S. Feld, M. Linnemann, N. Pohlmann:,
“Kurányi wird entlassen?! – Patch-Management im Privat- und Unternehmensumfeld – Nutzen und Gefahren von Bugfix, Update, Patch und Co.”,
IT-Sicherheit – Management und Praxis,
DATAKONTEXT-Fachverlag,
03/2009 Wenn im Auto die Lampe für eine Fehlfunktion aufleuchtet, fährt man schnurstracks zur Werkstatt und zahlt bereitwillig Geld, damit die Bremsen funktionieren oder das ESP einsatzfähig bleibt. Wenn ein Programm auf dem PC die Information ausgibt, dass ein Update bereitsteht, so kann es durchaus sein, dass die Nachricht einfach weggeklickt oder ignoriert wird, da sie gerade stört. Und Geld würde man dafür erst recht nicht ausgeben wollen. Genau wie beim Auto sind nicht alle Updates sicherheitsrelevant, aber genau dies sollte man genau im Blick haben, um nicht Opfer von Angriffen zu werden. Es gibt heutzutage noch keine Sicherheitskultur im Internet und Systeme können auch nicht zu 100% geschützt werden, allerdings sollten die uns zur Verfügung stehenden Mittel mit hoher Priorisierung genutzt werden. Kein Sicherheitsbewusstsein für digitale Medien
Patch-Management beschreibt die permanente Organisation von Updates für Geräte und Applikationen. Dies ist absolut notwendig, um Einfallstore in die eigene IT so gering wie möglich zu halten. Prominente Beispiele aus der nahen Vergangenheit zeigen die Probleme und das mangelnde Sicherheitsbewusstsein recht eindeutig:
Die Entwickler eines verbreiteten Content-Management-Systems haben ein Sicherheitspatch angekündigt, das bei Veröffentlichung sofort eingespielt werden soll, da die Veröffentlichung auch die Beschaffenheit des Fehlers mit sich bringt. Dieses Vorgehen ist gut, üblich und nachvollziehbar, allerdings nur effizient, wenn die Verantwortlichen das Update auch tatsächlich einspielen. Aufgrund dieses Fehlers wurde
eine prominente Werbung gegen Vorratsdatenspeicherung auf der Webseite des Bundesinnenministers geschaltet [1] sowie eine „virtuelle“ Entlassung von Kevin Kurányi auf der Seite des FC Schalke 04 bekannt gegeben [2]. Eine Studie des Instituts für Internet-Sicherheit hat zusätzlich ergeben, dass viele weitere Webseiten noch Wochen nach Bekanntgabe des Patches nicht aktualisiert wurden [3].
Die Manipulation der betroffenen Seiten konnte jedoch nur stattfinden, da ein zusätzlicher Fehler der Webseitenbetreiber gemacht wurde: Die Wahl eines schwachen Passworts für einen wichtigen Dienst der Webseite, der dem Angreifer Vollzugriff auf das System gewährleistet. In einem Fall heißt es, dass das Passwort „gewinner“ lautete. Der Vorfall verdeutlicht, dass noch kein Sicherheitsbewusstsein für die digitalen Dienste besteht.
Das Internet verknüpft die Welt – Freund und Feind
Die virtuelle Welt bildet ständig wachsend eine große Anzahl an Geschäftsprozessen der Unternehmen ab. Speziell das Internet trägt enorm dazu bei, neue Vertriebskanäle zu eröffnen oder die globale Zusammenarbeit mit Firmen unterschiedlicher Herkunft zu vereinfachen, aber die Notwendigkeit die Cyber-Sicherheit zu erhöhen. Für die meisten Unternehmen bedeutet der Ausfall der IT den Totalausfall aller Prozesse. Aber auch im privaten Umfeld findet das Internet beträchtlichen Zuspruch. Anwendungen wie Online-Banking, Online-Auktionshäuser oder E-Mail-Versand sind kaum noch wegzudenken.
…
kostenlos downloaden | 
