Client Security in Turbulenzen
In den letzen paar Monaten hat sich die Sicherheitslage bei Windows Arbeitsplatzrechnern substantiell verschlechtert. Die Incidentzahlen sind auf ein ziemlich hohes Niveau geschnellt. In manchen Umgebungen muss von einer eigentlichen Krise der Client Security gesprochen werden.
Jahrelang schien sich bei den ETH eigenen Windows Rechnern alles zum Guten zu wenden. Die Zahl der Security Tickets sank von 2005 bis 2008 kontinuierlich. 2009 begann die Zahl der Zwischenfälle wieder zu steigen und schnellte in den letzten Monaten weiter in die Höhe. Auf Jahresbasis erreichen wir eine Rate von 5% Security-Tickets für die rund 10‘000 Arbeitsplatzrechner. Wenn wir von den detektierten und mit Tickets bearbeiteten Zwischenfällen mit einem Faktor drei auf die realen Zwischenfälle schliessen, müssen wir 15% betroffenen Maschinen rechnen.
Die Verteilung über Organisationseinheiten ist sehr ungleich. Von den betroffenen Maschinentypen her lässt sich aber eine klare Aussage machen. Betroffen sind vor allem nicht gemanagte XP Maschinen. Die massive Zunahme der Zwischenfälle lässt sich grossteils auf zwei Probleme zurückführen.
Unmittelbare Ursache ist ein massives Defizit beim Patching von Applikationen. Während in nicht gemanagten Umgebungen meist Microsoft Update aktiv ist und für das Patchen von Betriebssystem, Internet Explorer und Office sorgt, bleiben Anwendungen und Plugins sich selbst überlassen. Der Angriffsdruck hat sich in den letzten zwei Jahren aber zunehmend auf Applikationen verschoben, in den letzten Monaten etwa auf den Adobe Reader oder das Flash Plugin.
Eine zweite Ursache ist die verbreitete Vernachlässigung des ‚Stand der Technik‘ Gebots. Die Fachcommunity ist sich einig, dass die Innovationsspirale von der Malwareseite mit hoher Energie am Rotieren gehalten wird. Wer noch mit Windows XP unterwegs ist, hat den Abstand zum Stand der Technik seit Jahren kontinuierlich anwachsen lassen. Die Folgen zeigen sich nun bei den nicht gemanagten Umgebungen, welche die relativen Mängel von XP nicht durch Policies und andere Massnahmen kompensieren. Stand der Technik ist aber auch bei Anwendungen wichtig, etwa bei Webbrowsern. Hier sind allzu viele veraltete Vehikel unterwegs. Das Verharren auf veralteten Technologien schwächt die Widerstandsfähigkeit eines Systems.
Positiv kann vermerkt werden, dass das Element Virenschutz ziemlich optimal gehandhabt wird. Meist werden führende Produkte wie Avira oder Symantec verwendet. Allerdings zeigt die laufende Welle die Limiten des Virenschutzes auf. Ein sonst suboptimales System kann durch den Virenschutz allein nicht auf ein akzeptables Sicherheitsniveau gehoben werden. Allzu häufig haben uns Admins in den letzten Monaten gemeldet, dass die Maschine auf laufenden Avira, Symantec oder Sophos vorbei infiziert worden sind. Möglicherweise haben wird es mit einer verbesserten Logistik der Malwareverbreiter zu tun, neue Varianten sofort breit auf infizierten Websites zu platzieren.
Es führt kein Weg daran vorbei, PCs permanent auf dem neuesten Versions- und Patchzustand zu halten.
Posted on
in Mail, Web, Software, Arbeitsplätze, Support