Es ist wieder soweit, es wurde eine zweite?? “Sicherheitslücke in Office 2007 gefunden“. Was bedeutet das für den Anwender?
- Die Lücke besteht in einem (Teil-)Programm des Office-Paketes, dem Publisher, einem Programm, mit dem Publikationen “gelayouted” werden (Poster, Plakate, Postkarten, Geburtstagsgrüße etc.
- Auch wenn die genauen Informationen über die Sicherheitslücke zur Sicherheit der Anwender
zurückgehalten werden, liest sich die Meldung so, als ob der Anwender eine präparierte Publisher-Datei öffnen muss, damit der Schadcode bei ihm ausgeführt werden kann.
- Da die heutige Software hochkomplex ist, wird es wohl auf absehbare Zeit keine völlig sichere Software (was genau ist eigentlich sichere Software?) geben.
- Folglich gilt wie bei allen elektronischen Dokumenten, die man auf dem lokalen Arbeitsplatz öffnet die Frage: Aus welcher Quelle kommt die Datei, die ich gerade öffne??? Wie vertrauenswürdig ist sie? Benötige ich dieses Dokument wirklich oder bin ich einfach nur neugierig
Unabhängig von dem benutzten Programm oder Betriebssystem gilt die Marschroute 
:
Wer sich des Risikos bewußt ist, verzichtet vielleicht besser auf das Öffnen der einen oder anderen, aus dem Internet geladenen Datei – sei es, dass diese per E-Mail-Attachment von einem “Unbekannten” verschickt wurde oder von einer hübsch bunten Website stammt…
Manchmal ist das garnicht so schwer, wie es scheint
Ein Artikel(Windows, aber sicher, CT) mit den “üblichen” Hinweisen zum Absichern des Arbeitsplatzes mit Windows XP und ein kurzer Vergleich mit dem Sicherheitssystem von Windows Vista. Lesen kann nicht schaden
Read more »
Ein schönes Beispiel, wie der Kompfort die Sicherheit konterkariert:
“Symantecs Controls für Online-Support waren Einfallstor für Angreifer”
Ein Sicherheitstool wie eine Firewall mit einer Online Schnittstelle zur Fernwartung auszustatten, mag zwar die letzte Hilfe für den einen oder anderen überforderten Nutzer sein, eine sichere Lösung ist es aber ganz sicher nicht. Wenn zu dem noch die vom Sicherheitssoftwarehersteller produzierte Software geringsten Sicherheitsanforderungen (Stichwort Bufferoverflow) nicht gerecht wird, dann stellt sich wirklich die Frage, inwiefern die hohen Preise dafür gerechtfertigt sind.
Hätte mich fast verschrieben und Office ‘97 geschrieben… die Zeiten werden einfach nicht besser
Ein schönes Beispiel, wie in kommerzieller Software mit der Privatsphäre umgegangen wird: Microsoft Office 2007 versendet anonymisierte Daten über die Nutzung der Software an einen “Statistik Dienstleister” (Office 2007 übermittelt Surf-Daten an Marktforscher).
Gut, die Daten sind anonymisiert, schlecht, die Daten stellen einen Wert dar – sonst würden sie nicht erhoben werden.
Was lernen wir daraus?
OK, jetzt aber mal im Ernst: Für den mündigen Computernutzer sollte diese Information keine Neuigkeit beinhalten, denn er weiß: wenn der Rechner Daten abruft, die nicht auf dem eigenen Rechner lagern, sondern von einem Server aus dem Internet geladen werden, ist mit höchster Sicherheit davon auszugehen, dass diese Daten einer Analyse unterzogen werden…
Einzig die Kenntnis darüber, wann genau auf Daten auf dem lokalen Arbeitsplatz oder auf einem Server im Internet zugegriffen wird, ist relevant. Und genau hier muss auch eine klare Trennung in der Software vollzogen sein, wie dies m.E. bei der MS Hilfefunktion der Fall ist. Sie muss deutlich darauf hinweisen (nein, ich meine keine hunderttausendstes Popup in der Art: “MS Office möchte sich mit dem Internet verbinden”), dass bei bestimmten Teilfunktionen eine Datenabfrage im Internet ausgeführt wird.
PS für die, die noch mit alter Software von MS arbeiten ein umfassendes Dokument über MS Office 007
Habe Zone-Alarm früher selbst genutzt – weil es kostenlos zum Download bereitsteht. Habe es voll frust vor 5 Jahren wieder deinstalliert, weil es die Arbeit am Rechner in nicht nachvollziehbarer Art und Weise behindert hat. Bestimmte Programme kamen ums verrecken nicht ins Internet, wenn Zone-Alarm aktiv war. Der kundige Nutzer weiss: kein Problem, dann werden eben alle Internetverbindungen komplett erlaubt. –> Pustekuchen, die Verbindung bleibt “verschlossen”. 
OK, dann eben mit der Keule: Zone-Alarm beenden –> auch für den A…
Die Verbindung kann nicht hergestellt werden.
–> Deinstallation!
5 Jahre später, ich habe mit Zone-Alarm nichts mehr am Hut; aber eine Freundin, leider. Zone-Alarm läuft. VPN-Client gestart. Windows XP: Bluescreen. Bißchen rumgedoktert, reboot etc.: Bluescreen
Zone-Alarm deinstalliert, rebootet, VPN-Client gestartet: drin!
Was lernen wir daraus? Wenn bereits die eingebaute Firewall von Windows XP aktiv ist, bringt die zusätzliche Firewall kaum Mehrwert (man sieht auch noch, welche Microsoft-Anwendungen sich mit dem Internet verbinden möchten; das bleibt einem sonst eventuell verborgen…). Wenn es sich bei der zusätzlichen Firewall um Zone-Alarm handelt, dann ist ggf. auch noch mit ein bißchen Frust zu rechnen, ohne wirlich erhöhte Sicherheit.
Vistas User Account Control wenig vertrauenswürdig…
passt genau in mein Bild von IT-Sicherheit: Der Benutzer wird bevormundet und gegängelt, ihm werden “Hilfen” an die Hand gegeben, die gut gemeint sind, ABER dem Missbrauch sind alle Wege offen. So funktioniert IT-Sicherheit nicht. Sicherheit entsteht durch Wissen
IT-Sicherheit für Einsteiger und Fortgeschrittene – Blog started
