Unsere amerikanischen Kollegen von der Network World haben Sicherheitsexperten, Berater, Hersteller und Sicherheitsmanager nach ihren "Lieblings-Mythen" befragt. Die zwölf beliebtesten Mythen haben wir in einer Zitate-Galerie zusammengefasst - der eine oder andere Spruch kommt Ihnen bestimmt bekannt vor. Darüber hinaus haben die Experten die "Weisheiten" auf ihren Wahrheitsgehalt analysiert und entsprechend kommentiert.
Mehr Sicherheit ist immer besser
Verschlüsselungsexperte und Sicherheits-Guru Bruce Schneier: "Mehr Sicherheit ist nicht notwendigerweise besser. Manchmal stimmt das Kosten-Nutzen-Verhältnis von ‚noch mehr Sicherheit’ einfach nicht. Es bringt nichts, beispielsweise 100.000 Dollar auszugeben, um einen Donut zu beschützen. Der Donut wäre zwar sicherer als vorher, es wäre hier aber sinnvoller, ihn einfach zu riskieren, um das Geld zu sparen. IT-Sicherheit bringt immer auch einen schrumpfenden Return on Investment mit sich: Der komplette Grundschutz kostet 25 Prozent eines bestimmten Geldbetrags, eine minimale Erweiterung der Sicherheit kostet dann noch einmal 25 Prozent. Es gibt immer einen Punkt, an dem sich mehr Sicherheit nicht mehr lohnt. Zudem ist die absolute Sicherheit sowieso nicht möglich - und unter moralischen Gesichtspunkten vielleicht auch gar nicht so erstrebenswert."
Foto: Peter Houlihan
Das DDoS-Problem ist mit Bandbreite zu lösen
Carl Herberger, Vice President Security Solutions bei Radware: "Unter IT-Managern herrscht der Irrglaube, dass Distributed-Denial-of-Service-Attacken am besten mit viel verfügbarer Bandbreite zu begegnen ist. Seit dem vergangenen Jahr ist aber erwiesen, dass mehr als die Hälfte von DDoS-Angriffen sich nicht durch die eingesetzte Bandbreite, sondern durch die Applikationsorientierung auszeichnet. Hier wird der Anwendungs-Stack angegriffen, und gängige Standards werden zu Zwecken der Serviceunterbindung attackiert. Eine höhere Bandbreite kommt dem Attackierenden in diesem Szenario zugute. Lediglich ein Viertel heutiger DDoS-Angriffe kann durch eine höhere Bandbreite noch abgeschwächt werden."
Ein 90-Tage-Passwort-Ablaufzyklus schützt die IT-Systeme
Ari Juels, Chefforscher bei RSA: "Diese Annahme ist vergleichbar mit dem Ernährungstipp, acht Gläser Wasser pro Tag zu sich zu nehmen. Niemand weiß, woher diese Weisheit stammt und ob sie der Wahrheit entspricht. Jüngste Untersuchungen haben ergeben, dass Passwortabläufe nicht unbedingt sinnvoll sind. Wenn Passwortänderungen im Unternehmen vorgenommen werden, dann besser in zufälligen und nicht in regelmäßigen Abständen."
Auf die Intelligenz der Masse ist Verlass
Bill Bolt, Vice President IT beim Basketball-Team Phoenix Suns: "Immer und immer wieder bekommt ein Angestellter eine E-Mail, in der ihn ein Externer vor einem neuen Virus warnt - und schon wird die IT-Abteilung verständigt. Leider sind diese Arten von Informationen alles andere als neu - sie beziehen sich häufig auf Bedrohungen, die bereits zehn Jahre zurückliegen."
Client-Virtualisierung kann die Sicherheitsprobleme der IT-Consumerization lösen
Gartner-Analyst John Pescatore: "Ich höre ständig, dass eine virtuelle Maschine für den Job und eine fürs Private das ByoD-Problem lösen soll. Auf diese Weise würden das Sicherheitsrisiko auf der privaten Seite konserviert und der Fluss von Daten aus dem Unternehmen hinaus verhindert. Ich bin da aber skeptisch. Der Geheimdienst hat das bereits vor Jahren versucht - die NSA bezahlte eine damals kleine Firma namens VMware dafür, NetTop zu entwickeln. Diese Software sollte verschiedene virtuelle Maschinen erzeugen, in denen Daten nach den Klassifizierungsstufen ‚geheim’, ‚derzeit streng geheim’ und ‚später streng geheim’ abgelegt und analysiert werden konnten. Es gab jedoch sofort ein Problem, weil Analysten nicht in diesen Abstufungen arbeiten, sondern in allen Umgebungen gleichzeitig tätig sind. Ein Datenaustausch zwischen den Domains war somit unausweichlich.
Das Gleiche geschieht heute mit den dienstlichen und privaten IT-Umgebungen. Private E-Mails, die in meiner dienstlichen Maschine aufschlagen - und umgekehrt -, muss ich in der jeweils anderen Maschine lesen können. Entweder ich sende sie also per E-Mail weiter oder transferiere sie mithilfe eines USB-Sticks. Somit ist jegliche Trennung obsolet. Virtualisierung ist eine einzige Geldverschwendung. NetTop ist übrigens immer noch am Markt und wird sogar noch vereinzelt eingesetzt - von Geheimdienstlern.
Zufällig generierte Passwörter im 30-Tage-Zyklus bieten mehr Sicherheit
Kevin Haley, Chef des Symantec Security Response Teams: "Zufällig erzeugte Passwörter sind sicher, bergen aber auch Nachteile. Der Anwender kann sich diese Passwörter kaum merken und auch nur langsam eintippen. In der Praxis ist es um einiges einfacher, Passwörter zu erzeugen, die genauso sicher sind, aber leichter zu behalten - sie sollten 14 Zeichen lang sein, Groß- und Kleinbuchstaben sowie zwei Zahlen und zwei Sonderzeichen enthalten. Eine 30-Tage-Erneuerungsfrist mag für Hochsicherheitsumgebungen sinnvoll sein, bringt Anwender aber auch dazu, auf einfache Muster zurückzugreifen, um sich die immer neuen Passwörter merken zu können. Damit geht deren Sicherheit zurück. Ein Wechsel alle 90 bis 120 Tage ist wesentlich besser."
Jeder Computervirus macht sich für den Anwender irgendwie bemerkbar
David Perry, Chef von G Data Nordamerika: "Für den Normalverbraucher sind Computerviren ein großes Mysterium. Das meiste, was er über Malware weiß, stammt aus dem Fernsehen oder aus Science-Fiction-Filmen. Dass sich ein Virus auf dem Rechner bemerkbar macht - beispielsweise durch verschwindende Symbole auf dem Desktop -, ist ein solcher Mythos."
Wir sind kein Angriffsziel
Alan Brill, Senior Managing Director Cybersecurity bei Kroll: "Viele Unternehmen glauben, dass ihre Systeme einen Angriff nicht wert sind, weil sie zu klein sind oder keine kritischen respektive wertvollen Daten besitzen. Diese Annahme, die viele Attackierte einst lange vertraten, ist offensichtlich falsch."
Neue Software ist nicht sicherer als alte
Gary McGraw, CTO bei Cigital: "Die Softwareentwicklung ist besser geworden, und die Anfälligkeit für Schwachstellen geht zurück. Sicheres Coding wird heute weit besser verstanden und mit geeigneteren Tools umgesetzt als vor zehn oder 20 Jahren. Wir wissen, was zu tun ist. Zu Zeiten von Windows 95 wurde beispielsweise viel weniger Programmcode geschrieben als heute - deshalb mag es so aussehen, dass heutige Programme genauso anfällig sind wie ältere Software. Es liegt schlicht an der unglaublichen Menge an Codezeilen und mehr potenziellen Einfallstoren. Perfektion ist unmöglich."
Der Transfer von sensiblen Daten via SSL ist sicher
Rainer Enders, CTO bei NCP Engineering: "Unternehmen verwenden das SSL-Protokoll, um kritische Daten von Kunden oder Partnern zu übertragen, in der Annahme, dass diese Art des Transfers sicher ist. Die Anfälligkeit von SSL wird jedoch zunehmend größer. So gab es bei der Citigroup im vergangenen Jahr einen Datenabfluss, der auf diese Art von Datenübertragung zurückzuführen ist. Schweizer Forscher haben kürzlich einen Weg gefunden, mit SSL übertragene Daten abzufangen, indem Schwachstellen bei der Implementierung von Blockchiffren wie AES angegriffen wurden. Die Zweifel an der SSL-Sicherheit werden größer. Auch die vielgerühmten SSL-Zertifikate verlieren zunehmend an Vertrauen, weil bereits perfekt gefälschte Versionen aufgetaucht sind. Vielleicht ist es ratsam, niemals zwei Dokumente mit dem gleichen Schlüssel zu kodieren."
Endpoint-Security-Software ist Commodity geworden
Jon Oltsik, Analyst bei der Enterprise Strategy Group (ESG): "Unternehmensentscheider stimmen zu, dass es bei Endpunkt-Sicherheits-Software keine Unterscheidungsmerkmale zwischen den einzelnen Lösungen mehr gibt. Das hat zumindest eine ESG-Umfrage ergeben. Ich teile diese Auffassung aber nicht. Die Produkte sind in puncto Schutzlevel und Funktionsumfang grundverschieden. Unternehmen kennen die eingebauten Features nur oft gar nicht und setzen die Lösungen dementsprechend falsch ein."
Mit einer Firewall ist ein Netzwerk geschützt
Kevin Butler, Analyst für IT-Sicherheit an der Medizinischen Universität Arkansas: "Es gibt viele Mythen über Firewalls. Die, die ich am häufigsten gehört habe, sind die Auffassungen, dass Firewalls immer ein Stück Hardware sind und dass eine ordentlich konfigurierte Firewall ein Netzwerk vor allen Bedrohungen schützt. Auch die Annahmen, dass die Firewall eine AV-Lösung komplett ersetzen könne und sogar gegen Zero-Day-Attacken schütze, sind Nonsense. Eine Firewall darf niemals eine ‚Installieren und Probleme vergessen’-Lösung sein!"
Apple iPhone und iPad sind unsicher
Das Apple iPhone ist ein Paradebeispiel für den BYOD-Trend. Ursprünglich brachte das Hype-Smartphone keine nennenswerten Funktionen für die Verwaltung innerhalb der Firmen-IT mit. Zwar verbesserte Apple mit neuen iOS-Versionen auch die Verwaltbarkeit von iPhone und iPad, aber Administratoren haben immer noch Bauchschmerzen vor allem in Sachen Sicherheit.
Dabei haben iOS-Geräte im Vergleich beispielsweise zu ihren Android-Pendants kaum Probleme mit Lücken, Trojanern und Co. Stefan Strobel, Geschäftsführer der cirosec GmbH : "Die aktuellen Geräte von Apple bieten auch im Vergleich zu den meisten Geräten auf Android oder Windows- Phone-Basis mehr Sicherheit. Die Kontrolle der Applikationen im AppStore, die Verwendung von spezieller Hardware mit der Unterstützung von Kryptografie sowie die zahlreichen Sicherheitsfeatures im Betriebssystem führen dazu, dass die Apple-Geräte heute als sicherer gelten als die direkten Marktbegleiter." (hal/mec)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.