Sicher is sicher oder die selektive Wahrnehmung von Sicherheit (IMHO)

In dem Fall "WannaCry" sehe ich mich in verschiedenen Punkte bestätigt, die sich auf das Thema IT-Sicherheit beziehen. Einen verzweifelten Schrei der Irritation lösen in mir die vermeintlichen Experten aus, die sich untereinander überbieten in widersprüchlichen und kuriosen Sicherheitstipps. Meiner Ansicht nach zeigte WannaCry, dass die meisten dieser Tipps fahrlässig sind. Im folgenden Teil erläutere ich dies anhand typischer Aussagen.


"Ich verwalte die Updates. Da lasse ich mir nicht reinreden. Daher deaktiviere ich die automatische Installation der Updates."

Besonders in Bezug auf Windows 10 fällt dieser Satz. Microsoft ist nicht unschuldig daran, was zu seltsamen Konsequenzen im Nutzerverhalten führt:
  • Die Firma aus Redmond nutzte das Windows Update, um neue Features zu installieren. Ein Beispiel ist das Add-On zur Suche "Bing". Während unter Windows 7 die Updates zwischen "Wichtig" und "Optional" unterteilt sind, findet sich diese unter Windows 10 nicht mehr. Das Bing-Add-On fand sich unter "Optional".
    Die Befürworter des Satzes fühlen sich berufen, zu entscheiden, welche Updates "optional" sind.
  • In letzter Zeit verliefen manche Windows-Updates nicht ohne Probleme. Aus dem Grund warten sie lieber, bevor sie ein Update installiert.
WannaCry zeigte, dass alle Updates sofort zu installieren sind. Dies bedeutet:
  • Ungewollte Features lassen sich deinstallieren.
  • Ein System, dass wegen eines fehlerhaften Updates zerstört ist, lässt sich in der Regel ohne einen zusätzlichen Zeitaufwand neu aufsetzen.
  • Ist ein System durch ein Virus nicht funktionsfähig, lässt sich dies in der Regel mit einem zusätzlichen Zeitaufwand neu aufzusetzen. Der Mehraufwand besteht darin, zu prüfen, dass der Virus sich über die Neuinstallation nicht einnistet oder den Weg über die Backups sucht.
  • Eine eigenständige Auswahl zu treffen, ist vermessen, da möglicherweise ein "unwichtiges" Updates gefährliche Lücken schließt.
Das Paradoxe an der Sache ist: ein automatisches Update bei Android wünschen sich viele und die gelieferten Updates von Apple nehmen alle ungefragt hin.

"Man braucht keine Antivirus-Software, die haben zu viele Lücken. Und machen das System unsicher."

Beiträge über unsichere Antivirensoftware scheinen gerade in Mode zu sein. Dieses Unwohlsein resultiert auf Lücken in den Programmen und scheinbar fehlerhaften Implementierungen (Stichwort SSL). Dieser aktuelle Hype mündet im Grundsatz, keine Antivirensoftware zu installieren und alleine auf Windows Defender zu vertrauen. Außerdem helfen brain.exe und Updates (wobei an der Stelle der Widerspruch zum ersten Satz auffällt.).

An der Stelle bestehen zwei Logikfehler:
  1. Gehen wir davon aus, dass in jeder Software Lücken existieren, stellt sich die Frage, aus welchem Grund Windows Defender eine Ausnahme darstellt.
  2. Gehen wir davon aus, dass der Mensch fehlbar ist, stellt sich die Frage, aus welchem Grund brain.exe eine Ausnahme darstellt.
Antivirensoftware nicht einzusetzen, halte ich für fahrlässig. Es ist ein zusätzlicher Baustein im Gerüst "Sicherheit". Windows Defender ist noch nicht soweit, diese Rolle zu übernehmen.
[Update 29.05.17]: Die mehrfache Behauptung in verschiedenen IT-News-Onlineseiten, dass Windows Defender als Schutzmaßnahme ausreicht, ändert an der Intension nichts, dass Windows Defender als Basisschutz gedacht ist.

Ich empfinde es merkwürdig, dass sich diese Experten lieber mit Add-Ons wie AdBlocker Plus oder NoScript ihren Browser zumüllen. AdBlocker führt eine Whitelist von Unternehmen, die für die "Freischaltung" bezahlen. Dies erscheint mir ein seltsamer Schutz. Außerdem protokolliert es den Trafik. NoScript nötigt den Nutzer zu entscheiden, welche Seite sicher ist. Es stellt sich die Frage, wer in der Lage ist, dies zu leisten, da mittlerweile "seriöse" Webseite von Infektionen betroffen sind.

Eigenartigerweise fragt bei AdBlocker und NoScript niemand nach eventuellen Lücken und einer fehlerhaften Implementierung. Das Vertrauen in diese Programme ist groß.

Ich setze diese Programme aus dem Grund nicht ein, da sie das Surfen im Internet stören.

"Ich führe kein Upgrade auf Windows 10 durch. Microsoft erhält meine Daten nicht"

Bei diesem Satz stehe ich vor einem Rätsel. Windows 10 bietet eine differenzierte Übersicht, um Datenschutz-Elemente nach den eigenen Bedürfnissen ab- oder einzuschalten. Trotz dieser Transparenz behaupten die Kritiker, dass Windows 10 im Hintergrund Daten sendet. Konkrete Beweise für diese vermeintliche Tatsache fehlen. Ich habe das Gefühl, dass es gleichgültig ist, was Microsoft unternimmt. Es bleibt böse und schlecht in den Augen der Kritiker. Da spielt es keine Rolle, dass Microsoft über das eigene Profil Optionen bereitstellt, die erfassten Daten einzusehen.
Eigenartigerweise vertrauen viele dieser Sicherheitsexperten Apple blind, obwohl dieses Unternehmen meines Wissens beispielsweise keine Übersicht über die gesammelten Daten anbietet. Eher glaubt man kritiklos der Aussage von Tim Cook, dass Apple keine Daten sammelt. Den Nutzern reicht ein Knopf, um den Datenschutz ein- oder auszuschalten. Im Umkehrschluss lasten die Kritiker Microsoft an der Stelle an, zu differenzieren.

Aus rein technischer Sicht traf die Darstellung von Tim Cook nicht uneingeschränkt zu, da ohne eine Sammlung die angebotenen Dienste nicht funktionieren. Verschiedene Berichte bestätigten, dass Apple sein Versprechen nicht ganz einhielt (Stichwort Siri). Für mich ist es ein Phänomen, dass diese Nachricht kaum jemanden interessiert.
Das gleiche Vertrauen schenken einige IT-Spezialisten Linux, wobei Ubuntu zeigte, dass Datenschutz ein dehnbarer Begriff ist (Stichwort Amazon-Treffer in der Suche).

Nach WannaCry sage ich: hätte man mal ein Upgrade auf Windows 10 gemacht, da Windows 10 nicht betroffen zu sein scheint.

"Ich nutze kein Windows. Mein Apple/Linux sei Dank"

Die Sichtweise, mit Apple/Linux wäre es nicht passiert, ist zu kurz gedacht. Es gibt ebenso Ransomware für diese Betriebssysteme, die sich ähnlich zügig verbreiteten, wie ihre Windows-Vorgänger. Dagegen ist die Anzahl der infizierten Rechner scheinbar geringer, als in der Windows-Welt. Dies halten die Vertreter von Apple und Linux den Windows-Vertretern gerne unter die Nase.
Meiner Ansicht nach, ist diese Annahme nicht haltbar. Das Problem liegt in der unzuverlässigen Datenlage auf Seiten der Nicht-Windows-Systemen. Dies hat einen banalen Grund: in der Apple- und Linux-Welt verwenden die Nutzer in der Regel keine Sicherheitssoftware. Sie sind der Meinung, dass ihr System aus zwei Gründen geschützt ist:

  1. Die Anzahl der bekannten Schädlinge ist gering. Damit geht die Wahrscheinlichkeit eines Befalls gegen Null.
  2. Das System ist in der Grundstruktur gegen Angriffe von außen geschützt.
Diese beiden Punkte entsprechen nicht der aktuellen Entwicklung. Zum einen verweisen verschiedene Berichte darauf, dass diese Einschätzung durch die steigende Infizierung unter Linux und MacOS falsch ist. Zum anderen bewies Linux, wie viel Zeit vergeht, bis die Community Lücken entdeckt.
Unter dem Schlussstrich steht fest, dass es auf diesen Systemen in der Regel kein Programm existiert, das Angriffe von Viren und Trojanern feststellt und erfasst. Insbesondere Trojaner, die sich das System (Bitcoin-Mining) zu eigen machen, bleiben ohne entsprechende Software auf lange Zeit garantiert unentdeckt.
Linux hat bewiesen, dass Lücken bis zu 20 Jahre unentdeckt bleiben. Wie sieht es mit Trojanern aus, wenn keine regelmäßige Überprüfung für ein System stattfindet?

Webcam abkleben

Ich fasse zusammen: automatische Updates sind unerwünscht, Upgrade auf Win 10 ist abzulehnen und Antiviren-Software ist überflüssig. Die Webcam hat abgeklebt zu sein, um sich gegen Spionage der Privatsphäre zu schützen?!

Dies ist für mich nicht nachvollziehbar. Ich empfinde es als ein Paradebeispiel für ein Paradoxon: die Wahrscheinlichkeit, sich einen Virus einzufangen ist deutlich höher, als dass mich jemand über die Webcam beobachtet.

Um die Notwendigkeit des Abklebens zu verdeutlichen, verweisen die Befürworter auf Prominente. Natürlich klebt Zuckerberg seine Webcam ab. Er ist ein lohnendes Ziel. Der Otto-Normal-Verbraucher, der nicht gerade Nackt vor der Kamera tanzt, ist eher Nebensache. Ich wage zu behaupten, dass die Bedrohung im Promille-Bereich liegt. Um Werbung für Antivirensoftware zu machen: Zuckerberg nutzt wahrscheinlich Sicherheitssoftware auf seinem Laptop.

Das Bedürfnis, die Webcam abzukleben, verstärken Spielfilme, die IT zum Inhalt haben. Dieser gruselige Effekt fehlt in solchen Filmen nicht, da dies einem Einbruch eines Unbekannten gleichkommt. Es steigert die Spannung. Genau betrachtet, sind in der Regel diese Einbrüche über die Webcam, gezielte Angriffe auf bestimmte Personen. Und diese Personen besitzen etwas Wertvolles.

In der heutigen Zeit geht es bei Schädlingen für die IT ausschließlich um das Geldverdienen. Rechner zu kapern und die vorliegenden Informationen abzugreifen, ist gewinnbringender, als eine Filmaufnahme aus dem Wohnzimmer. Und ist das Wohnzimmer leer, bedeutet dies nicht, dass niemand in der Wohnung ist.

WannaCry zeigt, dass eine unausgeglichene Sichtweise zur Sicherheit, ein System eher gefährdet, als schützt.

Kommentare

Beliebte Posts aus diesem Blog

Herr Kaube, was soll das? (IMHO)

Digitaler Unterricht aus der Praxis - Lust auf eine Blogparade