Die Wissensplattform für erfolgreiche Unternehmer und Top-Manager
ICT & Technik
Informations- und Kommunikationstechnologie

Betrachtung der aktuellen Trends in der Schweizer ICT-Landschaft

Dr. Lukas Ruf (Autor)

01.08.10 - 13:30

Die Schweizer Information and Communication Technology (ICT), zu Deutsch: Informations- und Kommunikationstechnologie (IKT), bewegt sich nach Zeiten der Unsicherheit wieder. Vor allem, wenn es um die Verbesserung von Prozessen geht. Oft geht eine Verbesserung der Sicherheit einher, wenn Projekte mit neuen Technologien und Möglichkeiten angegangen werden.

Tabs

Seite 4

Schwachstellen

Anderseits weist das Design der Lösung sowohl hinsichtlich der Implementation als auch der Sicherheit generell unakzeptable Schwachstellen auf:

  • Erlaubt sind nur äusserst schwache Passworte; numerische PIN mit einer Länge von sechs bis zwölf Stellen sind heutzutage keine Herausforderung mehr.
  • Die vorliegenden Treiber erfordern, dass der Benutzer mit lokalen Administratorenrechten im Internet surft, wodurch ein Computer bei einer Verwundbarkeit des Web-Browser vollständig exponiert ist. Häufig sind zudem die Administratorenrechte aus Gründen der Firmen-Policy gar nicht erlaubt. Tests haben gezeigt, dass nach einem Neustart des Computers ein Surfen ohne Administratorenrechte möglich wird – darauf wird der Benutzer jedoch nicht hingewiesen.
  • Die Eingabe des Passworts erfolgt auf der normalen Tastatur und nicht über ein sogenanntes Klasse-2-Lesegerät, das extern und unabhängig von einem potenziell mit Viren und Trojanern verseuchten Computer funktioniert.

Während die ersten beiden Punkte in kommenden Versionen adressiert werden, ist insbesondere der letzte Punkt kritisch: Wird die SuisseID zum Erfolg und gleichzeitig auch für relevante Transaktionen wie beispielsweise Abstimmungen oder Finanzgeschäfte und damit auf breitere Ebene eingesetzt, so wird sie zu einem lohnenswerten Ziel für professionelle Angreifer aus der organisierten Cyber-Unterwelt.

Den Benutzern, insbesondere den Heimbenutzern, wird eine falsche Sicherheit vorgegaukelt. Professionelle Angreifer aus der organisierten Cyber-Unterwelt haben unlängst demonstriert, dass selbst staatliche Computer vor spezifisch für einen Angriff vorbereitete Viren und Trojanern mehr sicher sind. Mit Viren und Trojanern können, insbesondere wenn der Zugriff auf ein http://www.suisseid.ch-Zertifikat nur mit Administratoren-Rechten erfolgt, sehr einfach Progrämmchen installiert werden, welche Tastendrücke als sogenannte Keylogger abhorchen, speichern und Dritten zustellen.

Integrale Abhilfe

Gegen die zunehmende Professionalisierung des Cybercrimes reagiert die Schweiz ebenso wie Schweizer Unternehmen und die Technologielieferanten: Initiativen des Bundes zielen gegen Angriffe im Cyberspace und verbessern so die Landesverteidigung auch im neuen, digitalen Raum. Schweizer Unternehmen profitieren von neuen Mechanismen der Techno­logielieferanten, ebenso wie letztere Sicherheitslösungen als gewöhnliches Gut in ihre Produkte einbauen. Zu Hilfe kommt hierbei auch die gute Ausbildung an Schweizer Hochschulen und Universitäten wie auch die Sensibilisierung an Schulen der Unter- und Mittelstufe. Somit verliert die ICT-Sicherheit zwar ihren Nimbus und wird zusehends zu einem essenziellen Allgemeingut, ohne das ein Betrieb der modernen Infrastruktur, der Prozesse und gar des Lebensstils nicht mehr möglich ist. Sie zu meistern, bleibt aber eine Herausforderung, wenn es gilt, neue Technologien und Entwicklungen frühzeitig miteinzubeziehen.

Porträt

Dr. Lukas Ruf (Autor)

Inhaber und Geschäftsführer Consecom AG

Dr. Lukas Ruf ist Inhaber und Geschäftsführer der Consecom AG. Das Unternehmen unterstützt Firmen bei Fragen zur ICT-Sicherheit. Der Autor studierte an der ETH Zürich Electrical Engineering und doktorierte später auch an der ETH Zürich. Er verfügt über breite Forschungs-, Entwicklungs- und Praxiserfahrung in verschiedensten Branchen und hat sich auf ein breites Spektrum an Security-Anwendungen für Unternehmen und öffentliche Verwaltung spezialisiert. Seit März dieses Jahres ist Lukas Ruf Vorstandsmitglied der Information Security Society Switzerland (ISSS).