28. April 2007
Was ist eigentlich aus den angekündigten Handy-Viren geworden? Außer dem einen oder anderen Hoax dazu und vielleicht ein paar Proof-of-Concept Viren wie Cabir kann ich nichts mehr dazu finden. F-Secure hat zwar 2005 mal versucht, den Toyota Prius über die Bluetooth-Schnittstelle mit Cabir zu infizieren, nach deren Aussage aber ohne Erfolg. Ok, es gab wohl ein paar Fast-Infektionen, aber nichts das wirklich größeren Schaden verursacht hätte.
Trotzdem scheint ein Markt für Anti-Virus Produkte da zu sein. Kaspersky bietet ein Anti-Virus Mobile an, ebenso Trend Micro. Kauft das irgendwer? Ist da wirklich ein Markt? Handelt es sich um reine Panikmache? Oder sind so viele mobile Geräte schon geschützt, dass sich die Viren und Würmer deshalb nicht mehr ausbreiten können?
Um Aufklärung wird gebeten.
Gartner hat laut CIO.com festgestellt, dass regelmäßige Sicherheitsprüfungen die IT-Sicherheit im Unternehmen erhöhen:
Richard Hunter, a vice president and analyst on security and privacy with Gartner, says that CIOs should regularly run IT security audits on the „practices and procedures related to IT operations“. The audit needs to be an objective „examination of records by an impartial third party“.
Zusätzlich zu internen Audits kann offensichtlich auf externe Audits nicht verzichtet werden. Dabei kann es sich um reguläre Security Audits, Vunerability Assessments oder Penetration Tests handeln, wichtig ist vor allem, sie werden von einem seriösen Partner durchgeführt und finden regelmäßig statt.
Wichtig für das beauftragende Unternehmen ist dabei vor allem, dass einen brauchbare Dokumentation erstellt wird. In unserer Dokumentation ist nicht nur die Auflistung und Bewertung aller entdeckten und potentiellen Schwachstellen enthalten, zusätzlich erhält der Auftraggeber auch Empfehlungen zur Verbesserung der IT-Sicherheit. Und natürlich eine Übersicht aller verwendeten Tools, die Rohdaten aller Scanner (Nmap, Nessus, etc.) und den Source Code von eventuell von uns erstellter Exploits. Erst mit den Rohdaten kann der Auftraggeber auch prüfen, mit welchen Optionen ein Scanner gestartet wurde und ob eventuell Dienste übersehen wurden.
Unternehmen, die nach einem Penetrationstest diese Daten nicht herausrücken, vielleicht noch unter Verweis auf „Geschäftsgeheimnisse“ haben meiner Meinung nach das Attribut „seriös“ nicht verdient.