Eine Untersuchung zeigt einen kontinuierlichen Anstieg der Schwachstellen in Microsoft-Systemen und -Software. 685 Sicherheitslücken in Produkten des US-amerikanischen Softwareriesen wurden im vergangenen Jahr entdeckt. Seit 2013 (damals 325 gemeldete Sicherheitslücken) hat sich die Zahl somit verdoppelt. Das geht aus einem Bericht des Softwareanbieters Avecto hervor.
Bei Windows 10 stieg die Zahl der kritischen Sicherheitslücken 2017 im Vergleich zum Vorjahr um 64 Prozent, obwohl es als sicherstes Windows-Betriebssystem gilt. Insgesamt wurden unter Windows Vista, Windows 7, Windows 8.1/RT 8.1 und Windows 10 im vergangenen Jahr 587 Schwachstellen entdeckt.
Laut Bericht könnte eine Aufhebung der Administratorrechte 80 Prozent aller 2017 gemeldeten kritischen Microsoft-Sicherheitslücken entschärfen. Bei den Browsern des Software-Giganten ist das Ergebnis noch beeindruckender: 95 Prozent der kritischen Sicherheitslücken – also fast alle – ließen sich durch aufgehobene Administratorrechte umgehen.
Oft erlauben erst Administratorrechte die Installation von Schadsoftware
In der Unternehmenspraxis ist es eine sehr verbreitete Vorgehensweise, Benutzerkonten zu Administratoren zu erklären, erklärt Springer-Autor Thomas H. Lenhard in seinem Buch "Datensicherheit". "Damit ist es möglich, jederzeit Software zu installieren und Einstellungsänderungen an einem System vorzunehmen. In vielen Fällen wird diese Vorgehensweise aber viel zu spät als schwerwiegender Fehler erkannt", heißt es im Kapitel "Häufige Sicherheitsprobleme". "Viele Trojaner oder Viren können nur dann wirklich großen Schaden anrichten oder sich in Systemen festsetzen, wenn sie unter einem Benutzerkonto aktiv sind, das über erweiterte Rechte verfügt. Der schlimmste aller anzunehmenden Fälle in diesem Bereich ist ein Administrator, der ausschließlich das Konto des Domänenadministrators nutzt und sich unter diesem Konto mit Maximalrechten einen Computervirus 'einfängt'".
IT-Risiken systematisch analysieren und bewerten
Solche und andere IT-Risiken sollten "systematisch aufgegriffen und differenziert werden, um dann für die unterschiedlichen Risiken gezielt Maßnahmen aufsetzen zu können", schreibt Georg Disterer in "Systematische Differenzierung von IT-Risiken" aus dem Springer-Buch "IT-GRC-Management – Governance, Risk und Compliance".
Bei umfassenderer IT-Unterstützung von Geschäftsprozessen werden die verarbeiteten Daten reichhaltiger, so dass die Gefahr der Verletzung berechtigter Interessen von Betroffenen steigt. Auch bietet die betriebliche Informationsverarbeitung eine große Angriffsfläche, da sie nicht mehr betriebsintern und damit isoliert von der Außenwelt abläuft, sondern funktional in überbetriebliche Wertschöpfungsketten und technisch in das Internet und vergleichbare Netze eingebunden ist." Georg Disterer im Buchkapitel "Systematische Differenzierung von IT-Risiken" aus "IT-GRC-Management – Governance, Risk und Compliance" (Seite 84).
Für das IT-Risikomanagement sind wirkungsbezogene Unterscheidungen sinnvoll, schreibt Disterer, "um verschiedene Schutzbereiche zu identifizieren, allerdings sind kaum Hinweise auf konkrete Maßnahmen abzuleiten. Ein ursachenbezogener Ansatz ist sinnvoll zur Planung, Steuerung und Kontrolle konkreter Maßnahmen. Damit ist insgesamt eine Kombination von ursachen- und wirkungsbezogenen Unterscheidungen sinnvoll, um Maßnahmen gegen IT-Risiken gezielt zu planen, zu steuern und zu kontrollieren."