Das BSI warnt vor dem Einsatz der iOS-App „Mail“, kritische Sicherheitslücke gefunden, noch kein Patch verfügbar – so die Schlagzeilen der jüngsten Vergangenheit. Die Empfehlung unter diesen Umständen lautet: Das betroffene Produkt nicht einsetzen, besser auf Alternativen ausweichen. Ist das Thema damit erledigt? Oh nein! Eine gute Reaktion wäre, auch einmal über das eigene Verhalten bei der Nutzung von Mail (und anderen IT-Angeboten) nachzudenken. Mit ein bisschen Wissen und Disziplin kann man einiges zur Schadensbegrenzung beitragen. Wenn die Produktsicherheit dann doch einmal punktuell „schwächelt“, ist nicht automatisch „Tag der offenen Tür“ für Angreifer.
Sicherheit: Das Produkt muss es alleine richten – geht das?
Ein Produkt wie die iOS-Mail-App hat eine kritische Schwachstelle. Wie konnte das passieren? Das kann doch nicht sein, was für ein schlechter Hersteller!
Das sind keine Reaktionen, die weiterhelfen.
Natürlich ist der Vorfall nicht erfreulich, und der Anspruch, es solle bald ein Patch bereitstehen, ist vollkommen berechtigt. Die Forderung nach Produkten, bei denen der Hersteller von vornherein sorgfältig auf Sicherheitsaspekte achtet und möglichst gleich „gute“ Standardeinstellungen liefert, ist auch richtig. Über Auflagen wie EU-DSGVO-Artikel 25 wird man mittlerweile sogar dazu verpflichtet, bei der Produktauswahl auf solche Aspekte zu achten.
Das akute Beispiel iOS-App „Mail“ erinnert aber deutlich an eine Tatsache:
Es wird keine Software geben, die garantiert frei von Schwachstellen ist. Immer wieder kommt es vor, dass Produkte lange im Einsatz sind, ehe erkannt wird, dass sie eine Schwachstelle aufweisen. Das liegt nicht einfach an schlampiger Entwicklung und Qualitätssicherung. Es liegt auch daran, dass – gut so! – das Sicherheits-Know-how ständig zunimmt und findige Köpfe nicht müde werden, Schwachstellen aufzudecken und davor zu warnen.
Was kann ich denn schon tun? Die IT und IT-Security müssen liefern!
Man ist selber doch kein IT-Experte, und erst recht kein Sicherheitsspezialist und man muss sich einfach darauf verlassen können, dass einem genügend sichere Lösungen zur Verfügung gestellt werden. Wenn es da Probleme gibt, muss der IT-Bereich eben schnell reagieren und das Loch stopfen oder eine Alternative liefern.
Diese Einstellung ist weitverbreitet, aber so einfach geht es nicht.
Wer sagt denn eigentlich, dass eine Ersatzlösung frei von Schwachstellen ist? Wenn IT-Security und IT-Administration alle Möglichkeiten zur möglichst hohen Absicherung bei IT-Lösungen maximal ausschöpfen, wie viel Nutzen der Lösungen bleibt dann noch übrig?
Präventive Sicherheit ist immer ein Kompromiss!
Wer aber Nutzungsmöglichkeiten braucht und hat, kann sehr wohl bei Schadensvermeidung und Schadensbegrenzung mithelfen.
IT-Lösungen kennen und sicher nutzen – so wird es was mit der Sicherheit
Der E-Mail-Fall ist da ein schönes Beispiel. Das Mobiltelefon mit iOS oder ähnlicher Firmware und zugehörigen Apps ist ein Vielzweckgerät. Es ist für die Nutzung auch über unsichere, nicht vom eigenen IT-Bereich kontrollierte Netze gemacht und vorgesehen. Damit ist seine Verwendung aber auch riskanter als die eines Arbeitsplatzendgeräts, das nur im internen Netz oder per VPN-Tunnel geschützt aus dem Homeoffice verwendet wird.
Auf dieses erhöhte Grundrisiko kann man gezielt Rücksicht nehmen, indem man die Brisanz von Informationen berücksichtigt. Wer Mails auch mit dem Mobiltelefon lesen kann und möchte, kann das von dieser Zugriffsform ausgehende Risiko in Absprache mit seinen Mail-Partnern reduzieren. Beispiele:
- Brisante Mail-Inhalte durch E-Mail-Verschlüsselung schützen
Das hilft nicht nur bei Mails an externe Partner. Sich interne Mails verschlüsselt schicken und beim weniger sicheren Client „Mobiltelefon“ auf die Installation des eigenen privaten Schlüssels verzichten: Selbst wenn ein Lauscher per Schwachstelle auf dem Handy mitliest, bleibt der Inhalt der verschlüsselten Mail vor ihm geschützt.
- E-Mails nur als Hinweis auf neue Inhalte in einer geschützten Ablage verwenden
Auf E-Mail basierende Benachrichtigungsfunktionen von File-Service und Kollaborations-Lösungen, die ein gutes Sicherheitsdesign haben, machen das so: Man bekommt eine Mail-Nachricht mit einem Betreff etc., evtl. noch einen Link. Darüber auf die Gesamtinformation zugreifen kann aber nur, wer sich über einen sicheren Kanal dort anmeldet und sich über diesen sicheren Kanal die hinterlegten Informationen abholt.
Der Rest ist „Funkdisziplin“, das heißt Datensparsamkeit bei dem, was in die E-Mail-Benachrichtigung übernommen wird: Für den E-Mail-Empfänger sprechende, für den Angreifer eher nichtssagende Betreffzeile wählen, nicht für Dritte bestimmte Stichworte vermeiden, usw.
Das geht auch als E-Mail-Benachrichtigung „von Hand“. Vertraulich zu behandelnde Inhalte werden in Dateiform geschützt bereitgestellt, die E-Mail weist nur darauf hin.
Dazu muss man solche geschützten Ablage- und Austauschbereiche haben und damit umgehen können sowie auch über die Möglichkeit verfügen, verschlüsselte E-Mails zu senden. Dies möglichst einfach und auch für den Nicht-IT-Experten brauchbar. Hierbei können und werden IT-Administration und IT-Security mit Rat und Tat zur Seite stehen, geeignete Lösungen anbieten und für den angemeldeten Bedarf passend einrichten.
Mit den verarbeiteten und auszutauschenden Informationen dann achtsam umgehen und Angreifern, wie in den genannten Beispielen, Datenklau und Mitlesen möglichst schwer machen, auch bei Produktschwachstellen: „Das kann ich tun!“
Verwendung möglichst sicherer IT-Produkte ist ein bisschen wie Fahren mit Navigationssystem: Es ist trotzdem eine gute Idee, selbst aufmerksam zu bleiben und mitzudenken. Das hilft, wenn das Produkt mal Schwächen zeigt und ein Update bräuchte.
