Zur mobilen Ansicht wechseln »

CeBIT Kaspersky: "Flash ist und bleibt ein Problem".

Foto: Kaspersky
Adobe und Oracle kommen mit dem Stopfen von Sicherheitslücken in Flash und Java kaum nach. Woche für Woche werden neue Angriffe und Zero-Day-Exploits bekannt, was die Browserhersteller sogar dazu veranlasste, die besagten Plug-ins zu sperren oder vorübergehend zu deaktivieren. "Die Situation wird sich auf kurze Sicht nicht bessern", sagt Kaspersky-Virenanalyst Costin Raiu im Gespräch mit der futurezone auf der CeBIT.

"Flash ist und bleibt ein Problem, vor allem da es keine wirkliche Alternative gibt und viele Seiten immer noch Flash verwenden", meint Raiu. Aber auch Java, das man natürlich deaktivieren könne, sei immer noch mehr oder weniger stark verbreitet. "Ich kann derzeit beispielsweise mein Online-Banking nicht verwenden", so Raiu, der auch Versäumnisse bei den Hersteller-Firmen ortet.

Microsoft als Vorbild
Während Adobe und Oracle schleunigst entsprechende Maßnahmen treffen müssten, habe Microsoft vorgemacht, wie man derartige Probleme zumindest eindämmen könne. "Bill Gates hat vor mittlerweil elf Jahren erkannt, dass Sicherheit nicht auf die leichte Schulter zu nehmen ist und das Thema zur konzernweiten Priorität erklärt. Nun, ein Jahrzehnt später, sieht man die Früchte des Erfolgs. Im Vergleich zu früher sind viel weniger Microsoft-Produkte von derartigen Schwachstellen und Attacken betroffen", erklärt Raiu.

Da derartige Initiativen aber nicht von heute auf morgen greifen, sei wohl auch in absehbarer Zukunft mit Problemen bei Flash und Java zu rechnen. Abhilfe würden in einigen Fällen auch neue Anti-Malware-Technologien schaffen, mit denen etwa Zero-Day-Attacken, also Angriffe, für die noch kein Patch oder keine Antiviren-Signatur vorhanden sind, verhindert werden können. Mit "Whitelisting", also entsprechenden Verzeichnissen, die vertrauenswürdige Seiten und Programme anführen, habe man schon gute Erfolge gefeiert. Problematisch werde es aber, wenn Malware, wie im Fall von Adobe mit einer ebenfalls gestohlenen offiziellen digitalen Signatur versehen sei. Dann stoße auch das Whitelisting an seine Grenzen, so der Kaspersky-Virenanalyst.

Zwei-Weg-Authentifizierung einziger Schutz
Auch groß angelegte Hacks, wie derjenige bei der Notiz-Plattform Evernote würden sich in Zukunft kaum vermeiden lassen. Dass Evernote nur wenige Tage, nachdem alle User aufgefordert wurden, ihre Passwörter zu ändern, eine Zwei-Weg-Authentifzierung angekündigt hat, bewertet Raiu positiv. "Das ist der einzige Weg, um User in so einem Fall zu schützen. Denn selbst wenn das Passwort abhanden kommt, ist es für den Angreifer unbrauchbar, da man zum Log-in von einem anderen Computer auch einen SMS-Code bzw. das Handy des Users benötigt", erklärt Raiu.

In diesem Bereich habe Google gute Vorarbeit geleistet, indem der Konzern eine Zwei-Weg-Authentifizierung bei seinen Services eingeführt habe und auch bewerbe. Raiu rät daher allen Usern, die noch per einfacher Passwort-Eingabe in ihre Google-Services einsteigen, auf die sichere Variante umzusteigen. Wie das Ganze funktioniert, erklärt Google in den Sicherheitseinstellungen unter dem Punkt "Bestätigung in zwei Schritten".

Mehr zum Thema

(futurezone) Erstellt am 07.03.2013, 13:30

Kommentare ()

Ihr Kommentar Kommentare aktualisieren
Bitte Javascript aktivieren!