- Home
- News
- KES-Beitrag: Krieg ohne Grenzen
- Ausweitung der Kooperation im Europäischen Cyber-Raum
- Europa braucht vertrauenswürdige IT-Sicherheit und Digitale Souveränität
- itWatch auf der it-sa 2022 (Halle 7A, Stand Nr. 108): Vortrag: "Datenwäsche gegen Cyberangriffe und Ransomware einsetzen"
- itWatch auf der it-sa 2022: Datenwäsche und automatisierter Workflow für Daten unsicherer Herkunft (Halle 7A, Stand Nr. 108)
- itWatch auf der it-sa 2022
- „Cyber Security – Bedeutung und Entwicklung im aktuellen Weltgeschehen"
- Virenschutzprodukte Kaspersky
- Digitale Souveränität und die Einschätzung der Sicherheit von Lieferketten. Eine Managementdisziplin?
- Sicherheitslücke „Log4j“ ist kein Problem beim Einsatz von itWatch Produkten
- Interview mit Ramon Mörl zum Stand der IT-Sicherheit von der it-sa 2021
- Wovor muss die IT heute den Anwender schützen? Kann der Staat sein Schutzversprechen im Cyberraum erfüllen?
- itWatch auf der it-sa 2021: EDR, XDR, itWash und CodePurIty
- itWatch auf der AFCEA: Hochrangiger Besuch interessiert sich für It-Sicherheit aus erster Hand
- it-sa 365 Vortrag: 15.06.2021 // 10:15 – 10:30 Uhr -->Ohne ausführbares Objekt kein Angriff: alle Anwendungen sicher nutzen – was braucht man d...
- it-sa 365 Vortrag 16.06.2021 // 10:15 – 10:30 Uhr --> Alle ausführbaren Objekte/Anwendungen überall erkennen, qualifizieren und sicher nutzen: w...
- Livestream MCSC 2020 itWatch Geschäftsführer
- itWatch Sicherheitshinweis (für Administratoren)
- Passwortlisten, Kontoauszüge, vermeintlich leere USB-Sticks
- Sicherheitsleck CVE-2020-17022 im Windows Betriebssystem - mit itWatch bleibt trotzdem alles sicher
- Ramon Mörl, Geschäftsführer der itWatch GmbH, erhält Deutor Cyber Security Best Practice Award 2019
- itWatch Geschäftsführer Ramon Mörl zitiert von heise online
- Daten unsicherer Herkunft sicher verarbeiten - it-sa 2019
- Deutor Cyber Security Best Practice Award 2019
- itWatch Messeinterview Hannovermesse 2019
- Buchbeitrag
- TeleTrusT-Regionalstelle München
- Bis zu 50.000,- € Förderung für IT
- CeBIT 2017: „IT-Security Innovation“
- RSA 2015: Schadcode
- Videos Business Security
- Countdown zur CeBIT
- Vertrauenskette
- Smart Digital Award
- Microsoft kooperiert mit den nationalen IT-Sicherheitsanbietern
- trueCrypt warnt vor eigener unsicherer Verschlüsselungssoftware - mit PDWatch2Go Daten weiter sicher und kostenfrei Verschlüsseln
- Symantec sagt Anti Virensoftware ist tot
- Interview mit Edward Snowden
- Hackerangriff per USB-Stick auf Bankautomaten
- Kampagne gegen unerwünschte Datenweiterleitung
- iOS-Geräte über Ladegeräte infizierbar
- Miniduke zielt auf Entscheider
- Signierte Malware
- Chinesische Einbrüche bei US-Medien
- Spionagevirus
- Viren bei US-Stromversorgern
- Digitale Dias gewurmt
- Zunahme Drive-by-Angriffe
- Vorsicht bei UPnP
- Die Nationale Vertrauenskette
- Technik Insight: Wie schütze ich mich sicher vor BADUSB-Angriffen?
- Auszeichnung als "Best New Technology Partner"
- NCP Award
- Success Story SGF
- Industrie 4.0
- Produkte
- Support
- Über itWatch
- Partner
- Events/Schulungen
- Downloads
- Videos
- Ihre Cybersicherheitsstrategie
- Distributed Ledger, Blockchain als Treiber für eine Lösung zum Management v. Digitaler Souveränität
- Dig. Souveränität Lieferketten
- Bayerische Unternehmen trotz Fachkräftemangel effektiv vor Cyberangriffen schützen
- Datenwäsche gegen Cyberangriffe und Ransomware einsetzen
- Cyber-Security - denken wie ein Hacker - Risiken erkennen & managen, (digitale) Assets schützen"
- Ein Backup muss frei von Ransomware bzw. Schadcode sein - sonst hilft er im Krisenfall nicht.
- „Digitale Souveränität und die Einschätzung der Sicherheit von Lieferketten
- Ohne ausführbares Objekt kein Angriff
- Alle ausführbaren Anwendungen erkennen
- Munich Cyber Security Conference (MCSC)
- Data Centric Cyber Security
- Daten nutzen ohne Risiko
- Daten unsicherer Herkunft sicher verarbeiten
- Datenschleuse, Datenwäsche
Home / Über itWatch / Artikel / Die großen Lügen der IT Sicherheit
Die großen Lügen der IT Sicherheit
Es gibt jede Menge Thesen, Patentrezepte und andere Aussagen, die im IT-Umfeld versprechen, für Sicherheit zu sorgen. Für sich alleine genommen, entpuppen sich viele davon jedoch als glatt gelogen oder zumindest nicht „allein seligmachend“, meint unser Autor und plädiert für einen umfassenden Ansatz jenseits von „Buzzword-Security“.
Angriffsvektoren werden immer komplexer, treten an bekannten, erwarteten, aber auch an völlig unerwarteten Stellen auf – es gibt Aussagen, dass bei bestimmten Angriffen kein Schutz möglich oder der Angriff noch nicht einmal erkennbar ist. Es ist also an der Zeit, traditionelle Verfahren und Handlungsmuster daraufhin zu prüfen, wie zeitgemäß sie sind. Dabei fällt auf, dass einige der Strategien und Thesen, die aktuell als valide Lösungsszenarien gehandelt werden, an dem Ziel einer adäquaten IT Sicherheit mehr oder weniger vorbei gehen und das Ziel, einen optimalen Schutz mit den vorhandenen Mitteln umzusetzen, nicht erfüllen.
Dieser Artikel will gängige Thesen – für sich genommen und als alleiniges Ziel verfolgt – als „Lüge“ entlarven und in den richtigen Kontext setzen. Dazu dient exemplarisch ein Angriffsmuster als Referenz, das auf einer Tagung der Allianz für Cyber-Security (www.allianz-fuer-cybersicherheit.de), durch zwei Mitarbeiter des Fraunhofer SIT vorgestellt wurde – es könnten aber hier auch viele andere Angriffe (Conficker, Stuxnet, Flame,...) auf die Integrität eines Rechners als Beispiel fungieren.
Referenz-Angriff - Ein Angreifer übernimmt einen Standard-Client nur auf der Basis, dass beide Rechner im gleichen WLAN aktiv sind und der angegriffene Rechner einen Browser mit einer Softwareschwachstelle gestartet hat (und welcher Browser hat keine Schwachstelle?). Der angegriffene Anwender muss in diesem Szenario keinen „Ok“-Knopf drücken oder irgendeine kritische Aktion durchführen. In der Konsequenz erlangt der Angreifer über Schadsoftware (z. B. Keylogger), die er installiert hat, alle Daten des Rechners, den Usernamen und dessen Passwort – kann also nicht nur alle Daten von dem angegriffenen System abgreifen, sondern auch selbst in das Firmennetz eindringen.
Weiterlesen im pdf:
-
Erstmals erschienen in Ausgabe 05/2014 im Magazin kes (www.kes.info)