Menü
IT Sicherheit ist ein Weg, kein Ziel!
10.05.2018

Fehlende Basis-Funktionen

IT Sicherheit ist ein harter Job.
Knappe Budgets, täglich neue Bedrohungen und Anwender die Security-Maßnahmen für übertrieben halten sind oft die Realität. Dazu kommt, dass manche Unternehmen innerhalb der Security-Industrie auch kontraproduktiv agieren und ihren Anwendern das Leben schwer machen.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]


Sicher ist es toll, „intelligente“ Software zur Bekämpfung zu nutzen, die Aktivitäten von Cyberkriminellen akribisch aufzeichnet oder Malware anhand einer kurzen Codesequenz treffsicher als Trojaner XJAH78-AA identifiziert. Aber umso schmerzlicher ist es, wenn dafür dann einfache Basis Funktionen fehlen!

Um ein Beispiel zu nennen. Der Malwarescanner entdeckt die Schadsoftware „XJAH78-AA“ auf dem System, blockiert sie und möchte vom Anwender wissen, ob er a) den Zugriff darauf blockieren soll, b) die infiziere Datei in einen Quarantänebereich verschieben soll oder c) die Datei löschen.

Eine gute Frage, allerdings lässt sich diese aus dem Stehgreif nicht beantworten. Also zieht man das Antimalware-Lexikon zu Rate um zu erfahren, was der gefundene Trojaner so treibt. In der Mehrzahl aller Fälle findet man jedoch nur einen nichtssagenden Eintrag (Dieser Trojaner wurde 2018 erstmals entdeckt und greift Windows-Systeme an und beeinflusst die WWW-Connectivity) oder überhaupt keine Information. Verantwortlich dafür ist die Menge an Schadsoftware und eine automatisierte maschinelle Bearbeitung, die keine weiteren Infos generiert, als einen Algorithmus zur Erkennung der Schadsoftware.
Dies führt dann zu der Frage, braucht es überhaupt einen Malware-Namen? Würde nicht auch ein standardisiertes Namensformat „M2018-nnnnnn“ genügen (analog zu CVEs), um den Trojaner XJAH78-AA zu dokumentieren und die Benennung durch verschiedene Antimalware-Tools zu harmonisieren? Ober müssen die Security-Admins sich weiterhin mit individuellen Namen auseinandersetzen, die jede Hersteller für sich vergibt, um seine eigenen Pfründe zu sichern?

Ein anderes Beispiel für fehlende Basis Funktionen sind lesbare, verständliche Konfigurationen. Anscheinend liegt die Hürde der technischen Herausforderung auf einem unerreichbaren Niveau welches es den Security-Herstellern nicht möglich macht, diese Funktionalität adäquat abzudecken.

Konfigurationsdaten werden bevorzugt am Bildschirm bearbeitet und angezeigt. Möchte man sie aber ausdrucken, wird dieses Begehren nur rudimentär unterstützt. Entweder fehlt die Funktion ganz, oder man erhält ein XML-Format, welches die Einstellungen als hexadezimale oder binäre Kontrollwerte darstellt. Dies macht Sinn, wenn es darum geht, die Werte zu sichern, um sie im Problemfall einfach wieder herstellen zu können.

Aber wenn es erforderlich ist, einen Nachweis der Einstellungen für die Revision, den Datenschutzbeauftragten oder den Betriebsrat zur Verfügung zu stellen, ist eine lesbare Ansicht einfach besser. Den eine Darstellung wie „Alle E-Mail-Empfängernamen in der Ansicht und bei einem Export anonymisiert darstellen: Aktiviert“ ist für den Menschen besser zu verstehen, als ein „emailano:01“ in einem XML-Datei!

Wobei, wenn derartige Funktionen fehlen (die hohen technischen Herausforderungen!), verweisen manche findigen Berater gerne auf die Option eines Bildschirmfotos. Wobei es schon seltsam anmutet, bei einer High-Tec-Software die technische Nutzungsdokumentation per Screencopy aufzubauen. Aber man nutzt ja heute auch Autos, bei denen man die Sitzposition mit dem mitgelieferten Sitzfix-Schraubenschlüssel einstellt – oder?
Alles was dem Anwender bleibt, ist es eine „Funktionserweiterung“ anfordern und darauf hoffen, dass der Produkthersteller dieses Basis-Element zeitnah nachliefert.

Würden sich die Security-Hersteller die Mühe machen, mit den Anwendern ihrer Produkte zu sprechen, können viel Basics identifiziert werden, die für eine Nutzung elementar wären. Denn dies würde das Leben der Security-Verantwortlichen etwas leichter machen würden und Ressourcen reduzieren. Ressourcen, die man dann in die Themen investieren kann, bei denen dringender Handlungsbedarf angesagt ist und die das Thema gesamtheitlich voran bringen.