Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Von Moorhühnern, Autounfällen und veralteter Software

6. April 2016

Peter fährt mit seinem Auto für dessen tourliche Untersuchung auf Fahrtüchtigkeit - kurz, Pickerl - zu seiner vertrauten Autowerkstatt. Nach rund einer halben Stunde sagt ihm der Mechaniker, dass die Bremsleitungen seines Autos stark korrodiert seien und es nur noch eine Frage der Zeit wäre, bis diese platzen und es folglich zu einem Ausfall der Bremsen käme. Peter schluckt: "Na, da hab ich ja nochmal Glück gehabt, dass wir da noch rechtzeitig draufgekommen sind." Dass Peter unter diesen Umständen nicht mehr ruhigen Gewissens mit seinem Auto weiterfahren kann, liegt wohl auf der Hand. Und überhaupt ist Peter eher jemand, der bei solchen Dingen auf Nummer "Sicher" geht. Nachdem die Werkstatt an dem Tag noch einen Termin einschieben kann, lässt er das Auto kurzum dort und fährt mit den Öffis in die Arbeit.

Peter ist übrigens selbstständiger Fotograf. Er hat ein kleines Studio und ist besonders gut im Photoshop. Seine Kunden schwören auf seine Expertise im Weichzeichnen. Gerade, als er mit der Bearbeitung der Fotos vom Vortag beginnen will, kommt wiedermal dieses lästige Windows Update Popup. "Na toll, gerade jetzt!", ärgert sich Peter. Gleichzeitig wird er sich seines schlechten Gewissens gewahr, dass er jenes Update aber eigentlich ja schon seit längerer Zeit aufschiebt. Ähnlich geht es auch seinem Antivirus, der schon seit Jahren seiner letzten vollständigen Systemüberprüfung nachheult und diesen Umstand mit einer demonstrativen, wenn auch mittlerweile etwas frustriert und resignierend anmutenden, gelben Fahne kundtut. Mit einem "Egal, die Fotos müssen fertig werden." klickt Peter den Störenfried genervt weg. Tief in seinen Fantasien ist Peter ja eigentlich Mitglied einer Anti-Terror Spezialeinheit - da wird zuerst geklickt und dann gefragt.

Kurz vor 18:00 schafft es Peter nach den zwischentäglichen Strapazen gerade noch rechtzeitig zum Mechaniker um sein Auto abzuholen. Nun, da er endlich jemanden zum Reden gefunden hat, kann er seine angehäufte Last loswerden: "Sie glauben ja nicht, was mir heute passiert ist! Da bin ich doch auf so eine (*piep*) Website gegangen und hab auf einen harmlosen Link geklickt und plötzlich, das glauben Sie nicht, waren alle meine Dateien, alle meine Fotos, verschlüsselt!". "Und haben Sie irgendwelche Sicherheitskopien von den Daten?", erkundigt sich der Mechaniker. "Natürlich, aber die sind jetzt auch verschlüsselt, denn die waren auch mit dem Computer verbunden. ...

 

Was fällt uns bei dieser kleinen, direkt aus dem (möglichen) täglichen Leben gegriffenen Geschichte auf? Wenn es um Peters leibliche, oder besser gesagt "greifbare" Sicherheit geht, ist er eigentlich sehr pragmatisch. Das lässt er sich auch jederzeit etwas kosten. Bei Software hingegen, da ist er offensichtlich, wenn auch eventuell unbewusst, ganz anders gepolt. Dabei handelt es sich in beiden Fällen um sehr ähnliche Dinge:

Initial ...

Auto: Der Mechaniker findet ein verschlissenes Teil bzw. der Autohersteller selbst stellt einen Fehler in der Produktion fest und startet eine Rückrufaktion.

Software: Sicherheitsforscher bzw. die Entwickler selbst finden eine Schwachstelle und machen ein Update verfügbar.

Falsche Vorgehensweise ...

Auto: Sie fahren weiter und es kommt (eventuell) zu einem Unfall => Verletzung? Kosten?

Software: Sie ignorieren diesen Umstand und "treten sich" (womöglich) eine Schadsoftware "ein" => Datenverlust? Kosten?

Richtige Vorgehensweise ...

Auto: Das verschlissene Teil wird ausgetauscht bzw. der festgestellte Missstand wird behoben.

Software: Das Update wird eingespielt.

 

Wie Sie sehen, gleichen sich diese Szenarien in vielen Aspekten, jedoch ist die von uns (Anwesende sind natürlich wie immer ausgeschlossen) zugeordnete Priorität oftmals eine gänzlich andere. Warum eigentlich? Wie wir gesehen haben, kann es auch im Falle des Software-Szenarios - und das gar nicht mal selten - zu spürbaren Folgen kommen. Und dabei müssen wir (Anwesende diesmal eingeschlossen) dort üblicherweise gar nichts für die auszutauschenden "Teile" bezahlen. Wir müssen Sie lediglich selbst "einbauen". Ein Beispiel dafür, dass ein Klick an der richtigen Stelle auch mal durchaus Gutes bewirken kann.

 

Und die Moral von der Geschicht'? Und man verzeihe mir das DU ...

Leute, bitte dreht wo möglich bei all Eurer installierten Software die "Automatisches Update"-Funktion auf bzw. (wenn nicht möglich) kümmert Euch selbst um entsprechende Aktualität. Löscht, deinstalliert bzw. deaktiviert nicht (mehr) verwendete Software, Plugins, etc. Das gilt alles übrigens auch für Eure Smartphones und alle restlichen smarten Gerätschaften. Und last but never ever least: Legt Euer an eine Moorhuhnjagd erinnerndes Klickverhalten ab, denn damit kann Euch auch keinerlei noch so raffinierte Technik mehr helfen. E-Mail-Clients, Browser, wie auch der Desktop sind einfach keine (Ego-)Shooter!

 

Autor: Christian Wojner

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Update: "Zero-Day" Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
7. Juni 2018 | Update: ...
Kritische Sicherheitslücken in Adobe Acrobat, Adobe Reader und Adobe Photoshop CC - Patches verfügbar
15. Mai 2018 | Beschreibung Adobe ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
5. Juni 2018 | Für unsere ...
NIS Update
15. Mai 2018 | Am 9. ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/4/6 - 12:04:16
Haftungsausschluss / Datenschutzerklärung