All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • All About Security auf Google+
  • Unter4Ohren IT-Security Podcast auf YouTube

Security-Management, Fachartikel

Security Best Practices in Theorie und Praxis

Security Best Practices in Theorie und Praxis

Die Zahl der Sicherheitsbedrohungen gerade bei der Internetnutzung steigt ständig, es gibt auch durchaus gute Sicherheitsmaßnahmen, aber diese werden oft gar nicht oder unzureichend von den Nutzern eingesetzt. Empfehlungen von Sicherheitsexperten stehen allzu oft in dem Verdacht, für die tägliche Praxis zu abgehoben und unrealistisch zu sein. In einer interessanten Studie haben sich Forscher von Google dieses Themas angenommen und im Rahmen einer umfangreichen Befragung von „Experten“ und „Nicht-Experten“ untersucht, wer welche Schwerpunkte bei den von ihm selber genutzten Sicherheitsmaßnahmen setzt. Einige der Ergebnisse könnten Antworten darauf geben, wie zukünftig die Balance zwischen wichtigen Sicherheitsmaßnahmen und der Nutzerakzeptanz besser herzustellen sein könnte.

Berichte über Sicherheitsverletzungen nehmen noch immer stetig zu und niemand scheint davor gefeit zu sein, selber „Opfer“ zu werden. Millionenfacher Diebstahl von Passwörtern, Missbrauch von Kreditkarteninformationen, Erpressung mit zwangsverschlüsselten Unternehmensdaten oder Ausspähen und Verbreiten von kompromittierenden Daten, solch eine Auflistung ließe sich nahezu beliebig fortsetzen. Mittlerweile hat sich auch jeder halbwegs engagierte Nutzer darauf eingestellt und versucht nach „bestem Wissen und Gewissen“ seine Systeme und Daten zu schützen. Zumindest alle „Nicht-Experten“ sind dabei darauf angewiesen, hierzu Tipps und Tricks in Form von „Best Practices“ zu konsultieren. Nicht, dass es diese im Internet nicht geben würde. Tausende von Online-Artikeln, Security-Blogs und Herstellerhinweisen sind aber für die meisten schon des Guten zu viel. So werden vorrangig die altbekannten Maßnahmen eingesetzt wie Firewalls, Virenscanner und verschiedene, zumeist einfache Authentisierungsformen. Dass das alles nicht wirklich ausreichend ist, wird den meisten schon klar sein. Aber weitergehende Sicherheitsmaßnahmen erscheinen den meisten offensichtlich zu aufwändig bei den damit verbundenen Kosten und dem Arbeitsaufwand. Nicht selten fehlt auch ganz einfach das fachliche Verständnis.  

Somit muss die Frage gestellt werden, welche Sicherheitsmaßnahmen unbedingt umzusetzen sind und insbesondere, wie dies gegenüber den „Nicht-Experten“ besser kommuniziert werden kann. In der Studie “...No one Can Hack My Mind”: Comparing Expert and Non-Expert Security Practices [1] wurde deshalb untersucht, worin sich das Sicherheitsverhalten von „Experten“ (5 oder mehr Jahre Erfahrung im Sicherheitsbereich) und „Nicht-Experten“ eigentlich unterscheidet. Für diese Studie wurden online zwei separate Umfragen durchgeführt, eine mit 231 Sicherheitsexperten und eine weitere mit 294 Nutzern, die keine Sicherheitsexperten sind. Beide Gruppen wurden gefragt, was sie zur Steigerung ihrer Sicherheit einsetzen. Ziel war es, die Antworten der beiden Gruppen zu vergleichen und einander gegenüberzustellen, um die zu erwartenden Unterschiede besser verstehen zu können bzw. um herauszufinden, wieso diese überhaupt existieren können.

Top-Sicherheitspraktiken von „Experten“

Jeder Teilnehmer wurde gebeten, drei Praktiken aufzuführen, die er selber einsetzt und empfehlen würde. Dabei wurden nur Angaben gewertet, die von mindestens 5% der Befragten genannt wurden. Die beliebtesten Sicherheitspraktiken der „Experten“, die sich aus der Studie ergeben haben, sind.

1. Updates für System- und Anwendungssoftware installieren (35%)
2. Unterschiedliche Passwörter für verschiedene Dienste nutzen (25%)
3. Zwei-Faktor-Authentifizierung nutzen (20%)
4. Starke Passwörter nutzen (19%)
5. Einen Passwort-Manager einsetzen (12%)
6. Antivirus-Software nutzen (7%)

Top-Sicherheitspraktiken von „Nicht-Experten“

Bei den „Nicht-Experten“ ergab sich bei gleichartiger Befragung ein anderes Bild der präferierten Sicherheitspraktiken:

1. Antivirus-Software nutzen (42%)
2. Starke Passwörter nutzen (31%)
3. Passwörter häufig ändern (21%)
4. Nur bekannte Webseiten besuchen (21%)
5. Keine persönlichen Informationen teilen (17%)
6. Unterschiedliche Passwörter für verschiedene Dienste nutzen (15%)

Die Auswertung der Befragung zeigt, dass es neben einigen Übereinstimmungen auch ganz unterschiedliche Schwerpunktsetzungen gibt (siehe Abbildung-1).


Abbildung-1: Die beliebtesten Sicherheitspraktiken von „Experten“ und „Nicht-Experten“ [1]

Eine genauere Analyse der Ergebnisse sollte Anhaltspunkte liefern, welche Sicherheitsmaßnahmen den „Nicht-Experten“ näher gebracht werden sollten und welche Defizite bisher bestanden und beseitigt werden müssen. Eine gute Veranschaulichung liefert die reine Differenz der Prozentangaben zwischen „Experten“ und „Nicht-Experten“.

 
Abbildung-2: Differenz der Prozentangaben (Positive Prozentangabe = häufigere Nennung durch „Experten“, Negative Prozentangabe = häufigere Nennung durch „Nicht-Experten“) [1]

Die größten Abweichungen sollen nachstehend kurz analysiert werden.

<< Erste < Vorherige Page 1 Page 2 Nächste > Letzte >>

Diesen Artikel empfehlen

Unscharfe Prozesskommunikation – Fuzz-Testing IEC 60870-5-104

Im Mai 2013 ereignete sich im geschlossenen Fernwirknetz der österreichischen Stromversorgung eine gravierende Störung. Gemäß den öffentlich verfügbaren Informationen trug sich der Vorfall derartig zu, dass im Rahmen von Funktionstests bei einem Gasnetzbetreiber im süddeutschen Raum eine spezielle...

DDoS - Der neue Internet-Killer

Someone Is Learning How to Take Down the Internet ++ Mit mehr als einem Terabit pro Sekunde erreichen DDoS-Attacken neue Dimensionen. ++ Angriffe dieser Größenordnung sind sowohl für Carrier als auch für Kunden mehr als eine Herausforderung. ++ Ein genauer Blick zeigt, dass sich solche Angriffe in...

Umfrage: Deutsche fühlen sich von Cyber-Terror bedroht

Die Angst vor Terroranschlägen hat auch den Cyber-Raum erobert: Zwei Drittel der Bevölkerung halten die Gefahr für groß oder sehr groß, dass staatliche Stellen und kritische Infrastrukturen in Deutschland über das Internet  angegriffen werden. Das ist ein Ergebnis einer Umfrage, die das...

Sag mir, wie sicher die Daten sind

Einer Studie der Bitkom Research GmbH im Auftrag der KPMG AG Wirtschaftsprüfungsgesellschaft zufolge versprechen sich 74 Prozent der befragten Unternehmen durch die Cloud einen besseren Zugriff auf IT-Ressourcen.  Am beliebtesten sind Private-Cloud-Dienste, dicht gefolgt von Hybrid-Cloud- und...