Teil 2: Verhaltensmaßregeln und Tips >>
“Die Länge dieses Dokuments ist ein guter Schutz vor dem Risiko, gelesen zu werden.” (Winston Churchill, 1874-1965)
Wie viel Sicherheit darf´s denn sein?
Jede Maßnahme zur Erhöhung der IT Sicherheit verursacht Kosten oder schränkt den Nutzwert ein. Wo das optimale Verhältnis von Aufwand zu Ertrag ist, hängt vor allem vom Sicherheitsbedürfnis ab, das vom privaten Gelegenheitssurfer über einen Handwerksbetrieb mit Email bis hin zum Intranet des Verteidigungsministeriums natürlich um Größenordnungen verschieden ist. Selbst die teuerste Firewall kann zurzeit allerdings nicht verhindern, dass beispielsweise kundige Mitarbeiter einen VPN-Tunnel vom ihrem Arbeitsplatz PC zu ihrem heimischen PC herstellen, über den unbemerkt und unüberprüfbar beliebige Daten herein und herausgeschickt werden können. Viele IT Administratoren wissen oder ahnen zumindest, wie stark ihre Firewall einem Schweizer Käse ähnelt und beruhigen sich und das Management mit dem Argument, dass zumindest alles getan wurde was technisch möglich ist. Zu glauben, mit noch mehr Tricks auch die neuesten Sicherheitslöcher zu stopfen reiche aus, ignoriert aber die Tatsache, dass jenseits der Firewall Millionen talentierter Menschen an ihrem Rechnern sitzen, die mit beliebig viel Zeit und unendlichem Elan neue Tricks ersinnen um jede neu aufgebaute Hürden wieder zu überwinden. Es wäre naiv zu glauben, dieser Wettkampf kann dauerhaft allein mit technischen Maßnahmen entschieden werden. Konsequent zu Ende gedacht bedeutet das: Die wichtigsten Maßnahmen zur Erhöhung der IT Sicherheit sind nicht technischer Natur.
Diese Erkenntnis bedeutet keinesfalls, auf technische Schutzmaßnahmen zu verzichten, sie erleichtert es aber ungemein, für jedes Sicherheitsbedürfnis eine optimale Strategie zu finden. Als Anregung soll die folgende Checkliste dienen, in der einzelne Maßnahmen in absteigender Priorität aufgeführt sind, allerdings ohne Anspruch auf Vollständigkeit.
Firewalls verwenden
Wer an einem bestimmten Standort mehr als sporadisch ins Internet geht, sollte sich dort eine Hardwarefirewall zulegen. Alle modernen Internetrouter haben eine zumindest für den privaten Bereich ausreichende Firewallfunktion. Nicht nur können dann auch mehrere Personen diesen Internetzugang gleichzeitig nutzen, er schützt auch fehlkonfigurierte PCs sehr weitgehend vor Angriffen von außen und lässt Dialer ins Leere laufen.
Windows besitzt seit Windows XP eine ausreichend gut funktionierende, wenn auch unter Windows 7 und 8 umständlich und unübersichtlich zu administrierbare Software-Firewall, die zumindest von eingehenden Angriffen schützt, allerdings oft nicht verhindert, oder auch nur warnt, wenn auf dem Rechner installierte Software (oder Schädlinge) versuchen, eine Internetverbindung aufzubauen. Das muss man nicht unbedingt als Mangel sehen, denn die manuelle Entscheidung darüber, welches Programm und welcher Task ins Internet darf und welcher nicht, würde die meisten PC-Anwender sowieso überfordern und wäre der Produktivität abträglich.
In diesem Sinne ist eine zusätzliche Software-Firewall nur in Sonderfällen sinnvoll. Oft nerven diese Tools den Benutzer mit so vielen Warnungen über harmlose Zugriffe, dass die Produktivität darunter leidet und der eine, wirklich gefährliche Angriff, in der Flut von Meldungen untergeht. Nicht selten verlangsamen sie den Rechner erheblich, behindern den Aufruf auch seriöser Webseiten oder die Einwahl ins Firmennetz, und wiegen vor allem Laien in trügerischer Sicherheit. Die Popularität von Software Firewalls dürfte zum Teil dadurch befördert werden, dass jede Warnung von einem "Angriff" von außen den Anwender darin bestätigt, wie gut es war, solch eine Software installiert zu haben, auch wenn es sich in Wirklichkeit um völlig harmlose Ereignisse handelte Als Tool zur Diagnose, zur Weiterbildung oder in der Hand von Profis haben solche Softwarelösungen natürlich ihre Berechtigung.
Seit Sasser bekommt das Thema “Firewall” allerdings zusätzliche Brisanz, denn selbst wer zweifelhafte Webseiten mied, und kein Email-Attachment öffnete, wurde ohne weiteres Zutun spätestens fünf Minuten nach der Herstellung einer Internetverbindung über DFÜ-Netzwerk infiziert, sofern nicht der beim Erscheinen von Sasser erst wenige Tage alte Microsoft Patch installiert war. Zu hoffen, dass zukünftig Microsoft Patches erscheinen, bevor der zugehörige Virus auf dem Markt kommt, dürfte nur für hartgesottene Verschwörungstheoretiker sinnvoll sein, die sowieso glauben, dass die besten Viren aus Redmond kommen. Für alle alle anderen gilt: Niemals ohne aktivierte Firewall per DFÜ-Netzwerk ins Internet gehen! Ein Wirelesszugang ist übrigens in der Regel gegen direkte Port-Angriffe geschützt, weil der Wireless-Router eine Firewall enthält.
weiter zu Teil 2: Verhaltensmaßregeln und Tips >>
|