Drei Tage lang diskutierten Sicherheitsexperten in Barcelona über alle möglichen Sicherheitsmaßnahmen, die die Welt ihrer Meinung nach braucht: In Zukunft will man intelligente Selbstverteidigungsnetzwerke bauen und durch das Abschaffen von Passwörtern endlich den Einsatz von SmartCards vorantreiben: Um am Computer arbeiten zu können, soll man sich zuerst identifizieren, dann authentifizieren, um schließlich Zugang zu einem streng abgegrenzten Bereich zu erhalten. Glauben sie keiner Webseite - Sie könnten umgeleitet worden sein. Trauen Sie keinem Link in einer Email - ein Klick darauf könnte Sie dazu verleiten, Ihre persönlichen Daten einem Unbekannten anzuvertrauen. Verlassen Sie sich nicht darauf, dass Ihre Software auf dem neuesten Stand ist: Die Angreifer sind schneller als Sie, aber auch schneller als die Industrie. Hört man sich das an, dann wird man entweder paranoid, zieht den Stecker oder man wird - wie Bruce Schneier meint, Mitbegründer von Counterpain Internet Security, einfach zynisch.
Die Menschen auf dieser Konferenz wollen natürlich, dass man Angst hat. Sie werden versuchen, Sie davon zu überzeugen, dass das, was sie verkaufen, das ist, was Sie brauchen. Auf einer Sicherheitskonferenz muss man sich ein gewisses Maß an Skepsis bewahren. Ich würde mich nicht einschüchtern lassen, ich würde eher ein wenig zynischer werden, denn schließlich müssen die versuchen Ihnen Angst einzujagen, damit Sie ihnen etwas abkaufen.
Das Geschäft mit der Sicherheit ist eines der ältesten der Welt. Nur allzu erfolgreich ist man damit in der digitalen Welt noch nicht. Im Juni 2004 befragte die Gartner Group 2000 Personen bezüglich Sicherheit. Mehr als zwei Drittel gaben an, sich sicher zu fühlen, auch ganz ohne Sicherheitsvorkehrungen. Sie wussten nichts von einem Servicepack SP2 für Windows XP oder dass Virenprogramme auch ein Ablaufdatum haben. Andererseits hält sich die Bedrohung auch in Grenzen: Eine Studie von Forrester Research besagt, dass neun Prozent von sechs Millionen Haushalten auf die eine oder andere Art die Erfahrung gemacht hat, dass Informationstechniken auch eine Gefahr darstellen können. Manche meinen ja, dass die größte Bedrohung in der Computer-Welt die dort herrschende Monokultur sei. Für Detlef Eckert ist das kein Argument. Er ist Senior Direktor der Trustworthy Computing Initiative von Microsoft Europa.
Das ist im Prinzip ein schwaches Argument. Was man damit sagen möchte, ist dass es eigentlich keinen Anreiz gibt, zu investieren, weil man eine marktbeherrschende Stellung hat. Wie man an SP2 sieht ist das aber nicht der Fall. Das ist ein kostenloses Produkt, in dem ein Jahr Entwicklungszeit steckt und in das Marketingaufwand gesteckt wurde, damit die Benutzer darauf aufmerksam gemacht wurden, dass sie mit SP2 mehr Sicherheit erhalten.
7000 Maschinen, so Microsoft, rufen jetzt täglich das Servicepack 2 ab. Diese Woche wurde jedoch wieder eine Sicherheitslücke im Internet Explorer 6.0 gemeldet, die dazu führen kann, dass ein Angreifer das System übernehmen kann. Sehr bald tauchte daraufhin im Netz die Frage auf, ob dieses Problem auch das Service Paket 2 von XP betrifft.
Im Augenblick gibt es keine klare Antwort dazu, wir untersuchen das Problem derzeit. Es gibt aber eine Methode, eine Internetadresse zu fälschen beziehungsweise dem Benutzer eine falsche vorzuspielen, die aber im Servicepaket 2 nicht enthalten ist. Dies kann aber auf der vorherigen Plattform ausgenutzt werden. Das Problem ist also zu relativieren und wir werden im einzelnen dazu Stellung nehmen.
Heise Security meldete in der Zwischenzeit, dass die Sicherheitslücken nicht das Service Paket 2 betreffen, und rät den Benutzern von Windows 2000 bis zum Erscheinen eines Patches einen anderen Browser zu verwenden. Das Werkzeug zum Flicken von Sicherheitslöchern erscheint - so die Politik von Microsoft - jeden zweiten Dienstag eines Monats. Eines wurde auf der Konferenz in Barcelona klar: Sicherheit ist ein Wechselspiel zwischen Angreifer und Verteidiger. Für Bruce Schneier ist es ein System und nicht ein bestimmter Vorfall oder eine bestimmte Attacke. Um zu verstehen wie man sich schützen kann, empfiehlt er einen Ausflug in die Tierwelt.
Man muss sich das System als Ganzes ansehen und den Willen des Angreifers berücksichtigen. Man kann nicht einfach ein Schloss anbringen und behaupten: mein Haus ist sicher. Sicherheit ist kompliziert, sie war immer kompliziert und mit den technischen Systemen wurde es das noch mehr.
Die Menschen auf dieser Konferenz wollen natürlich, dass man Angst hat. Sie werden versuchen, Sie davon zu überzeugen, dass das, was sie verkaufen, das ist, was Sie brauchen. Auf einer Sicherheitskonferenz muss man sich ein gewisses Maß an Skepsis bewahren. Ich würde mich nicht einschüchtern lassen, ich würde eher ein wenig zynischer werden, denn schließlich müssen die versuchen Ihnen Angst einzujagen, damit Sie ihnen etwas abkaufen.
Das Geschäft mit der Sicherheit ist eines der ältesten der Welt. Nur allzu erfolgreich ist man damit in der digitalen Welt noch nicht. Im Juni 2004 befragte die Gartner Group 2000 Personen bezüglich Sicherheit. Mehr als zwei Drittel gaben an, sich sicher zu fühlen, auch ganz ohne Sicherheitsvorkehrungen. Sie wussten nichts von einem Servicepack SP2 für Windows XP oder dass Virenprogramme auch ein Ablaufdatum haben. Andererseits hält sich die Bedrohung auch in Grenzen: Eine Studie von Forrester Research besagt, dass neun Prozent von sechs Millionen Haushalten auf die eine oder andere Art die Erfahrung gemacht hat, dass Informationstechniken auch eine Gefahr darstellen können. Manche meinen ja, dass die größte Bedrohung in der Computer-Welt die dort herrschende Monokultur sei. Für Detlef Eckert ist das kein Argument. Er ist Senior Direktor der Trustworthy Computing Initiative von Microsoft Europa.
Das ist im Prinzip ein schwaches Argument. Was man damit sagen möchte, ist dass es eigentlich keinen Anreiz gibt, zu investieren, weil man eine marktbeherrschende Stellung hat. Wie man an SP2 sieht ist das aber nicht der Fall. Das ist ein kostenloses Produkt, in dem ein Jahr Entwicklungszeit steckt und in das Marketingaufwand gesteckt wurde, damit die Benutzer darauf aufmerksam gemacht wurden, dass sie mit SP2 mehr Sicherheit erhalten.
7000 Maschinen, so Microsoft, rufen jetzt täglich das Servicepack 2 ab. Diese Woche wurde jedoch wieder eine Sicherheitslücke im Internet Explorer 6.0 gemeldet, die dazu führen kann, dass ein Angreifer das System übernehmen kann. Sehr bald tauchte daraufhin im Netz die Frage auf, ob dieses Problem auch das Service Paket 2 von XP betrifft.
Im Augenblick gibt es keine klare Antwort dazu, wir untersuchen das Problem derzeit. Es gibt aber eine Methode, eine Internetadresse zu fälschen beziehungsweise dem Benutzer eine falsche vorzuspielen, die aber im Servicepaket 2 nicht enthalten ist. Dies kann aber auf der vorherigen Plattform ausgenutzt werden. Das Problem ist also zu relativieren und wir werden im einzelnen dazu Stellung nehmen.
Heise Security meldete in der Zwischenzeit, dass die Sicherheitslücken nicht das Service Paket 2 betreffen, und rät den Benutzern von Windows 2000 bis zum Erscheinen eines Patches einen anderen Browser zu verwenden. Das Werkzeug zum Flicken von Sicherheitslöchern erscheint - so die Politik von Microsoft - jeden zweiten Dienstag eines Monats. Eines wurde auf der Konferenz in Barcelona klar: Sicherheit ist ein Wechselspiel zwischen Angreifer und Verteidiger. Für Bruce Schneier ist es ein System und nicht ein bestimmter Vorfall oder eine bestimmte Attacke. Um zu verstehen wie man sich schützen kann, empfiehlt er einen Ausflug in die Tierwelt.
Man muss sich das System als Ganzes ansehen und den Willen des Angreifers berücksichtigen. Man kann nicht einfach ein Schloss anbringen und behaupten: mein Haus ist sicher. Sicherheit ist kompliziert, sie war immer kompliziert und mit den technischen Systemen wurde es das noch mehr.