Security-Mythen auf dem Prüfstand

Neue Software ist nicht sicherer als alte

Gary McGraw, CTO bei Cigital: "Die Softwareentwicklung ist besser geworden, und die Anfälligkeit für Schwachstellen geht zurück. Sicheres Coding wird heute weit besser verstanden und mit geeigneteren Tools umgesetzt als vor zehn oder 20 Jahren. Wir wissen, was zu tun ist. Zu Zeiten von Windows 95 wurde beispielsweise viel weniger Programmcode geschrieben als heute - deshalb mag es so aussehen, dass heutige Programme genauso anfällig sind wie ältere Software. Es liegt schlicht an der unglaublichen Menge an Codezeilen und mehr potenziellen Einfallstoren. Perfektion ist unmöglich."

Der Transfer von sensiblen Daten via SSL ist sicher

Rainer Enders, CTO bei NCP Engineering: "Unternehmen verwenden das SSL-Protokoll, um kritische Daten von Kunden oder Partnern zu übertragen, in der Annahme, dass diese Art des Transfers sicher ist. Die Anfälligkeit von SSL wird jedoch zunehmend größer. So gab es bei der Citigroup im vergangenen Jahr einen Datenabfluss, der auf diese Art von Datenübertragung zurückzuführen ist. Schweizer Forscher haben kürzlich einen Weg gefunden, mit SSL übertragene Daten abzufangen, indem Schwachstellen bei der Implementierung von Blockchiffren wie AES angegriffen wurden. Die Zweifel an der SSL-Sicherheit werden größer. Auch die vielgerühmten SSL-Zertifikate verlieren zunehmend an Vertrauen, weil bereits perfekt gefälschte Versionen aufgetaucht sind. Vielleicht ist es ratsam, niemals zwei Dokumente mit dem gleichen Schlüssel zu kodieren."

Endpoint-Security-Software ist Commodity geworden

Jon Oltsik, Analyst bei der Enterprise Strategy Group (ESG): "Unternehmensentscheider stimmen zu, dass es bei Endpunkt-Sicherheits-Software keine Unterscheidungsmerkmale zwischen den einzelnen Lösungen mehr gibt. Das hat zumindest eine ESG-Umfrage ergeben. Ich teile diese Auffassung aber nicht. Die Produkte sind in puncto Schutzlevel und Funktionsumfang grundverschieden. Unternehmen kennen die eingebauten Features nur oft gar nicht und setzen die Lösungen dementsprechend falsch ein."

Mit einer Firewall ist ein Netzwerk geschützt

Kevin Butler, Analyst für IT-Sicherheit an der Medizinischen Universität Arkansas: "Es gibt viele Mythen über Firewalls. Die, die ich am häufigsten gehört habe, sind die Auffassungen, dass Firewalls immer ein Stück Hardware sind und dass eine ordentlich konfigurierte Firewall ein Netzwerk vor allen Bedrohungen schützt. Auch die Annahmen, dass die Firewall eine AV-Lösung komplett ersetzen könne und sogar gegen Zero-Day-Attacken schütze, sind Nonsense. Eine Firewall darf niemals eine ‚Installieren und Probleme vergessen’-Lösung sein!"

Apple iPhone und iPad sind unsicher

Das Apple iPhone ist ein Paradebeispiel für den BYOD-Trend. Ursprünglich brachte das Hype-Smartphone keine nennenswerten Funktionen für die Verwaltung innerhalb der Firmen-IT mit. Zwar verbesserte Apple mit neuen iOS-Versionen auch die Verwaltbarkeit von iPhone und iPad, aber Administratoren haben immer noch Bauchschmerzen vor allem in Sachen Sicherheit.

Dabei haben iOS-Geräte im Vergleich beispielsweise zu ihren Android-Pendants kaum Probleme mit Lücken, Trojanern und Co. Stefan Strobel, Geschäftsführer der cirosec GmbH : "Die aktuellen Geräte von Apple bieten auch im Vergleich zu den meisten Geräten auf Android oder Windows- Phone-Basis mehr Sicherheit. Die Kontrolle der Applikationen im AppStore, die Verwendung von spezieller Hardware mit der Unterstützung von Kryptografie sowie die zahlreichen Sicherheitsfeatures im Betriebssystem führen dazu, dass die Apple-Geräte heute als sicherer gelten als die direkten Marktbegleiter." (hal/mec)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.