Institut für Internet-Sicherheit
Unsere Aktivitäten konzentrieren sich auf die pragmatische Umsetzung sicherer und vertraulicher IT-Konzepte.
Derzeit forschen wir intensiv unter anderem in den folgenden Projekten und Bereichen
Detailinformationen zu diesen und anderen Forschungsbereichen und -Projekten finden Sie in der Rubrik Forschung
Bundesamt für Sicherheit in der Informationstechnik
Sicherheits-Irrtümer: Internet-Sicherheit
Im ersten Teil unserer Reihe "Sicherheits-Irrtümer im Internet" beschäftigen wir uns mit dem Thema "Internet-Sicherheit". Es existieren Dutzende Missverständnisse, die ständig wiederholt und allzu schnell als Wahrheit hingenommen werden, ohne dass sie tatsächlich belegbar sind. Das BSI hat einige gängige Irrtümer identifiziert und zeigt auf, wie die Risiken, die aus einem falschen Verständnis von IT -Sicherheit resultieren, minimiert werden können.
Irrtum 1: "Meine PC - Firewall schützt mich vor allen Angriffen aus dem Internet."
Leider ist es nicht so einfach.
Ohne die richtige Konfiguration bietet eine Firewall keinen optimalen Schutz vor Angriffen aus dem Internet. Die sogenannte "Personal Firewall" kontrolliert den eingehenden und abgehenden Datenfluss, um den heimischen PC vor Viren und anderer Schadsoftware zu schützen. Angriffe aus dem Internet nutzen jedoch jede Sicherheitslücke in installierten und genutzten Programmen wie auch in der Firewall selbst aus. Wie bei einzelnen Programmen gilt deshalb auch bei der Firewall: Vor allem die Konfiguration ist entscheidend.
Nur mit den richtigen Filterregeln und Einstellungen kann die Sicherheit des Computers gewährleistet werden. So sollten die Einstellungen regelmäßig überprüft und die Filterregeln so definiert werden, dass nur unbedingt notwendige Zugriffe erlaubt sind. Verlangt ein nicht bekanntes Programm Zugriff auf das Internet, sollte der Nutzer dies kritisch prüfen. Nicht vergessen werden sollte auch die Firewall von Internet-Routern. Mehr Informationen zu Firewalls haben wir hier zusammengestellt.
Irrtum 2: "Wenn ich ein aktuelles Virenschutzprogramm habe, muss ich Updates für andere Software nicht sofort installieren."
Dieser Gedanke ist ein Trugschluss.
Zwar ist ein Virenschutzprogramm wichtig für sicheres Surfen im Internet – Updates für die genutzten Anwendungen sollten jedoch immer schnellstmöglich installiert werden. Jedes auf den eigenen Geräten installierte Programm birgt die potentielle Gefahr, aus dem Internet angegriffen zu werden. Aktuelle Schadsoftware kann bestehende Sicherheitslücken ausnutzen, bevor sie von Antivirenprogrammen erkannt wird. Die Angreifer nutzen dabei beispielsweise das Zeitfenster aus, in dem ein neu entwickelter Schadcode von der Antivirensoftware noch nicht erkannt wird. Daher versuchen Software-Hersteller fortwährend mit Updates und sogenannten Patches (englisch für "Flicken"), Sicherheitslücken in ihren Programmen zu schließen. So wird verhindert, dass Schadsoftware überhaupt wirksam werden kann. Virenschutzprogramme sollten natürlich trotzdem jederzeit aktuell gehalten werden. Denn sie bieten nur dann zusätzlichen Schutz, wenn ihre Viren-Signaturen durch Updates auf dem neuesten Stand gehalten werden. Informationen für ein Update- und Patchmanagement finden Sie hier.
Irrtum 3: "Ein einziges langes Buchstaben- und Zeichen-Passwort reicht für meine Online -Dienste vollkommen aus."
Nein, denn sollte ein Online-Dienst kompromittiert und Ihr Passwort gestohlen werden, sind alle mit diesem Passwort geschützten Dienste in Gefahr.
Insbesondere bei der Verwendung von E-Mailadressen zur Authentifizierung lassen sich Nutzernamen und Passwort einander gut zuordnen. Daher ist ein gutes und sicheres Passwort unerlässlich – es sollte aber bei jedem Online-Dienst ein anderes Passwort genutzt werden. Besonders bei Diensten, die sensible Daten enthalten oder abfragen, ist auf ein starkes Passwort zu achten. Beispiele hierfür sind Zugänge zum Online Banking oder -Shopping. Grundsätzlich empfiehlt es sich, ein Passwort mit einer Länge von mindestens 8 Zeichen, Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern zu wählen. Das Passwort sollte nicht in Wörterbüchern vorkommen und kein Eigenname sein. Es kommt vor, dass Anbieter Einschränkungen bei der Vergabe von Passwörtern machen, zum Beispiel bei der Länge oder der Verwendung von Sonderzeichen.
Dann sollten die Passwortempfehlungen des BSI zumindest so weit umgesetzt werden, wie es die Einschränkungen zulassen. Zudem sollten Kennwörter nicht mehrfach, also für unterschiedliche Online-Dienste genutzt werden. Passwort-Verwaltungsprogramme geben Hilfestellung, denn sie können nicht nur die Passwörter verwalten, sondern auch sichere Passwörter generieren. Mehr Informationen zum Umgang mit Passwörtern geben wir hier.
Irrtum 4: "Ich surfe nur auf vertrauenswürdigen Seiten, darum muss ich mich nicht vor Cyber -Angriffen schützen."
Leider können auch vertrauenswürdige Seiten hin und wieder von Schadsoftware betroffen sein.
Sie kann sich beispielsweise in Werbebannern verstecken und sich unbemerkt auf dem PC des Nutzers installieren. Es ist ratsam, sich nur auf vertrauenswürdigen Seiten aufzuhalten – vor Cyber-Angriffen ist man deshalb aber leider nicht geschützt. Anwender, die sich auf gängigen und bekannten Internet-Seiten mit seriösem Inhalt bewegen, wähnen sich oftmals in falscher Sicherheit vor Cyber-Attacken.
Grundsätzlich gilt, dass Schutz immer dann erforderlich ist, wenn Nutzer im Internet surfen – unabhängig davon, welche Seiten sie dabei besuchen. Sogenannte Drive-by-Downloads, bei denen Inhalte ohne Zutun des Nutzers im Hintergrund heruntergeladen werden, und schädliche Scripts können auch über populäre Internet-Seiten erfolgen. Ein gründlicher Schutz durch Virenschutzprogramme und Firewalls – mit den oben genannten Einschränkungen - sowie regelmäßige Sicherheitsupdates ist trotz aller Vorsicht empfehlenswert.
Bundesamt für Sicherheit in der Informationstechnik
Nach § 7 des BSI-Gesetzes hat das BSI die Befugnis, Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten sowie vor Schadprogrammen auszusprechen. Diese Warnungen können sich an die jeweils Betroffenen richten oder aber auch öffentlich – beispielsweise über die Medien – ausgesprochen werden. Eine solche Warnung kann auch beinhalten, dass das BSI von der Nutzung bestimmter Produkte und Lösungen abrät, solange die jeweilige Sicherheitslücke nicht geschlossen ist. In jedem Falle werden die Hersteller der betroffenen Produkte oder Dienstleistungen bereits vor der Veröffentlichung der Warnung informiert.
Eine öffentliche Warnung wird nur dann vorgenommen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik von dem betroffenen Produkt ausgehen. Das BSI geht mit dieser Befugnis sehr sorgsam um, denn eine öffentliche Warnung des BSI vor einem bestimmten Produkt kann für das betroffene Unternehmen unter Umständen erhebliche wirtschaftliche Folgen haben.