Die Sicherheitsfirma für Mittelständler in Deutschland, Mcert Deutsche Gesellschaft für IT-Sicherheit, hat noch einmal eindringlich vor festen Patchzyklen gewarnt.

In meinen Augen ist das auch vollkommen Schwachsinn den Microsoft und andere Firmen da eingeführt haben. Seit wann kann man den auf Bedrohungen nach Dienstplan reagieren? So etwas muß schnell und flexibel passieren.

„Die Täter scheinen Sicherheitslücken auf Vorrat zu haben, die sie unmittelbar nach dem Patchtag ausnutzen“. Diese bislang unbekannten Lücken stehen dann bis zu vier Wochen offen und können von den Angreifern unmittelbar ausgenutzt werden“

So jedenfalls vermutet Mcert-Geschäftsführer Stefan Gehrke. Gehrke führte weiterhin aus,

„Angriffe auf die IT-Systeme von Unternehmen werden zunehmend gezielt ausgeführt und haben mehr und mehr einen kriminellen Hintergrund. Die Eindringlinge nutzen dabei unbekannte Lücken in Programmen, die von den Software-Herstellern noch nicht geschlossen worden sind. Besonders betroffen davon waren in letzter Zeit die Büroprogramme Word, Excel und Powerpoint von Microsoft.

Die Experten von Mcert haben zudem festgestellt, dass überwiegend Unternehmen mit infizierten Bürosoftware-Dateien angegriffen werden. Dieser Umstand lasse auf gezielte Industriespionage schließen.“

Nun, wenn man das alles weiß, dann soll man doch bitteschön seinen Mitgliedern raten, auf weniger gefährdete Software umzusteigen. Sicherlich kann nicht jede Anwendung sofort und aus dem Stegreif von Linuxprogrammen übernommen werden. Aber zu mindestens habe ich die Erfahrung gemacht, dass in der Open Source Szene niemand nach Dienstplan arbeitet.

Da man ja die Bürosoftware als solches nicht abschaffen kann, geben die Leute von Mcert noch folgen Tips.

Mitarbeiter sensibilisieren, so dass sie nicht mehr jede Datei vertrauensvoll öffnen; nicht ausschließlich auf Antivirensoftware verlassen, da diese selten auf dem allerneusten Stand sei; Nutzerrechte der Mitarbeiter beschränken – auch in kleineren Firmen; sich permanent über Sicherheitsfragen informieren.

Niedlich sind sie ja, das klingt für mich eher nach „Pfeifen im Wald“.
Mitarbeiter sensibilisieren klingt zwar gut, wird aber in den wenigsten Fällen funktionieren. Nach meiner Erfahrung klicken mindestens 80 Prozent der Leute auf alles was nicht bei drei auf den Bäumen sitzt.
Nicht ausschließlich auf die Antivirensoftware verlassen ist ja richtig, aber doch nicht mit dieser Begründung. Die Hersteller dieser Programme leisten sich einen großen Entwicklerstab um schnell reagieren zu können. Wenn die Virendatenbank aber nicht mehrmals am Tag aktualisiert wird, dann liegt das oft nicht an den Softwarefirmen, dann gehört der Systemadmin gelyncht weil er die Updates nicht einspielt. Da kann man nicht der „Schwarze Peter“ den Antivirensoftwarefirmen zu geschieben.
Nutzerrechte der Mitarbeiter beschränken ist auch gut. Ich habe schon Firmen erlebt, dass konnte jeder „Hinz und Kunz“ Programme installieren. Da sind wir dann wieder beim „Teeren und Federn“ des Systemadmins.

Bezugnehmend auf einen Artikel auf Silicon.de. Die Zitate stammen aus dem verlinkten Artikel