17. April 2007
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat manchmal auch den Bezug zur Realität komplett verloren. Besonders eindrucksvoll demonstriert das meines Erachtens dieses PDF: Ein IT-Grundschutzprofil für eine kleine Organisation (2 MB!).
„Herr Anders führt einen kleinen Familienbetrieb mit 3 Angestellten. Zu den Angestellten zählt Frau Bauer (eine Sekretariatskraft), die halbtags arbeitet und zwei Außendienstmitarbeiter, die den ganzen Tag vor Ort bei den Kunden des Familienbetriebs beschäftigt sind.“
Eine Vertriebsfirma mit 2,5 Mitarbeitern neben dem Chef hat andere Sorgen als sich um Grundschutz zu kümmern. Außerdem reden wir in diesem „IT-Verbund“ von gerade mal zwei PCs, zwei Druckern und einem Notebook. Ach ja, die TK-Anlage nicht vergessen (auch wenn die gar nicht vernetzt ist). Am besten sollte man dem gleich das GSTool andrehen. Bei so wenig Rechnern kann man tatsächlich noch bei allen Bausteinen die erledigten Maßnahmen abhaken. Spätestens bei 40 oder 50 Objekten ist das viel zu umständlich. Da skaliert die Software gar nicht mehr. Aber vermutlich ist das im BSI mit ihren 30 oder 40 Rechnern in einer „mittleren“ Institution noch gar nicht aufgefallen.
Wenn zufällig jemand eine brauchbare Software zur Grundschutzmodellierung kennt, ich wäre ein dankbarer Abnehmer. Was ich gerne hätte wäre die im GSTool angedeutete Möglichkeit, Maßnahmen effizient mit Aufwand (MT) und Kostenangaben (einmalig, jährlich) zu versehen um eine schnelle Abschätzung der Kosten der Aufrechterhaltung der IT-Sicherheit zu erhalten.
Netter Artikel auf The Register: Chocolate the key to uncovering PC passwords
„Eine Studie unter 300 Büroangestellten, durchgeführt von Infosecurity Europe an einem Londoner Bahnhof zeigte, dass 64% der Befragten ihr PC-Passwort für eine Tafel Schokolade und ein nettes Lächeln herausgeben würden.“
und weiter:
„Die Studie zeigte außerdem, dass 29% der Angestellten das Passwort eines Kollegen wissen. Außerdem gibt es immer jemanden, der das Passwort des Chefs hat.“
nichts neues soweit … aber jetzt:
„Auf einer IT Konferenz wurden die Teilnehmer zuerst nach dem häufigsten Passwort und anschließend nach ihrem eigenen Passwort gefragt. Nur 22% der Befragten gaben ihr Passwort heraus … Durch weitere Social Engineering Techniken verrieten weitere 42% der Teilnehmer ihr Passwort … Was viele ITler nicht realisierten war, dass zusätzlich ihr Name und ihr Arbeitgeber auf den Teilnehmer-Badges stand“
Ahhh, Social Engineering ist schon was cooles …
Da fällt mir die alte Empfehlung wieder ein: Man nehme einen beliebigen Satz, davon die Anfangsbuchstaben und hat ein gutes Passwort. Ok, dann nehme ich: „Gabi erwartet heute einen indischen Mitarbeiter“.
Die Entwicklungszeit von Patches und Updates für Sicherheitslücken in Microsoft-Produkten lässt mich manchmal ein wenig staunen:
Aus dem eEye Research Portal (alle mit Remote Code Execution):
- Windows Workstation Service NetpManageIPCConnect Buffer Overflow: 112 Tage
- Windows Media Player BMP Heap Overflow: 120 Tage
- Windows Metafile Multiple Heap Overflows: 224 Tage
- Windows Local Security Authority Service Remote Buffer Overflow: 188 Tage
Aus der Bugtraq Mailingliste:
- Xbox 360 Hypervisor Privilege Escalation Vulnerability: 6 Tage
Mit der Hypervisor Privilege Escalation lassen sich z.B. kopierte Spiele auf der XBox spielen oder Linux installieren. Also nichts, was Remote durchführbar wäre.
Ich denke man erkennt die Prioritäten …