2142171

Sicherheit 2015

IT-Sicherheitsbericht 2015: Augen auf bei Facebook, mobilen Surfen

20.11.2015 | 15:09 Uhr |

In seinem neuen Bericht zur IT-Sicherheit in Deutschland hat das Innenministerium die aktuelle Lage skizziert. Ein Teil der Skizze verunsichert.

Jedes Jahr im November bringt das Bundesministerium des Inneren (BMI) einen umfassenden Bericht zur IT-Sicherheit in Deutschland heraus. So steht seit Donnerstag der aktuelle Bericht zum Download bereit. Darin nennen die Experten Ursachen der meisten Gefahren im IT-Bereich. Zum ersten Mal haben die Autoren Sicherheit von Apps, Internet-Protokolle, Mobiler Kommunikation und Nutzerverhalten sowie der Herstellerverantwortung in die Liste als Extra-Punkte aufgenommen.

Software-Schwachstellen

Nach Angaben des BMI hat sich die Anzahl der bekannten Schwachstellen für die erfassten Software-Produkte um ein Drittel erhöht. Im November 2014 hatte das Ministerium rund 1200 bekannte Bugs in der Datenbank, bis September 2015 waren es schon um 1800 Lücken. Aus dieser Liste hat das BMI 847 Bugs als kritisch eingestuft. Interessant ist die Verteilung der bekannten Sicherheitslücken auf die unterschiedliche Plattformen und Softwarekomponenten. Der einsame Spitzenreiter ist nach wie vor Adobe Flash mit rund 160 kritischen Schwachstellen, auf rund 130 kommen sowohl Internet Explorer als auch OS X. Für Windows (ohne Versionsangabe) sind dafür nur rund 110 Lücken bekannt.

Die Verteilung der Schwachstellen auf diverse Plattformen. Demnach ist OS X gefährlicher als Windows.
Vergrößern Die Verteilung der Schwachstellen auf diverse Plattformen. Demnach ist OS X gefährlicher als Windows.

Da die Software-Schwachstellen von Jahr zu Jahr immer mehr werden, sieht das Innenministerium die Hersteller in der Pflicht, nach der Bekanntgabe der Lücke die Fehler zu beseitigen und zeitnah Updates zu bringen. Auch die Nutzer müssten aufpassen und die angebotenen Updates sofort aufspielen. Sind die Einzelheiten einer Lücke bekannt, die Aktualisierung jedoch noch nicht verfügbar, rät das BMI von dem Gebrauch der Software ab – allein 2015 sind neun Vorfälle von Zero-Days-Exploits bekannt geworden. Dabei nutzen Hacker bekannte und noch nicht geschlossene Lücken.

Nutzerverhalten

Da Software zunehmend in neuen Bereichen wie Wearables oder dem Internet der Dinge eine sicherheitskritische Rolle spielt, müssen sich die Nutzer laut BMI frühzeitig über die bestehenden Gefahren informierten, von Anbietern mehr Verantwortung bei der Behandlung der eigenen Daten verlangen und in sozialen Medien bewusst agieren. Laut einer Sicherheitsstudie von IMB sind die Nutzer in rund der Hälfte aller Angriffe involviert – nach dem Motto: "Die größte Sicherheitslücke sitzt vor dem Bildschirm".

Mobile Kommunikation und Sicherheit von Apps

Abhören, Feststellen des Standortes – das Ausnutzen von Schwachstellen der primären Funktionen von Smartphones ist besonders beliebt. Vor allem Android bekommt im Sicherheitsbericht des Innenministeriums Schelte: Diverse Hersteller verschleppen Updates teilweise monatelang, selbst wenn eine schwerwiegende Lücke entdeckt wird. Konkret wird das Ministerium anhand der Stagefright-Lücke auf Android . Am schnellsten waren laut Untersuchung die Versionen für Googles eigene Nexus-Geräte aktualisiert. Insgesamt erhielten teure Smartphones Updates häufiger als billige Geräte – manche Nutzer müssen bis zu zehn Monate auf eine Aktualisierung warten.

Auch hat das Ministerium aus unterschiedlichen Stores (Google Play, App Store, Blackberry) rund 100 Apps getestet. Dabei haben die Experten insbesondere den Umgang der Apps mit Nutzerdaten bewertet. Hier wurden die Zugriffe auf Kalender, Adressbücher, Standortdaten sowie die Einbindung der Tracking-Netzwerke für mobile Werbung untersucht. Keine der Apps bestand die Sicherheitsprüfung, denn sehr viele davon hatten Tracking-Netzwerke eingebunden, die sich nicht ausschalten ließen. ( Seit iOS 9 stellt Apple diese Möglichkeit mittels Dritt-Apps auch zur Verfügung, da die Untersuchung jedoch bis September 2015 lief und iOS 9 erst Mitte September herauskam, wurde diese Möglichkeit im Bericht nicht behandelt. – Anm. der Redaktion ).

Schadsoftware und Antiviren-Entwickler

Auch bei Viren als einer der meist verbreiteten Gefahren im Internet sieht das Bundesministerium neue Tendenzen: Mobile Viren sind fast ausschließlich (96 %) auf der Android-Plattform verbreitet. Zu den meist verbreiteten Schadsoftware-Arten für Android gehören Trojaner mit 59 Prozent an der Gesamtmenge. Auf dem PC sind momentan 439 Millionen Schädlinge bekannt, meistens für Windows. Durch neue automatisierte Entwicklungsmethoden für Schadsoftware stoßen die traditionellen Antiviren-Hersteller an ihre Grenzen: Neue Schadsoftware wird schneller entwickelt, als sie erkannt werden kann.

Angreifer verbreiten die Viren und Trojaner am häufigsten über Drive-by-Exploits oder Spam-Mails. Die Experten vermerken eine Änderung bei den Spam-Mails im Jahr 2015. Während die Spammer im Vergleich mit 2014 ein Drittel weniger unerwünschter Nachrichten verschicken, versuchen sie andere Mittel zu nutzen: So haben sich die Versandzeiten auf die Mittagsstunden unter der Woche konzentriert, in der Hoffnung, mehr Nutzer werden die Mails öffnen und lesen. Die Betrüger ahmen verstärkt Dienste der großen Anbieter wie Apple nach, die Spam-Mails sprechen die Empfänger teilweise persönlich an.

Fazit

Im privaten Bereich sieht das Bundesministerium des Inneren Hersteller und Nutzer in der Pflicht, verantwortungsvoll mit den eigenen Geräten in Sachen IT-Sicherheit umzugehen. Die Hersteller müssen so schnell wie möglich bekannt gewordenen Lücken schließen und Nutzer mit den Sicherheitsupdates versorgen. Die Nutzer müssen lernen, Social Engineering und Manipulationsversuche besser zu erkennen, die sehr viele Angriffe aus dem Internet begleiten. Denn für die Brute-Force-Attacke benötigen die Angreifer Wissen und Ressourcen, fürs Erraten der Sicherheitsfrage "Wo bin ich geboren" – nur Internetzugriff und fünf Minuten auf der Facebook-Seite des Opfers.

0 Kommentare zu diesem Artikel
2142171