Auf dem neuesten Stand – Weshalb Updates wichtig sind
Der Stand der Dinge
Nahezu wöchentlich werden wir seit einiger Zeit mit neuen Schauergeschichten über angegriffene Systeme, neue Bedrohungen und Cyberterrorismus in den gängigen Medien konfrontiert. Die Opfer solcher Angriff sind mittlerweile nicht mehr nur auf bestimmte Bereiche beschränkt: Betroffen sind Krankenhäusern, mittelständischen Unternehmen, Behörden, Regierungen und, nicht zuletzt, eine unbekannte, aber sehr hohen Zahl von privaten Geräten und Konten. Die daraus resultierenden Schäden belaufen sich auf mehrere Milliarden Dollar und das Jahr für Jahr.
Die US Behörde „Internet Crime Complaint Center“ oder kurz IC3, einem Zusammenschluss aus FBI und dem National White Collar Crime Center (Behörde für Wirtschaftsverbrechen), erstellt bereits seit 2005 eine jährliche Cyber Crime Zusammenfassung, aus welcher Verbrechen und deren Schäden, die über das Internet bzw. durch Angriffe auf IT Systeme von US Unternehmen durchgeführt wurden, hervorgehen. 2014 belief sich der Schaden aus einer Summe von 269.422 registrierten bzw. gemeldeten Angriffen auf eine Summe von 800,5 Millionen US Dollar. Die Dunkelziffer dürfte allerdings noch wesentlich höher sein, denn nicht jeder Angriff wird auch tatsächlich gemeldet. Auf der anderen Seite des großen Teichs werden selbstverständlich ebenfalls ganz ähnliche Statistiken geführt, Daten hierzu gibt es zur Genüge: Das Ponemon Institute, Verizon Business, Forrester Research, und das FBI veröffentlichen hierzu regelmäßig Daten. Berechnet werden die Wahrscheinlichkeit einer Datenpanne, Kosten von Systemausfällen, der Wert gestohlener/gelöschter/manipulierter Daten, Rechtskosten und verlorener Umsatz durch Kunden, die das Unternehmen verlassen oder wegen des Vorfalls gar nicht erst zum Kunden werden. Aktuell schätzt das Ponemon Institute die Kosten pro verlorenem Kundendatensatz auf 130 Euro (145 US-Dollar). Die durchschnittlichen Kosten pro Datenpanne belaufen sich auf 3,1 Millionen Euro (3,5 Millionen US-Dollar).
Beweggründe
Nun stellt sich die Frage, wie es dazu überhaupt kommen konnte. Die Beweggründe der Angreifer sind an sich recht simpel, denn es geht schlichtweg um Geld. Die aktuell rund 3,5 Milliarden Internetnutzer sind ein gefundenes Fressen für Angreifer und Angriffe jeder Art, selbst, wenn z.B. ein erbeuteter Datensatz mit Kreditkarten-Informationen nicht mehr als 20 Euro kostet, so macht die Masse der Daten den Verdienst aus. Kurzum: Das Cyber Crime Business boomt und beschränkt sich schon lange nicht mehr nur auf den Diebstahl von Daten und gängige Betrugsmaschen. Denn auch das beauftragte ausschalten eines Mitbewerbers, die Verunglimpfung von prominenten Persönlichkeiten, die gesteuerte Meinungsbildung durch (teilweise) vollautomatische Chat-Bots in sozialen Medien, die automatisierte positive Bewertung von Produkten und Dienstleistungen und nicht zuletzt auch die Erstellung (das sog. Mining) von digitalen bzw. Krypto-Währungen tragen dazu bei, dass wir verzweifeln und die Hacker Porsche fahren.
Im Grunde genommen kann man sagen (wie bereits im Artikel zur Spam Analyse erwähnt), dass das Internet an sich eigentlich „kaputt“ ist. Einer Studie zufolge sind über 60% des täglichen, weltweiten Datenverkehrs im Internet heute Schrott im Sinne von Spam, Angriffen, Viren, Malware, Ransomware, Scans und weiteren automatisierten Angriffen und Verfahren. Wenn man diese Zahl mal sacken lässt und sich dann noch überlegt, wieviel Schaden durch Ausfälle, Arbeitszeit zur Prävention und weiteren Faktoren wie Stromverbrauch (!) und Rechenzeit sprichwörtlich verbrannt wird, dann entspricht das einem wirtschaftlichen Schaden von zusätzlich mehreren Milliarden Euro in jedem Jahr, welche sich auf die bereits in der Einleitung erwähnten Schäden durch Cyber Crime hinzuaddieren.
Gefahr erkannt, Gefahr gebannt?
Um diesen Tatsachen entgegen zu wirken, haben es sich mittlerweile nahezu alle Software-Hersteller angewöhnt, uns Tag für Tag mit neuen Updates zu versorgen. Jeder kennt wohl die ständigen Aufforderungen am PC, Smartphone oder Tablet, dass dieses oder jenes App gerne ein Update hätte. Die Update-Aufforderungen haben aber mittlerweile eine derart hohe Frequenz erreicht, um bei den Anwendern für eine Ablehnungshaltung und / oder für Gleichgültigkeit zu sorgen. Beide Verhaltensmuster sind in ihrer Ausprägung allerdings fatal. Führt die Ablehnung von Updates früher oder später zu massiven Sicherheitslücken auf einem System, so kann auch die Gleichgültigkeit und die damit verbundenen „weiter, weiter, fertig“ Installationsmethodik dazu führen, dass sich der einzelne Anwender gar nicht mehr damit beschäftigt, welches Programm denn nun aus welchem Grund eigentlich ein Update oder einen Patch erhält. Stoisch wird einfach alles ohne zu hinterfragen installiert, wird schon passen. Auch dieses Verhalten kann früher oder später zu Problemen und Sicherheitsbedrohungen führen, denn nur, weil eine Lücke gepatcht wird bedeutet nicht, dass nicht eine andere dafür mit installiert wird.
Grundsätzliche besteht hier eine Analogie zur bereits im Artikel „Sicher ist Sicher“ erwähnten Überforderung des einzelnen. Und auch hier ist (unter anderem) wieder einmal die Schuld bei der New Economy zu suchen: durch das rasante Wachstum und der Rate, mit welcher neue Geräte, Software und anderen technische „Hilfsmittel“ auf den Markt kommen, besteht einfach keine andere Chance mehr, es muss folglich zu einer selbständigen und durch die Märkte und Konsumenten getriebenen Katastrophe kommen.
Korrektes Verhalten
Und dennoch: Ohne diese Möglichkeiten, Systeme, Geräte und Programme ist ein leben oder gar arbeiten nicht mehr denkbar. Umso wichtiger ist es, nicht dazu beizutragen, dass es zum persönlichen oder geschäftlichen Super-GAU kommen kann. Aus diesem Grund gilt für geschäftlich genutzte System: Wenn das System zum Update auffordert, dann wurde dieses Update bereits durch die IT Abteilung überprüft und zur Installation freigegeben. Bitte installiert diese Update möglichst zeitnah, auch wenn es nervt.
Für private Geräte sollte gelten: Ungenutzte Programme deinstallieren, denn diese benötigen schonmal keine Updates mehr und stellen Angreifern auch keine evtl. vorhandenen Sicherheitslücken zur Verfügung. Alle anderen Programme bzw. Apps sollten regelmäßig aktualisiert werden. Erhält eine Anwendung längere Zeit kein Update, so sollte hinterfragt werden, ob es nicht auch eine Alternative zu diesem Programm gibt, denn keine Bereitstellung von Updates kann auch bedeuten, dass das Produkt nicht länger aktiv von seinem Entwickler betreut wird – das kann früher oder später dann Wiederrum zu Problemen durch Schwachstellen führen.
Das gleiche gilt selbstverständlich nicht nur für Endgeräte wie PCs und Smartphones, denn auch der Router, Drucker oder das tolle neue Smarthome-Gadget möchte gerne hin und wieder aktualisiert werden. Diese Geräte bitte ebenfalls im Auge und vor allem aktuell halten.
Ein besonderes Fleißkärtchen können jene User sich selbst erstellen, wenn sie sich dann auch noch VOR der Installation mit der Update-Beschreibung beschäftigen und dann ihre eigenen Schlüsse ziehen… (OK, das werde wohl die wenigsten tun, aber man wird ja noch Träume haben dürfen 😉 )
Zero-Day-Exploits
„OK, verstanden, ich installiere Updates und bin dann 100% sicher?“ – diese und ähnliche Fragen müssen rigoros mit NEIN beantwortet werden, denn leider schläft die Cyber Crime „Industrie“ nicht. Besonders gut bezahlt sind nämlich so genannte Zero-Day-Exploits, also Schwachstellen, welche noch nicht öffentlich bekannt gemacht wurden. Das Vorhandensein einer unbekannten Schachstelle eröffnet Angreifern vollkommen neue Möglichkeiten, denn wenn selbst der Hersteller des Produktes nicht weiß, dass dieser Fehler existiert, wie sollen es dann die Anwender oder gar ein Security- / Anti-Virus-Anbieter wissen? Das Ausnutzen einer solchen Schwachstelle kommt, je nach Komplexität des Angriffs, einem Freifahrtschein gleich. Dieser Tatsache sind sich die großen Software-Entwickler natürlich schon lange bewusst und haben, als Reaktion auf die teilweise immens hohen Beträge, welche für Zero-Day-Exploits in Hackerkreisen bezahlt werden, mit der Einführung sog. „Bug-Bountys“ reagiert. Meldet der Entdecker einer Schwachstelle diese an den Software-Hersteller, so wird er mit einer entsprechend hohen Geldsumme für die Entdeckung belohnt. An dieser Stelle trennt sich dann die Spreu vom Weizen, denn wohlwollende Sicherheitsexperten werden wohl eher den Bug-Bounty-Weg einschlagen, böswillige Hacker bzw. Kriminelle jedoch werden ihr Wissen wohl trotz der in Aussicht gestellten Belohnung in einschlägigen Kreisen verkaufen oder die Schwachstelle selbst ausnutzen.
Fazit
Wir haben gelernt, dass es zwar keinen 100%igen Schutz geben kann, ein gewisses Niveau an Schutz jedoch relativ einfach aufrecht erhalten werden kann. Dieser Schutz wird einerseits systemseitig durch uns gewährleistet, andererseits aber sind wir auch auf die Mitarbeit jedes einzelnen Anwenders angewiesen. Je besser IHR also informiert seid und je konzetrierter IHR mitmacht, umso besser sind WIR ALLE vor Bedrohungen geschützt.
Falls ihr allgemein mehr über IT-Sicherheit, richtiges Verhalten am PC-Arbeitsplatz oder die Vermeidung von Datenverlust, Identitäts-Diebstahl und den Methoden der Hacker wissen möchtet, dann schreibt uns einfach eine kurz Mail an security@XYZ.de. Wir werden jede Anfrage prüfen und uns Gedanken machen, inwiefern wir die Themen am besten aufbereiten und präsentieren können.