Das sich der Trend immer weiter Richtung Applikationen im Web bewegt, ist ja an sich nichts neues mehr. Aber genau diesem Trend folgen auch die Angriffe auf die Systeme
Die Strategie der Angreifer ändert sich automatisch mit dem Verhalten der Benutzer. Da immer mehr Dienste in’s Web verlagert werden, verlagern sich auch die Gefahren. Sicherlich verbreitet sich noch genug Schadcode per eMail aber es sind immer mehr Webseiten die infizierten Code dem Betrachter unterschieben. Dabei handelt es sich keineswegs nur um Seiten, bei denen man ja selbst schuld ist, wenn man diese besucht. Ganz im Gegenteil, immer mehr Webseiten, auch von Unternehmen und Organisationen verteilen Schadcode.
Das aber gerade diese Seiten oft ein leichtes Spiel für Angreifer darstellen ist kein Wunder. Ein Webauftritt eines mittelständischen Unternehmen kommt ohne die Hilfe eines Content-Systems ja schon fast nicht mehr aus. Selbst wir können uns davon nicht freisprechen. Was Sie hier lesen wird auch mit einem solchen System erstellt und verwaltet. Da die Systeme selbst immer umfangreicher werden, ist es nur eine Frage der Zeit bis ein Angreifer eine Lücke findet um diese ausnutzen zu können. Das „ob“ spielt so gut wie keine Rolle mehr. Sicherlich ist der Betreiber auch in der Pflicht seine Systeme auf dem aktuellen Stand zu halten, aber oft ist der Umfang dieser Systeme so gut wie nicht mehr zu überschauen. Da braucht es oft ein Team im Hintergrund was sich dieser Aufgabe stellt.
Aber deshalb auf Web 2.0 mit all seinen Möglichkeiten zu verzichten ist auch keine Lösung und so gesehen ja schon gar nicht mehr machbar. Auf der anderen Seite kann man sich auch nicht dem Fortschritt oder neuen Entwicklungen verschließen. Es ist sicherlich auch eine Herausforderung an die IT eine Infrastruktur bereitzustellen die den Umgang mit den Web 2.0 Angeboten so sicher wie möglich gestaltet. Aber es ist nicht mehr so kompliziert wie es sich vielleicht anhört. Es gibt entsprechende Produkte die das Benutzen von 2.0 auch entsprechend Sicher gestalten. Es erfordert natürlich ein wenig mehr an Aufwand als ein Squid-Proxy mit any allow, aber der Aufwand ist zwingend erforderlich um die Sicherheit in diesem Bereich nicht zu vernachlässigen.
Ein Virenscanner auf dem Client oder dem Proxy ist schon lange kein Garant dafür, dass man sich unbesorgt im Web bewegen kann. Hier braucht es spezielle Systeme die den Nutzen von Web 2.0 an dem Benutzer weitergeben aber die Malware draußen lassen. Da es aber diese Systeme gibt ist es auch um so wichtiger diese zum Einsatz zu bringen. Jeder erfolgreich verhinderte Angriff ist ein Schritt zu mehr Sicherheit und schon lange kein Luxus mehr.