Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

Angriffsmöglichkeiten – und erschweren eine Abwehr enorm. Selbst im privaten Bereich kennt man das Problem der ungezielten Verteilung, wenn etwa unbeschriftete CD -Rohlinge beim Frühjahrsputz gefunden werden und niemand mehr weiß, was darauf gespeichert ist. Ähnliches geschieht bei älteren Mobiltelefonen, USB -Sticks oder einstigen Speicherkarten.
    Und mit den Sicherheitsprodukten ist das alles keineswegs einfacher geworden. Im Gegenteil: Häufig sind diese selbst so vertrackt, dass sie nur noch «out of the box» installiert und im Anschluss nach dem Spruch «
Never touch a running system
 – Was läuft, das läuft» nie wieder angerührt werden. Beispiel WAF s (Web Application Firewall). WAF s sind Sicherheitsprodukte, die Kunden davor schützen sollen, dass Sicherheitslücken in Webanwendungen ausgenutzt werden. Angreifer versuchen sich über diese Lücken Zugang zum System zu verschaffen – eines der häufigsten Einfallstore für Hacker. Kurz gesagt: Er ist dann drin. WAF s galten lange Zeit als Allheilmittel gegen derartige Attacken. Konnte man doch genau konfigurieren, welche Anfrage auf welches Programm zugreifen durfte, wer also ins System durfte und wer nicht. Das Problem dabei: Ist der digitale Türsteher falsch konfiguriert und sagt nicht: «Du bleibst hübsch draußen», sondern: «Willkommen und einen schönen Abend noch», ist der Angreifer wiederum im System. WAF s sind so komplex zu konfigurieren, dass man dies meist nur einmal zu Beginn der Inbetriebnahme macht und dann nie wieder. Wer dies als Privatanwender schon einmal versucht hat, weiß das. Das Strom- und Gasunternehmen E. ON beispielsweise betrieb bis 2010 eine Firewall mit circa 80 000  Einzelregelungen. Ob sich jemals jemand deren Protokolle angesehen hat? So gerät Sicherheit durch zu hohe Komplexität zu einer Farce und führt zu einer gefühlten Sicherheit, die in Wahrheit keine ist.
    Selbst unkompliziertere Produkte wie ein Virenschutz sind häufig kaum zu konfigurieren. Stellt man den Virenscanner zu scharf, meldet er dauernd Alarm, meldet er sich niemals, fragt auch keiner nach – er wird schon wissen, was er tut. Die Firewall, die mit Windows Vista ausgeliefert wurde und erhöhte Sicherheit versprach, fragte plötzlich nach jedem Vorgang: «Erlauben, verbieten, abbrechen?» Das nervte die Anwender derart, dass die gutgemeinte Windows-Firewall häufig kurzerhand abgeschaltet wurde und die Nutzer den Computer fortan ohne Schutz betrieben.
    Im Juni 2013 wurde ich selbst Zeuge einer typischen «Sicherheit-ist-einfach-Situation». Während ich an einem Vortrag arbeitete, erschien auf dem Bildschirm meines Apple-Computers plötzlich eine Meldung: «Es sind Updates für Ihren Computer verfügbar. Jetzt installieren?» Bei genauerem Hinsehen stellte sich das Update als ein Patch zu einem MS -Office Produkt heraus. Aha, dachte ich, darüber wollte ich ja eh noch schreiben, und klickte auf «Informationen». In dem erscheinenden Fenster war Folgendes zu lesen:
    Mit diesem Update werden kritische Probleme behoben und die Sicherheit erhöht. Es enthält Korrekturen für Sicherheitslücken, die von einem Angreifer zum Überschreiben der Inhalte des Arbeitsspeichers Ihres Computers mit Malware ausgenutzt werden können.
    Detaillierte Informationen zu diesem Update erhalten Sie auf folgender Website http://go.microsoft.com/fwlink/?LinkId= 301267 .
    Malware war ein Computerschädling, und die angegebene Website eine Umleitung zu einer anderen Seite. Aus Sicherheitsgründen wird so etwas eigentlich nicht gemacht. Aber egal, dachte ich, die Jungs aus den USA werden schon wissen, was sie tun. Unter support.microsoft.com/kb/ 2848689 las ich dann:
    Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, die dadurch verursacht wird, wie Microsoft Office-Software speziell gestaltete Office-Dateien analysiert. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
    Manche Dinge sollte man erst gar nicht lesen, dachte ich. Was wie ein normales Update daherkommt, ist eine Hammerlücke.
    Microsoft dankt den