_
Hauptmenu
News
Verwundbarkeitsdatenbank
Downloads
- Dokumente
- Software
- Filme
- Guides
Projekte
- Attack Tool Kit
- codEX
- ComInt
- Compupedia
- Computec Online Adventure
- eLearn
- Entropia
- httprecon
- Tractatus
Forum
Statistiken
- Webseite
Links
FAQ
Impressum

Willkommen 54.90.156.100

Online
Gäste: 25
Mitglieder: 0
Auf dieser Seite: 1
Mitglieder: 3382, neuestes ist Monfalcone

Follow us on Twitter
Follow us on Twitter

scip_Alerter
20.11.1420.11.14Philip Hazel PCRE pcre_exec.c Pufferüberlauf
20.11.1420.11.14Linux Foundation Xen Crash Denial of Service
20.11.1420.11.14GNU C Library wordexp() erweiterte Rechte
19.11.1419.11.14Drupal Password Hashing API Denial of Service
19.11.1419.11.14Drupal Session Handler erweiterte Rechte

Zeige aktuelle Schwachstellen

Schon gewusst, dass...
...es unter Microsoft Windows fast ein Dutzend Möglichkeiten gibt, um beim Systemstart automatisch eine Anwendung auszuführen (z.B. Hintertür einrichten)?

Zeige alle Trivias (244 Total)

Zitat des Augenblicks (id 157)
"Nachsatz: deshalb mag ich Binärtechnik. Da gibt es nur drei Zustände: High, Low und Kaputt." - Wau Holland (1951-2001), Mitbegründer des Chaos Computer Club, 25. September 1999 in de.org.ccc

Zeige alle Zitate (246 Total)

An diesem Tag...
ID 50 1963: Todestag von Aldous Huxley
ID 683 1968: Geburtstag von Rasmus Lerdorf

Zeige alle Einträge (711 Total)

Google Werbung

 
Security Awareness sei überbewertet (Montag, 6. August 2012 - 08:58:24)
[Marc's Blog] Ich war grad im Urlaub in Kroatien, als ich in meinem RSS-Reader einen Blog Post mit dem Titel Why you shouldn't train employees for security awareness (Kopie) entdeckt habe. Mehr oder weniger skeptisch, aber dennoch interessiert, begann ich den Beitrag zu lesen. In diesem sollte dagegen argumentiert werden, warum Geld in Awareness-Trainings von Mitarbeitern gesteckt werden sollte.

Das Hauptargument der Ausführungen ist, dass erfolgreiche Angriffe - vor allem im Rahmen von Advanced Persistant Threats (APT) - sowieso früher oder später erfolgreich ausfallen würden. Und bekanntgewordene Angriffe auf RSA, Google und eBay würden zudem beweisen, dass dies selbst bei besser ausgebildeten Technologieunternehmen der Fall ist. Ergo: Man könne sich den Aufwand auch gleich sparen und mit entsprechenden Incidents anfangen zu leben. So konnte ich mir es dann nicht verkneifen, auf Twitter eine harsche Kritik zu dieser Konklusion zu veröffentlichen.

Ich habe mir angewöhnt, Beiträge ohne Rücksichtnahme auf Quelle und Autor zu lesen. Mir ist es wichtig, dass ich den Inhalt unvoreingenommen auf mich wirken lassen kann. Erst wenn ich im Verlauf oder nach dem Durchlesen des Artikels die Tendenz meiner Meinung zu festigen beginne, schaue ich nach, aus welcher Quelle der Beitrag stammt und wer ihn verfasst hat. In diesem Fall sollte es Dave Aitel sein - Aufgrund seiner Position als CSO beim renommierten Unternehmen Immunity Inc. eine bekannte Grösse in der Branche. Ich habe schon so manches von ihm gelesen und in den letzten Jahren auch flüchtigen Kontakt mit ihm gehabt. Umso mehr war ich erstaunt, welche Position er da vertreten sollte.

Und tatsächlich tat sich im Internet regen Widerstand gegen seine Aussage auf. Die meistete warteten, so wie ich, mit grossem Unverständnis auf. Man konnte seine Position und seine Absichten schlichtweg nicht nachvollziehen.

Ich kenne seine Position, habe sie schon bei so einigen Kunden gehört. Das letzte Mal bei einer kleinen Schweizer Privatbank, deren Mitarbeiter an der Zahl kaum die 50 überschreitet. Nachdem wir in Kombination von Social Engineering und technischen Angriffen über das Internet erweiterte Zugriffe in sensiblen Bereichen erlangen sollten, ging es an die Abschlussbesprechung. Die Mitglieder der Geschäftsleitung waren gar nicht erfreut ab unseren Resultaten. Das Gespräch sollte sich fortan darauf konzentrieren, ob es denn für solche Attacken überhaupt eine Gegenmassnahme gibt. Schliesslich würde immer irgendeiner der 50 Mitarbeiter einen Fehler machen - Und 1 Fehler sei genug.

Diesen Gedanken kann man weiterspinnen: Sollen Entwickler bezüglich sicherer Programmierung ausgebildet werden? Fehler passieren sowieso. Soll ein Hardening umgesetzt werden? Gewisse Schwachstellen existieren sowieso. Sollen Patches installiert werden? 0-Days existieren sowieso.

Was Dave scheinbar zu missverstehen scheint ist die Tatsache, dass im Rahmen des Risikomanagements die Schwächen reduziert und im besten Fall eliminiert werden sollen. Doch nur weil sich eine Schwachstelle nicht gänzlich eliminieren lässt, muss man nicht gleich auf eine Risikominimierung verzichten. Denn nimmt man es genau, dann ist jede Massnahme schlussendlich nur um die Verringerung von Risiken bemüht. Neue Risiken tun sich ständig auf. Wer das nicht in Kauf nehmen will, der sollte konsequenterweise am besten keinen Computer besitzen (und auch nicht mehr aus dem Haus gehen).

Ich gehe mit Dave einer Meinung, dass die Sicherheit einer Umgebung nicht ausschliesslich auf dem Sicherheitsverständnis der Benutzer beruhen sollte. Selbstverständlich müssen technische Massnahmen etabliert werden, um das gewünschte Mass an Sicherheit durchsetzen zu können. Das Schulen der Mitarbeiter kann jedoch dabei helfen, dass auch die verbleibenden Schwachstellen angegangen und damit eine erhöhte Sicherheit erlangt werden kann. Denn eine sichere Umgebung ist auf das Zutun sämtlicher Akteure angewiesen.

Lese/Schreibe Kommentar: 0 printer friendly


Sie müssen angemeldet sein, um auf dieser Seite Einträge machen zu können. Bitte melden Sie sich an, oder wenn Sie noch nicht registriert sind, klicken Sie hier
1997-2012 © Marc Ruef: Alle Rechte vorbehalten - Kopieren erlaubt!

Render time: 0.0753 second(s).