2006 ist gerade vorbei, 2007 hat gerade angefangen - Zeit, die aktuelle Situation ein bisschen zusammenzufassen.

Eigentlich war 2006 doch ein recht ruhiges Jahr, zumindest für die IT-Sicherheit. Sensationell Neues ist nicht passiert, also sozusagen "Business as usual". Drei Punkte möchte ich trotzdem aufgreifen. Der Bedrohung durch mitgebrachte Hardware wie z.B. USB-Massenspeicher wurde mehr Aufmerksamkeit gewidmet, auch wenn diese Gefahr zumindest aus meiner Sicht häufig immer noch unterbewertet wird. Klar muss man seinen Mitarbeitern vertrauen können, sonst sollte man sie besser entlassen oder gar nicht erst einstellen. Aber schon das Stichwort "entlassen" führt zu einer möglichen Gefährdung: Wenn jemandem sowieso schon der Stuhl vor die Tür gesetzt wurde, könnte er auf die Idee kommen, auch gleich noch eine Kopie z.B. der Kundendatenbank mitzunehmen. Und was ist mit einem Besucher, der für wenige Augenblicke allein in einem Büro wartet und in der Zeit mal eben einen Autostart-fähigen USB-Stick mit Kopierprogramm in einen USB-Port steckt? Je nach Größe des Unternehmens wird die Ausbeute mehr oder weniger ergiebig sein - je größer das Unternehmen, desto weniger wirklich sensitive Daten finden sich auf den einzelnen Arbeitsplatzrechnern. Trotzdem (oder gerade deswegen) sollten mögliche Gegenmaßnahmen getroffen werden. Einige Lösungsmöglichkeiten hatte ich ja in 'About Security: Ein Bericht von der CeBIT' aufgeführt.

Die zweite Auffälligkeit 2006 war die häufige Ausnutzung neuer Schwachstellen in Microsoft-Programmen kurz nach Microsofts monatlichen Patchday. Da Microsoft meist beim üblichen Rhythmus bleibt, gibt das den bösen Buben einen Monat Zeit, auf ihre Kosten zu kommen. Solange Microsoft am Patchday festhält, wird sich daran auch nichts ändern, denn warum sollten die Schadsoftware-Entwickler diesen Vorteil aufgeben?

Und der dritte Punkt sind die immer weiter wachsenden Botnets. Gadi Evron hat sich darüber einige Gedanken gemacht: 'Botnets: a retrospective to 2006, and where we are headed in 2007'. Seinem Fazit, das die Botnets weiter wachsen und stärker ausgenutzt werden, kann ich nur zustimmen. Da hilft es auch nichts, dass die Zahl infizierter Rechner über Weihnachten kurzfristig zurückging, da infizierte Rechner durch neu geschenkte ersetzt wurden. Denn die werden über kurz oder lang auch wieder infiziert werden, wie z.B. auch aus einer Analyse des Internet Storm Center hervorgeht. Ich persönlich würde noch einen weiteren Faktor für den temporären Rückgang berücksichtigen: Vermutlich wurden viele infizierte Rechner zwischen Weihnachten und Neujahr auch ganz einfach ausgeschaltet, weil deren Besitzer im Weihnachtsurlaub waren.

Und was kommt 2007 auf uns zu? Zum Teil wurde die Frage ja oben schon beantwortet. Dann kommt Windows Vista für Endkunden - und rückt damit weiter ins Visier der bösen Buben. Die dürften inzwischen erste Schwachstellen auf Lager haben, um sofort loszulegen, wenn sich eine genügend große Anwenderbasis und damit ein lohnendes Ziel gebildet hat. Denn Vista ist eines mit Sicherheit nicht: Fehlerfrei. Es ist (vielleicht/hoffentlich) sicherer als XP und erfordert wahrscheinlich teilweise andere Angriffsmethoden. Aber Schwachstellen werden mit Sicherheit auch in Vista gefunden. Die wichtigste Frage daher ist, ob die neu eingeführten Schutzfunktionen a) technisch wirksam sind und nicht stattdessen neue Angriffspunkte bilden und b) überhaupt sinnvoll eingesetzt werden. Anwender, die heute jede Meldung ihrer Personal Firewall mit dem Gedanken "Lass mich in Ruhe, ich will ins Internet" wegklicken, werden auch Warnungen anderer Schutzfunktionen genauso ignorieren. Aber um sich darüber ein Urteil zu bilden, ist es noch viel zu früh. Mal sehen, wie das in einem halben oder ganzen Jahr aussieht. Denn so lange wird es mindestens dauern, bis sich Vista ausreichend verbreitet hat. XP funktioniert ja weiterhin, und viele werden warten, bis die Kinderkrankheiten aus Vista raus sind. Oder auch gar nicht zu Vista wechseln. Einige Gründe dafür hat Peter Gutmann aufgeschrieben: "A Cost Analysis of Windows Vista Content Protection". Allerdings sollte man immer, wenn das Stichwort Multimedia fällt, zwei Fälle unterscheiden: Zum einen die Privatanwender, die ein Interesse an Multimedia haben - und die Unternehmen, denen diese Funktionen meist ziemlich egal sind. Und ich kenne keinen Admin, der es mag, wenn Dritte an seinen Konfigurationen herumspielen. Ich vermute daher, dass es über kurz oder lang 2 Versionen von Vista geben wird: Ein Multimedia-Vista mit den von Peter Gutmann kritisierten Funktionen und eine für den professionellen Einsatz bestimmte Version ohne die ganzen dafür unnötigen Multimedia- und DRM-Funktionen.

Ein weiteres Gebiet mit dem Potenzial zu ganz neuen Sicherheitsproblemen ist das Phänomen 'Web 2.0'. Zum einen wird die Verbreitung klassischer Schädlinge wie Würmer und Trojaner darüber zunehmen. Zum anderen: Social Networks schreien doch geradezu nach Social Engineering. Mal sehen, was sich daraus noch entwickelt.

Carsten Eilers