT-Manager – und ob Sicherheit zum Fetisch geworden ist.

Für IT-Sicherheit zu sorgen, ist für kleine Unternehmen und Freiberufler eine unangenehme, weil zeitaufwendige und komplizierte Aufgabe. Doch welches Start-up hat schon die Ressourcen, sich täglich über die aktuelle Sicherheitslage zu informieren und wertvolle Zeit in das Konfigurieren von Sicherheits- und Backup-Software zu investieren. So ist es durchaus verständlich, dass viele Firmen die IT-Sicherheit vernachlässigen. Ein Fehler mit möglicherweise fatalen Folgen ist es trotzdem.

Security-Experte im Interview

Etablierte Anbieter von Security-Software wie Symantec, Trend Micro, Kaspersky locken die Unternehmen mit kompletten Security-Suites und Rundum-sorglos-Angeboten. Wie sinnvoll sind solche Angebote? Welche Alternativen gibt es dazu? Und was ist von Freeware zu halten? Diese und andere Fragen beantwortet der Security-Experte Andreas Winterer im Interview mit ITespresso. Als Betreiber des angesehenen Security-Blogs Scareware.de ist Winterer unabhängig von den Software-Anbietern und Security-Dienstleistern. Daneben ist er auch als Buchautor tätig, zuletzt mit dem im Verlag BHV erschienenen “Windows 7 Sicherheit”.

Das Interview wurde per E-Mail geführt.

ITespresso: Muss man sein Know-how in puncto Sicherheit immer auf dem neuesten Stand halten oder genügt es, ein paar Grundregeln zu beachten und die Software regelmäßig upzudaten?
Andreas Winterer: Das Problem ist, dass Computer und Software einer Evolution ausgesetzt sind, die schneller abläuft als in jedem anderen Bereich unseres Lebens. Daher ändern sich auch die Grundregeln schneller. Dinge, die ich vor zehn Jahren noch als sicher bezeichnet hätte – etwa das Surfen auf namhaften Websites – sind es heute nicht mehr: Weil zum Beispiel auch namhafte Websites ihre Werbung bei Ad-Netzwerken buchen und diese dann auch mal versehentlich Werbung für fragwürdige Downloads anzeigen.

Auch gab es Systeme wie Facebook vor fünf Jahren kaum; die Technik von Morgen, etwa NFC (Near Field Communication, ein drahtloser Übertragungsstandard für sehr kurze Distanzen, Anm. d. Red.) wird die Regeln von heute sinnlos machen.

 

Der Blog Scareware.de beschäftigt sich herstellerunabhängig mit dem Thema IT-Sicherheit.

Grundregeln genügen nicht

Daher: Nein, ein paar Grundregeln genügen nicht. Eigentlich müssten Unternehmen ein Mal jährlich, vielleicht sogar halbjährlich ein Sicherheitstraining für ihre Mitarbeiter durchführen. Erst recht kleine und junge Unternehmen, die sich abhängig von ihrer IT keinen nur dafür zuständigen Spezialisten leisten. Allerdings kostet das Geld, das erst mal kein Geld einbringt, daher macht das natürlich kaum jemand. Wir kennen ja in Wirklichkeit auch kaum Firmen, die an fehlender Sicherheit zugrunde gegangen sind.

Es ist also vielleicht in Wahrheit so, dass in Sicherheit zu investieren sich nicht lohnt, der Verzicht darauf also Probleme bereiten kann, diese aber nicht existenziell sind. Sony hat ja ganz sichtlich mehr als ein Sicherheitsproblem gehabt und ist trotzdem noch da. Vielleicht betreiben wir Sicherheit zu fetischistisch.

ITespresso: Kleine Unternehmen oder Selbstständige haben oft gar nicht die Zeit und das Know-how, sich mit IT-Sicherheit zu beschäftigen. Was würden Sie denen empfehlen?
Winterer: Wer als Freiberufler von den Daten seiner persönlichen IT abhängig ist und sich nicht um die Sicherheit kümmert, verhält sich wie ein Fernfahrer, der im Suff fahrend seinen Führerschein aufs Spiel setzt oder wie ein Fußballer, der sich zwischen den Spielen eine Wampe anfrisst.

Ich empfehle daher, sich dringend trotzdem mit den Aspekten der Sicherheit auseinanderzusetzen. Einen Mitarbeiter auszuwählen, der das zu tun hat. Oder sich einen Externen zu holen, der es macht. Es führt einfach kein Weg darum herum, es ist für ein Unternehmen Teil eigenverantwortlichen Handelns.

Die Frage ist einfach, wie weit man dabei geht. Ein Antivirus-Tool und eine Backup-Platte sind Pflicht. Alles andere ist eher Kür. Eine Ausnahme sind Start-ups, in deren Mittelpunkt ein selbst entwickelter Webdienst steht: Die müssen sich außerdem dringend mit der Sicherheit von Webanwendungen auseinander setzen. Da ist ja schon für sich genommen ein weites Feld.

 

Besser als nichts: Freeware wie beispielsweise Microsofts Security Essentials.

Keine Plug-ins im Browser

ITespresso: Welche Rolle spielt die Wahl des Browsers?
Winterer: Aus Sicherheitssicht ist für Selbstständige und kleine Unternehmen die Wahl zwischen Internet Explorer, Firefox oder Chrome eigentlich egal – wichtig ist nur, dass in diesen Browsern keine Plug-ins laufen, also kein Java, kein Flash, kein Adobe PDF und so weiter, am besten so wenig wie möglich.Das macht natürlich niemand. Daher mein Vorschlag: zwei Browser in gedachten Sicherheitszonen. Man könnte Firefox zum “Herumsurfen” nehmen, aber der höheren Gefahr durch eben dieses Herumsurfen mit deaktivierten Erweiterungen und Plug-ins begegnen.

Für spezielle Anwendungen, etwa Banking oder SaaS-Webanwendungen (Software as a Service), die Flash oder Java benötigen, könnte man Chrome nehmen, mit Flashblock als Whitelist-Filter; Java ist ja in Chrome per Vorgabe deaktiviert (die Erlaubnis wird jeweils bei einem Applet eingeholt).

Da wird meines Erachtens auch der Internet Explorer wieder interessant. Er bietet zum Beispiel die einfache Möglichkeit, über die Sicherheitszonen eine “persönliche Whitelist von Webseiten” einzustellen, den Rest hingegen als nicht vertrauenswürdig zu behandeln.

ITespresso: Anbieter von Security-Software verbreiten regelmäßig Meldungen, wonach die Zahl der Malware-Attacken steigt. Steckt da nicht auch Panikmache dahinter, um den Absatz der Produkte anzukurbeln?
Winterer: In Sachen Panik sind diese Anbieter und die Öffentlichkeit “Partners in Crime”. Man muss sich das nämlich von der Ursache her ansehen: Wie alle Unternehmen sind auch Sicherheitsunternehmen interessiert daran, die Aufmerksamkeit auf ihre Produkte zu lenken, und sei es nur, weil ihre Mitbewerber das ebenfalls tun. Dazu fütterten sie in der Vergangenheit die Medien mit verschiedenen Storys an. Und lernten schnell, dass ein bestimmter Typ von Storys besser funktioniert, also von Medien (allen, auch “social media) optimal multipliziert wird. Und das sind nun mal die Panik-Storys. Ergo konzentriert man sich auf diese.

Lobenswert: Back-up-Themen im IT-Medium

Anbieter von Security-Software würden sicher auch hilfreiche Tipps zur einer Backup-Strategie publizieren, wenn das Abdrucke und Re-Posts nach sich ziehen würden. Tut es aber so gut wie nie, daher lassen sie es. Schon eine Rubrik “Backup” findet man selten bis gar nicht auf IT-Seiten, selbst bei Sicherheitsportalen. “Schuld” daran, sofern sich der Begriff hier anwenden lässt, sind letztlich die Leser, denn die kaufen und klicken und suchen nun mal eher die Panik-Begriffe als die Backup-Themen. So ist das halt. Man muss daher ausdrücklich jedes IT-Medium loben, welches sich regelmäßig undankbaren Themen wie Backup, Recovery-Planung, Crash-Protection und -Prevention zuwendet.

ITespresso: Werden die “Angriffe aus dem Web” nicht manchmal überschätzt?
Winterer: Surfen ist gefährlich: Malware-Infektionen über Zero-Day-Exploits, die dem Browser per Drive-by-Verfahren untergejubelt werden, sind eine konkrete Gefahr, die man nicht hoch genug einschätzen kann. Das ist Alltag und betrifft auch Nutzer mit Virenschutz, sofern diese nur sorglos genug herumsurfen und wild auf Links klicken, die sie per Spam, per Social Media, per URL-Shortener oder durch die Suchmaschine zu Gesicht bekommen.

Bei allen anderen Gefahren muss man sich einfach fragen, wie wertvoll die Daten für denjenigen sind, der sie erzeugt hat. Eine Backup-Festplatte für 100 Euro reicht wunderbar für ein Geheimnis, das 100 Euro wert ist. Wer Arbeitsdaten im Wert von 10 000 Euro besitzt, der arbeitet mit den selben 100 Euro fürs Sicherungssystem einfach unangemessen.

Etablierte Software-Hersteller wie Symantec bieten auch für sehr kleine Unternehmen Security-Software. Der Vorteil: Kommerzielle Angebote bieten in der Regel auch besseren Support – den man im Zweifelsfall aber auch einfordern sollte.

Phishing und Defacing

Bei “Hacker-Angriffen” kommt es jenseits von Spezialfällen wie Stalking darauf an, wie wertvoll ein Geheimnis ist, das man zu wahren hat. Der “Hacker-Angriff” muss sich lohnen, dann findet er auch statt. Doch eine Kreditkartennummer ist keine 50 Euro mehr wert, ein Zugangscode bei einem Freemailer so gut wie gar nichts. Es lohnt also nur Phishing in der Masse, oder der Angriff auf eine Stelle, die Tausende dieser Daten speichert. Beides passiert ja auch.

Ein Sonderfall ist das “Defacing”, also die “gehackte” Website. Ist ja wunderbar spektakulär, wenn Behörden hier von Hackergruppen angegriffen werden. Aber so ein Vorfall bedeutet über das Spektakel hinaus natürlich rein gar nichts, weil jeder mit Verstand seinen Webserver außerhalb seiner eigenen IT betreibt.

Cloud Computing pragmatisch sehen

ITespresso: Was halten Sie von Cloud Computing für kleine Unternehmen?
Winterer: Cloud Computing ist äußerst verführerisch, weil man eben die Sicherheit gleich mit einkauft. Sofern man keine Firmengeheimnisse aufbewahrt, deren Kenntnisse mehrere tausend Euro wert sind, habe ich daher kein Problem damit.

Meiner Ansicht nach muss man das ganz pragmatisch sehen: Ein Freiberufler, der seine Dokumente zum Beispiel in einer Dropbox spiegelt, erhält damit ein Backup-System mit Versionsverwaltung und muss sich um (fast) nichts mehr kümmern. Wenn doch jemand in diese Dropbox einbricht, dann ist das halt so und nur ein geringer Schaden, den man in Kauf nehmen kann. Man sollte dennoch auch den Inhalt seiner Dropbox regelmäßig lokal sichern.

Außerdem muss man sich halt klar machen, dass in diesem System keine allzu vertraulichen oder wertvollen Dokumente etwas zu suchen haben. Oder wenn, dann verschlüsselt. Verwendet man in einem Dropbox-Folder die Dokument-Verschlüsselung neuerer Office-Versionen, dann ist das “sicher genug” für kleine Geheimnisse.

Bei anderen Diensten ist es die Frage, wie wertvoll die Daten sind. Wer seine Buchhaltung per Cloud abwickelt, sollte halt keine nachrichtendienstlich relevanten Geheimnisse haben. Generell sollte man darauf achten, den Service bei einem deutschen Dienstleister in Anspruch zu nehmen, sofern das möglich ist. Nicht, weil das besser wäre, sondern weil das eben ein international gesehen weniger interessantes Ziel ist.

"Ein Antivirus-Tool und eine Backup-Platte sind Pflicht. Alles andere ist eher Kür", sagt IT-Experte Andreas Winterer.

Die wichtigsten Maßnahmen

ITespresso: Was sind die wichtigsten Maßnahmen für Kleinstunternehmen oder Selbstständige?
Winterer: Erstens: Eine gute Backup-Strategie. Externe Festplatten kosten nicht die Welt, Windows 7 bringt dankbarerweise ein Backup-Tool mit. Nun muss man sich nur noch die Frage stellen: Welche Daten und Anwendungen brauche ich oder brauchen wir, um morgen weiterarbeiten zu können, wenn der PC oder Server keinen Mucks mehr macht, gestohlen wurde oder gar das Büro abbrennt.

Wenn das Büro brennt

Diese Daten müssen redundant mehrfach gespeichert werden, aber auch die zugehörigen Anwendungen müssen schnell zur Verfügung stehen können. Also: Wie genau sieht der 1.-2.-3.-Plan aus, wenn tatsächlich das Büro abbrennt? Das kann man ja ruhig mal auf Papier aufschreiben. Ein Beispiel: Ein Selbstständiger hat ein Notebook mit Office.

Mein Rat: Kaufen Sie das gleiche Notebook noch mal und bewahren Sie es zu Hause auf. Machen Sie jeden Abend ein Backup im Büro und nehmen Sie die Platte mit nach Hause. Rotieren Sie dabei zwei Platten durch. Wenn das Büro-Notebook gestohlen wir, nehmen Sie einfach das Backup und spielen es auf das “Zweit-Notebook” – das geht, weil es identisch ist. Nach 30 Minuten sind Selbstständige so wieder arbeitsfähig. Selbst wenn die Backup-Platte versagt, bleibt noch die Platte vom Vortag und grenzt den Verlust ein.

Aber: Ein Backup deckt natürlich nur den Fall des Crashs ab. Aber meiner Erfahrung nach bringen sehr kleine Unternehmen und Freiberufler ohnehin nicht die Geduld mit, sich um die weiteren Aspekte zu kümmern.

Zweitens: Kommerzielle Virenschutzsoftware eines einigermaßen namhaften Herstellers. Dabei ist es letztlich egal, von wem – die namhaften schenken sich untereinander wenig. Seiten wie AV-test.org bieten Infos aus Testverfahren, falls man es genau wissen will, aber da werden teils schon Erbsen gezählt. Wichtiger als A-Soft mit 99 Prozent statt B-Soft mit 95 Prozent ist ein Support, den man anrufen kann und der reagiert – das ist zugleich der Grund, warum man auf beruflich genutzten Systemen keine Freeware nehmen sollte, auch wenn die besser wäre als nichts.

Berufliche und private Daten trennen

Drittens: Gute Passwörter ersinnen für die Dienste, die man selbst beruflich nutzt oder die in der Firma genutzt werden.

Viertens: Berufliches strikt von Privatem trennen. Keine USB-Sticks, Notebooks oder Software von Zuhause im Büro nutzen und umgekehrt. WLAN-Hotspots sind für berufliche PCs ebenso verboten wie öffentliche Rechner (etwa am Campus) für berufliche USB-Sticks.

Fünftens: Lieber Dinge, die man richtig tun kann, richtig tun, als Dinge zu versuchen, die man ohnehin nicht oder nur halbherzig umsetzen kann. Anders gesagt: Lieber das oben genannte doppelte Notebook und/oder ein zeitgesteuertes Datei-Backup auf einem kleinen NAS erzwingen als alle vier Ratschläge nur halbherzig berücksichtigen. Lieber Cloud-Storage als Backup-Medium, auch wenn das systembedingt risikobehaftet ist, als gar kein Backup haben.

Fünftens: Am wichtigsten ist es, angemessen zu handeln. Habe ich Daten von AIDS-Patienten? Lieber keine Cloud. Sind meine Excel-Daten unentbehrlich, aber nur für mich interessant? Dann ruhig in die Cloud damit. Hängt die Existenz meines Unternehmens von dieser Datenbank ab? Dann lieber keine Kosten und Mühen scheuen, diese zu sichern.


ITespresso: Freeware-Tools wie beispielsweise Microsofts Security Essentials gibt es auch für kleine Unternehmen. Halten Sie den Einsatz von Freeware-Tools für sinnvoll?
Winterer: Privatanwender ohne besonders wertvolle Daten brauchen nicht mehr als Freeware oder MSE. Wichtiger als ein kommerzielles Schutzprogramm ist für sie ein regelmäßiges Backup auf einer einfachen externen Platte.

Privatanwender mit wertvollen Daten sowie berufliche Anwender sollten nicht wegen der Funktionalität, sondern wegen des Supports zu kommerziellen Produkten greifen. Und den Support dann auch einfordern, wenn das nötig ist. Und über Social-Media-Kanäle sehr laut werden, wenn der nicht funktioniert.

 

Wer seine Daten in einem Onlinespeicher wie Dropbox speichert, sollte die Daten trotzdem auch lokal sichern.

Was ist besser: eine komplette Software-Suite, die “gegen alles” schützt oder die gezielte Anwendung bestimmter Tools?
Die gezielte Anwendung bestimmter Tools ist besser. Dazu müsste man aber wissen, welche Tools man wie gezielt einsetzen sollte, und damit sind wir wieder beim Know-how-Problem, zumal man das situativ entscheiden muss.

Die Frage ist also eigentlich eher, was man weglassen kann, und das ist doch oft Geschmackssache und eine Frage der Abwägung. Die Firewall eines Drittherstellers ist in meinen Augen eher verzichtbar. Aber wenn zum Beispiel der Surf-Filter einem User, der einfach nicht willens oder in der Lage ist, sich beim Surfen auf sichere Seiten zu beschränken, 95 Prozent der gefährlichen Seiten blockt, dann spricht nichts gegen einen solchen Surf-Filter, auch wenn er streng betrachtet mehr Sicherheit suggeriert, als er wirklich liefert.