Im Internet ist eine der grössten Sammlungen gestohlener Passwörter und E-Mail-Adressen aufgestöbert worden. Laut dem australischen Sicherheitsforscher Troy Hunt handelt es sich bei der 87 Gigabyte grossen Passwortsammlung namens "Collection #1" um mehr als eine Milliarde unterschiedlicher Zugangsdaten, die aus verschiedenen Quellen stammen sollen, wie es in seinem Blog heisst.

Öffentlich zugänglich
Hunt hat sich die Mühe gemacht, den illegal zusammengetragenen Datenschatz zu analysieren und ihn in den Dienst "Have I been pwned" integriert. Nutzer können mit dem Dienst überprüfen, ob ihre E-Mail-Adresse oder ihr Passwort von einem Datenleck betroffen waren.

Auch wenn die Entdeckung der gigantischen Passwortsammlung für Security-Experten angesichts immer wieder neuer Enthüllungen nichts Neues ist, so macht die Dimension des aktuellen Falles einen Unterschied. Hunt zufolge ist es die bisher grösste öffentlich zugängliche Sammlung ihrer Art. Sie sei über ein "populäres Hackingforum" angeboten worden und konnte beim Clouddienst Mega downgeloadet werden.

773 Mio. E-Mail-Adressen
Hunt hat in Summe 773 Mio. verschiede E-Mail-Adressen und 22 Mio. unterschiedliche Passwörter gezählt. Das Ganze soll verteilt auf mehr als 12.000 Dateien abgespeichert worden sein. Der Ãœberordner heisst "Collection #1". In einem Forum wurde Hunt zufolge darauf hingewiesen, dass nicht alle Passwörter ursprünglich im Klartext vorgelegen hatten, sondern aus Hashes berechnet wurden, wie "Golem" schreibt. Diese sollen laut dem Post in über 2.000 Dateien abgelegt worden sein, in deren Namen auch die potenzielle Herkunft der Daten genannt wird.

Kostenlose Filme und Software: Damit lockt der Trojaner Sathurbot Nutzer, um ihre Rechner zu infizieren und mit einem wachsenden Botnet WordPress-Webseiten anzugreifen. Der europäische Security-Software-Hersteller ESET hat Sathurbot analysiert und stellt die Ergebnisse in einem ausführlichen Bericht vor.

Gezielter Angriff auf WordPress-Webseiten
Sathurbot hat es auf Webseiten abgesehen die das Content Management System WordPress verwenden. Mit mehr als 5.000 grundlegenden generischen Wörtern versucht die Malware, Anmeldeinformationen für WordPress-Webseiten zu erstellen. Verschiedene Bots im Sathurbot-Botnet probieren unterschiedliche Anmeldeinformationen auf der gleichen Website aus. Jeder Bot versucht aber nur einen einzigen Login pro Seite und wechselt danach zur nächsten. Dieses Verhalten stellt sicher, dass ein Bot nicht anhand seiner IP-Adresse erkannt und für zukünftige Versuche gesperrt wird.

Sathurbot verbreitet sich über File-Sharing-Seiten, auf denen Nutzer Torrents für angeblich kostenlose Filme und Dateien herunterladen. Die Torrent-Datei dient Sathurbot als Transfermedium: Sobald ein Nutzer die Datei ausführt, kapert der Trojaner den Rechner und stellt eine Verbindung zu einem Command and Control (C&C)-Server her, sodass der Computer in das Botnet integriert wird.

So schützen sich Nutzer gegen Sathurbot
Nutzer, die von Sathurbot betroffen sind, können mit einem Drittanbieter-Dateimanager die bösartige .DLL entlarven, mit dem Taskmanager explorer.exe und/oder rundll32.exe terminieren und die betreffende .DLL löschen. Danach muss der Computer neu gestartet werden. Um einer Infektion des Rechners mit Sathurbot vorzubeugen, sollten Nutzer keine Dateien ausführen, deren Ursprung nicht einwandfrei geklärt ist. Ausserdem sollten sie keine Software von File-Sharing-Seiten beziehen.

Der texanische Computerriese Dell sieht sich mit einem Hacker-Angriff konfrontiert. Wie das US-Unternehmen mit Sitz in Round Rock bekannt gegeben hat, sollen es die Cyber-Kriminellen auf die Dell.com-Kundendatenbank sowie die darin abgespeicherten Passwörter und persönlichen Informationen abgesehen haben. Auch wenn laut Dell kein Risiko besteht, da die Passwörter nicht im Klartext gespeichert seien, müssen die betroffenen User trotzdem ihre Zugangspasswörter zurücksetzen und dann neu festlegen.

Versuch offenbar fehlgeschlagen
Der Vorfall liegt offenbar schon länger zurück, wie heute, Donnerstag, bekannt wurde. Demnach hätten sich Angreifer bereits am 9. November gezielt Zugang zum Konzern-Netzwerk verschafft und Versuche unternommen, die hochsensiblen Kundendaten abzuziehen. Belege dafür, dass diese Aktion am Ende auch von Erfolg gekrönt war, gebe es aber nicht. Im Fokus der Hacker standen laut Dell insbesondere Namen, gehashte Passwörter sowie E-Mail-Adressen.

Dell hasht Passwörter und hat demzufolge auch selbst keine Kenntnis über die Zugangsdaten seiner Kunden - ein Vorteil, wenn es zu einem Vorfall wie diesem kommt. In der Europäischen Union ist das Hinterlegen von Passwörtern im Klartext laut der Ende Mai dieses Jahres in Kraft getretenden Datenschutz-Grundverordnung (DSGVO) zudem rechtlich nicht mehr zulässig und wird entsprechend geahndet, wie der jüngste Fall des Chat-Anbieters Knuddels in Deutschland gezeigt hat.

Die israelische Firma Nice Systems hat rund 14 Mio. Datensätze, darunter Telefonnummern und Passwörter, von Verizon-Kunden verloren. Die Datensätze waren auf einem ungeschützten Amazon-S3-Server zugänglich. Das Problem: Die Adresse war leicht zu erraten und somit einfach zugänglich. Betroffen sollen jedoch nur Verizon-Kunden sein, die den Kundendienst des Telefonanbieters in den vergangenen sechs Monaten telefonisch kontaktiert haben.

Daten zur Verifizierung
Chris Vickery, Direktor für Cyber-Risikoforschung bei der Security-Firma UpGuard, hatte Verizon auf das Problem hingewiesen. Es dauerte dennoch länger als eine Woche, um die Daten endgültig zu sichern. Durch die Namen, Telefonnummern und Passwörter der Kunden könnte sich theoretisch jeder Zugang zu den Accounts verschaffen. Denn diese drei Dinge werden zur Verifizierung beim Kundendienst abgefragt. Einige Daten waren maskiert, um eine unautorisierte Weitergabe zu vermeiden. Allerdings waren die meisten anderen Infos zum Teil oder sogar komplett sichtbar.

Nice Systems hat sich auf Kundenengagement und die Vorbeugung gegen Kriminalität im Finanzsektor spezialisiert. Die Firma hat 25.000 Kunden in 150 Ländern, darunter viele Telekommunikationsunternehmen. Datenschutz-Kontrollorgane haben einige Verbindungen zwischen dem Unternehmen und Geheimdiensten gefunden, die für das Knacken von Mobiltelefonen bekannt sind.

Noch mehr Opfer möglich
Wie "ZDNet" unter Berufung auf einen langjährigen Verizon-Mitarbeiter berichtet, soll das Unternehmen nichts über die Ausschleusung der Datensätze gewusst und auch lange Zeit keine Kontrolle über den betroffenen Server gehabt haben. Verizon versucht unterdessen, die Wogen zu glätten. Der Grossteil der Daten habe gar keinen externen Wert. Nice Systems und Verizon wollen den Vorfall jedoch weiter untersuchen.

Laut Vickery gibt es Beweise für die Speicherung von Orange-Kundendaten auf dem angegriffenen Server. Der europäische Telefonanbieter gab dazu allerdings noch keine Auskunft. Es bleibt bislang unklar, wer noch Zugang zu dem Server hatte oder ob die Daten von jemand anderem heruntergeladen wurden. Laut Verizon belegen die internen Nachforschungen, dass sonst keine aussenstehende Partei Zugang zu den Daten hatte.

Der Managementberatungs-, Technologie- und Outsourcing-Dienstleister Accenture hat die Webauftritte der 260 weltweit bekanntesten Marken unter die Lupe genommen. Das Ergebnis: Nike.com, Google.com, Adidas.com, Ford.com und Microsoft.com bringen Verbrauchern ihre Marke am nächsten.

Neun Schlüsselfaktoren für eine Marken-Website
Mit dem neuen Instrument Website Evaluator hat Accenture die Internetseiten auf neun Schlüsselfaktoren mit 33 Unterkriterien hin analysiert: Suche und Navigation, Information, Service, Einbindung, Beziehungsaufbau, Branding, E-Commerce, globale Präsenz sowie Anzahl der Besucher.

Aufbau einer Beziehung zum Kunden scheitert häufig
"Internetseiten können starke Beziehungen zwischen der Marke und dem Verbraucher aufbauen, wenn der Konsument die Marke im Web positiv erlebt", sagt Dietmar Kruse, Geschäftsführer von Accenture Marketing Sciences. "Wichtige Voraussetzungen dafür sind, dass Inhalte und Technologien überzeugend miteinander verknüpft werden, relevante Informationen in interessanten Formaten verpackt sind und es Möglichkeiten für einen erfolgreichen interaktiven Austausch gibt."

Viele Unternehmen legten bei ihren Internetseiten zwar hohen Wert auf die Darstellung ihrer Marke und den Verkauf. Das Potenzial, Beziehungen mit den Verbrauchern aufzubauen, liessen sie jedoch vielfach ungenutzt. "Unsere Analysen zeigen, dass Unternehmen bessere Resultate der Branding- und Marketinginvestitionen zu erwarten haben, wenn sie Funktionalität und Wirkung ihrer Internetseiten verbessern. Die Möglichkeiten dafür sind enorm", so Dietmar Kruse. "Mit dem Website Evaluator und dank der ermittelten Leistungsmerkmale können wir unseren Kunden sehr genaue Hinweise geben, wo das Verbesserungspotenzial ihrer Marken-Websites liegt." Nach Analyse der Webauftritte der 260 weltweit bekanntesten Marken verfüge Accenture über eine detaillierte Vergleichbasis für weitere Untersuchungen.

Die Top 5-Marken-Websites
Die internationalen Webauftritte von Nike, Google, Adidas, Ford und Microsoft schneiden bei der Accenture-Untersuchung am besten ab.

- Die Internetseite von Nike erzielte die besten Ergebnisse in punkto Branding, Nutzer-Einbindung und Beziehungsaufbau zum Kunden. So kann man dort zum Beispiel den eigenen Laufstil bewerten und optimieren sowie eigene Sportschuhe entwerfen. - Auch Google gelingt es besonders gut, positive Beziehungen zum Verbraucher aufzubauen, dank des einfachen Webdesigns und des unkomplizierten Zugangs zu Diensten wie interaktiven Landkarten, Videos, Blogs und Nachrichten. - Auf Adidas.com beeindruckt, dass der Firmenslogan "Impossible is Nothing" mit einer Fülle von Animationen und Bildern von Spitzensportlern eindrucksvoll vermittelt wird, ohne dass dabei Informationen über die Produkte und das Unternehmen vernachlässigt werden. - Die US- Internetseite von Ford erhielt Bestnoten für detaillierte und hilfreich aufbereitete Produktinformationen sowie den virtuellen "Showroom". - Microsoft.com bewertet der Accenture Website Evaluator besonders positiv hinsichtlich der nützlichen Angebote für Verbraucher wie Softwaredownloads, Bedienungsanleitungen und Tutorien.

Für 83 Prozent der Unternehmen in der Schweiz steht die IT-Sicherheit an oberster Stelle. Der Mehrwert der IT-Dienstleistungen wird hingegen noch wenig gemessen: Mit 67 Prozent nimmt die Finanzindustrie eine Vorreiterrolle ein - die übrigen Industrien liegen bei 42 Prozent.

Die von Accenture und Avanade durchgeführte CIO-Studie zeigt: Für 83 Prozent der befragten Unternehmen ist IT-Sicherheit weiterhin ein Top-Thema. Für die restlichen Unternehmen wird es innerhalb der nächsten zwei Jahre zentral werden. Schon in den Jahren 2005 und 2006 stand die Sicherheit an oberster Stelle. Zu den weiteren vier Prioritäten zählen bei den CIOs (Chief Information Officers) "Business Intelligence", "Archivierung", "Kontrolle und Ãœbersicht über alle laufenden Projekte" sowie "Kostenmanagement". Die heute populären Themen RFID (Radio Frequency Identification) oder Near- und Offshoring werden zumindest in absehbarer Zeit für die befragten Unternehmen nicht an Relevanz gewinnen.

IT schafft Mehrwert
Die befragten IT-Führungskräfte sind davon überzeugt, dass der Grossteil der IT-Budgets in Projekte fliessen, welche einen klaren Mehrwert für das Unternehmen schaffen. Bei 67 Prozent der Finanzdienstleister werden die IT-Dienstleistungen anhand von KPIs (Key Performance Indicators) wie etwa der Umschlagshäufigkeit, Kapitalbindung oder Lohnstückkosten gemessen. In den übrigen Industrien liegt diese Quote bei 42 Prozent. Auch die IT-Servicequalität wird bei rund zwei Dritteln der Finanzdienstleister-Unternehmen regelmässig zusammen mit anderen Geschäftseinheiten beurteilt, in den restlichen Industrien sind es nur 42 Prozent.

Fokus auf die Kosten
Die Leistungsmessung der IT anhand von Kennzahlen erfolgt in 58 Prozent der Fälle hauptsächlich, um Kosten erklären und die Budgets einhalten zu können. Bei 32 Prozent der Befragten stehen die Effizienz und der Vergleich mit Benchmarks im Vordergrund, 10 Prozent legen den Fokus auf die Wertschöpfung, welche die IT für das Unternehmen beiträgt.

Hoher Stellenwert der IT im Unternehmen
Der Informationstechnologie wird in 76 Prozent der antwortenden Unternehmen ein hoher Stellenwert für den Geschäftserfolg eingeräumt. In 71 Prozent der Fälle wird die IT zudem als strategischer Wert innerhalb des Unternehmens gesehen. Ist ein CIO selbst Mitglied der Geschäftsleitung, funktioniert sowohl die Integration der IT in die strategischen Entscheide des Managements als auch die Steuerung der IT besser. Im Gegensatz zu früheren Untersuchungen zeigt sich, dass heute die IT- und die Geschäftsstrategie in Firmen regelmässig aufeinander abgestimmt werden - Ad-hoc-Abgleiche gehören meist der Vergangenheit an.

Zur Studie
Das Ziel der mittlerweile dritten von Accenture zusammen mit Avanade (einem Joint Venture von Microsoft. und Accenture) durchgeführten Studie war es, die aktuellen IT-Trends und den Status der IT-Governance in der Schweiz zu eruieren. Der Fokus lag auf dem Thema IT-Industrialisierung.

Die Studie basiert auf einer schriftlichen Befragung von 41 IT-Entscheidungsträgern (156 Fragebogen versandt) von grossen Unternehmen in der Schweiz. Ansprechpartner waren CIOs bzw. Führungskräfte auf Geschäftsführungsebene oder oberer Managementebene, die Auskunft zu den strategischen IT-Aktivitäten und der IT-Governance ihres Unternehmens geben konnten. Die Befragung wurde im Auftrag von Accenture und Avanade im 2. Quartal 2007 durchgeführt. Die komplette Studie finden Sie im Internet zum Download bereit.

Viele User haben beim Senden einer E-mail an einen Empfänger mit einer Hotmail-Email-adresse grosse Probleme. Sie erhalten die folgende Rückmeldung von Hotmail:

Hotmail hat eine willkürliche und undurchsichtige Spambekämpfung implementiert die es den ISP?s unmöglich macht, diesen Fehler zu beheben, da keine Mitarbeit seitens von Hotmail vorhanden ist. Wir bedauern dies sehr, empfehlen ihnen deshalb, auf eine alternative Emailadresse zu wechseln, damit ihre Emails auch sicher beim Empfänger ankommen.

550 Your e-mail was rejected for policy reasons on this gateway. Reasons for rejection may be related to content with spam-like characteristics or IP/domain reputation problems. If you are not an e-mail/network admin please contact your E-mail/Internet Service Provider for help. For e-mail delivery information, please go to http://postmaster.live.com

Hotmail hat eine willkürliche und undurchsichtige Spambekämpfung implementiert die es den ISPâ??s unmöglich macht, diesen Fehler zu beheben, da keine Mitarbeit seitens von Hotmail vorhanden ist. Wir bedauern dies sehr, empfehlen ihnen deshalb, auf eine alternative Emailadresse zu wechseln, damit ihre Emails auch sicher beim Empfänger ankommen.

Tipps und Tricks um Rechner vor fremden Attacken wirkungsvoll zu schützen und was Sie tun können um das Risiko eines Virenbefalls stark zu vermindern. Eine hundertprozentige Sicherheit wird es vermutlich nie geben, jedoch kann mit den richtigen Restriktionen das Restrisiko auf ein Minimum reduziert werden.

- Unbedingt eine AntiViren Software installieren. Eine Liste von Herstellern ist unter der Rubrik Unix & Linux und Windows zu finden. Viele Hersteller halten sogenannte zeitbegrenzte Testversion auf ihren Webseiten zum Download bereit. Somit kann jeder Anwender für sich entscheiden, welche Software ihm am besten zusagt.

- Antiviren Software ist abhängig von der Aktualität der Virentabelle. Es ist ratsam von Zeit zu Zeit die Virenliste von dem jeweiligen Hersteller aus dem Internet runter zuladen!

- Niemals Programme vom Internet laden von denen der Ursprung nicht bekannt ist.

- Öffnen Sie keine Attachments, deren Art Sie nicht kennen oder die Herkunft nicht eindeutig ist. Um ein Virus nicht versehentlich zu aktivieren, empfehlen wir Mails mit unbekanntem Absender oder zweideutigem Inhalt sofort und unwiderruflich zu löschen!

- Bevor Dateianhänge eingehender E-Mails geöffnet werden, diese zunächst in einem Verzeichnis speichern und nochmal mittels eines Virenscanners überprüfen und gegebenfalls löschen.

- Informieren Sie sich über Sicherheitslücken in Ihrer Internet-Software, einschliesslich des Betriebssystems. Installieren Sie regelmässig entsprechende Updates, Bug-Fixes oder Patches etc. - Gehen Sie nie ins Internet, wenn Sie als Benutzer im LAN mit Administrator-Rechten angemeldet sind. Richten Sie dafür einen Benutzer mit drastisch eingeschränkten Rechten ein, ansonsten Tür und Tor geöffnet sein könnten. - Es ist empfehlenswert, den Arbeitsspeicher von Zeit zu Zeit, auf resistente Programme zu überprüfen. Antispywareprogramme übernehmen diese Aufgaben. Es sollte jedoch darauf geachtet werden, dass auch diese regelmässig Upgedatet werden. - Die "Fenster-Funktion" in Outlook ausschalten und beim Surfen im Internet durch entsprechende Einstellungen des Browsers sogenannte "aktive Inhalte" (Java Scripting oder Aktive Scripting) nicht zuzulassen. Solche Inhalte wie bewegte Bilder und interaktive Angebote können bei der Ãœbertragung eines Computervirus eine entscheidende Rolle spielen. Wer jedoch nicht auf alle Funktionen der neuen Webtechnologie verzichten möchte, sollte zumindest ActiveX unterbinden wobei manchmal auch Einschränkungen beim Besuch von Webseiten gegeben ist. - Im Bios das System dahingehend anzuweisen, dass beim Start des Systemes nicht mehr zunächst von einem Diskettenlaufwerk gebootet wird. Hin und wieder werden Disketten im Laufwerk "vergessen" welche beim hochfahren des Rechners zuerst gelesen würden. Somit wird verhindert, dass von einer virenverseuchten Diskette gebootet und das System mit einem Bootsektorvirus infiziert wird - Eine Bootdiskette erstellen, die garantiert virenfrei ist. So eine Diskette kann bei einem evtl. späteren Virenbefall eine grosse Hilfe sein. Oftmals übernimmt diese Arbeit auch die installierte AntiViren Software. Unbedingt die Diskette mechanisch mit Schreibschutz versehen. Softwarebasierender Schreibschutz wird durch sehr viele Viren einfach umgangen. - Da einige sehr schädliche Viren auch versuchen die Festplatte unter Hilfename bereits installierter Programme zu formatieren, hilft in vielen Fällen ein ganz einfacher Trick, dem Virus derartige Funktionen zu verwehren: Die Dateien Debug.exe, Format.com und Deltree.exe in mit einer Zahl zu versehen, die Dateiendung aber so zu belassen. Die Funktionen der genannten Programme werden bei Aufruf nicht beeinträchtigt. - Die Server müssen von Zeit zu Zeit durch ein unabhängiges Serverkontrollmonitoring auf Sicherheitslücken gescannt und überwacht werden. Um versuchte Einbrüche in das Netz zu erkennen müssen so genannte Portscanns eben auch als solche erkannt werden. Sicherheitsrevisionen und Test-Hack-Attacken gehören ebenso zum Kontrollinstrument wie auch das sensibilisieren der Benutzer. - Um die Sicherheit der Unternehmensinformatik zu erhöhen, braucht es viel Zeit und Engagement um die Benutzer regelmässig über Sicherheitsaspekte zu unterrichten und klare Anwenderrichtlinien auszuarbeiten. So sollten etwa Mitarbeiter in regelmässigen Abständen darauf hingewiesen werden, dass sie niemandem, weder telefonisch noch direkt über die Informatikumgebung Auskunft zu geben haben und dass sie erst recht niemandem ihr Passwort verraten sollten. Ein Passwort ist der Schlüssel, mit dem sich im Internet viele Türen öffnen lassen, deshalb fängt die Online-Sicherheit schon bei der Wahl des richtigen Passworts an. Die meisten Menschen gehen sehr leichtfertig mit ihren Passwörtern um, weil sie erstens zu gutgläubig sind und zweitens nicht erahnen können welchen Ärger man sich einhandeln kann, wenn jemand anderer sich unter ihrem Namen Zutritt zu vertraulichen oder kostenpflichtigen Informationen in Firmennetzen oder im Internet verschafft. Die meisten Hackerattacken werden laut Sicherheitsberatern von den eigenen Mitarbeitern durchgeführt und nicht wie immer propagiert von externen «bösen Buben». Doch nicht nur die Treuherzigkeit vieler Anwender kann zum Sicherheitsrisiko werden, auch gewisse Praktiken sind hoch gefährlich. So ist es vor allem bei KMUs gang und gäbe, dass Kollegen untereinander die Passwörter tauschen. Passwörter haben in einem solchen Szenario eigentlich überhaupt keine Funktion mehr, sondern stören nur. Entsprechend ist die Moral dem ganzen Thema Computer-Sicherheit gegenüber. Oft sind Passwörter aber auch einfach zu erraten. Steht das Passwort im Lexikon, sollte es nicht verwendet werden, denn Einbruch-Tools haben ganze Lexika geladen und probieren die Wörter in Sekundenschnelle als Zugangsbegriffe durch. Ungünstig sind aber auch die Anfangbuchstaben der Wörter in einem Satz. Oft können sich die Benutzer nämlich die Sätze nicht merken und schreiben sie deshalb auf. Bei einer «Wer sucht, der findet»-Aktion wurden Passwörter auf der Rückseite von Tastaturen gefunden oder waren auf den Bildschirmrand geschrieben. Nachfolgen ein paar Regeln im Umgang mit Passwörtern: - Schreiben Sie ihr Passwort niemals auf und achten Sie beim Eingeben des Passworts, dass Ihnen niemand über die Schulter schaut. - Ändern Sie auf jeden Fall Ihr Passwort sofort, sobald Sie sich ausspioniert fühlen und informieren sie auch immer Ihren Vorgesetzten. - Wenn Sie glauben, dass jemand anderer Ihr Passwort verwendet, dann informieren Sie umgehend den Systemadministrator, er kann vielleicht dem Bösewicht eine Falle stellen. - Passworte sollten keine persönlichen Gegebenheiten wiederspiegeln wie, Vornamen, Nachnamen, Firmennamen, Telefonnummern, Autokennzeichen, Automarken oder Strassennamen etc. - Das Passwort muss mindestens sechs, besser aber acht Zeichen lang sein und aus einer Mischung von Buchstaben und Zahlen sowie aus Gross- und Kleinschreibung bestehen. - Am besten eignen sich geografische Namen wie Ortschaften, die per Zufall in einem Atlas nachgeschlagen und durch eine Nummer ergänzt werden. Beispielskombination mit der Ortschaft Ascona: aScoNA25 oder AS2cOna5

Nur wenn die Firewall mit einem praxisgerechten Regelsatz versehen ist, wird diese ein Netzwerk auch wirklich sichern können. Die wichtigste Aufgabe beim Einbau einer neuen Firewall ist die Definition der Regeln, nach denen die Firewall arbeiten soll.

Aufsetzen des Regelsatzes
Erfolgreiche Regelsätze sind einfache Regelsätze. Je einfacher Ihre Regeln sind, umso sicherer wird Ihre Firewall sein. Wenn Ihre Firewall 30 bis 50 Regeln hat, dann liegen Sie im orangenen Bereich, mit jeder Regel wächst die Gefahr einer Fehlkonfiguaration deutlich an. Je kürzer der Regelsatz ist, umso schneller kann die Firewall ihn abarbeiten, das heisst, die Performance wird besser. Zwar arbeiten die meistem Firewalls sehr effizient, aber es kann auf keinen Fall schaden, Reserven zu haben.

Der Regelsatz
Die LAN-Nutzer erhalten nur Zugriff auf die Dienste, die sie auch wirklich brauchen. In diesem Fall sind dies DNS, HTTP, SMTP und POP. Die Regeln folgen nun in der Reihenfolge, wie sie im Regelsatz erscheinen sollen, d.h. die erste Regel steht ganz oben und die elfte wird ganz zuletzt abgearbeitet.

- Firewall-Admin-Zugang: Die folgende Lockdown-Regel verbietet sämtlichen Traffic zur Firewall, diese Regel erlaubt es den Admins, auf die Firewall zuzugreifen.

- No Logging: Die vorletzte Regel Ihres Regelsatzes sollte die "No-Logging"-Regel sein. Diese Regel bezieht sich auf internen Traffic. Geschwätzige Protokolle wie NetBIOS produzieren jede Menge nutzlose Log-Einträge. Mit dieser -Regel werden solche Protokolle ausgefiltert, und die Log-Dateien bleiben lesbar. Auch diese Regel gehört zu den Standard-Regeln, über die jede Firewall verfügen sollte.

- Lockdown: Diese Regel blockiert den Zugriff auf die Firewall. Es handelt sich hier um eine Standard-Regel, die in jedem Regelsatz vorhanden sein sollte. Niemand ausser dem Firewall-Administatoren benötigt Zugriff auf die Firewall

- DNS-Zugriff: Internet-Nutzer sollen Zugriff auf den DNS-Server in der DMZ haben. - Mail-Zugriff : Internet- und LAN-Nutzer sollen Zugriff auf den Mail-Server via SMTP haben. - Web-Zugriff: Internet- und LAN-Nutzer sollen Zugriff auf den Web-Server via HTTP haben. - Admin-Zugriff: Diese Regel erlaubt den Admins den verschlüsselten Fernwartungs-Zugriff auf das LAN. Zur Erhöhung der Sicherheit sind sie dabei auf bestimmte IP-Adressen beschränkt. - Interner POP-Zugriff: Diese Regel erlaubt den Zugriff vom LAN via POP auf den Mail-Server. - DMZ abschotten: Diese Regel trennt die DMZ vom LAN. Kein Nutzer aus dem LAN darf auf die DMZ zugreifen. - DMZ-Kontrolle: Normalerweise sollte die DMZ niemals versuchen, Daten an das interne LAN zu senden. Wenn dies doch passiert ist das ein Indiz für einen Hacker-Einbruch. Diese Regel blockiert sämtliche Daten, loggt alles mit und alarmiert den entsprechenden Admin. - Drop-all: Standardmässig werden alle Pakete, auf die sich keine Regel anwenden lässt, von der Firewall verworfen. Dieser Vorgang erscheint aber nicht in der Log-Datei. Sie sollten deshalb die Regel "Verwerfen UND mitloggen" aufsetzen und ganz am Ende des Regelsatzes platzieren. Der Grund: Die meisten Angriffe erfolgen über illegitime Pakete, die keiner Firewall-Regel genügen. Folgende Regeln sind nicht unbedingt nötig, helfen aber die Performance und Sicherheit zu verbessern. - Blockieren Sie alle Verbindungen zu Doubleclick oder den andern grossen Anzeigen-Vermarktern im Internet. Damit werden Sie die ganzen Banner los; dies spart Ihren Nutzer Zeit und Bandbreite und verbessert die Performance. - Um ICQ-Verbindungen zu blockieren, sollten Sie statt der betreffenden Ports direkt die Ziel-Server bei AOL blockieren. Testen und Pflegen des Regelsatzes Scannen Sie das Ergebnis Ihrer Arbeit mit einem Tool wie Nessus oder Nmap. Nur so können Sie feststellen, dass Sie nicht Regeln vergessen haben und ob sich die Firewall in der Praxis bewährt. Wenn die Tests keine Fehler ergeben wäre die Firewall einsatzbereit. Sobald der Regelsatz funktioniert, sollten Sie diesen unbedingt dokumentieren. Gerade in grösseren Organisationen ist es eminent wichtig, die Firewall-Regeln sauber zu dokumentieren, sonst sind der Fehlkonfiguration Tür und Tor geöffnet - einfach aus Unkenntnis heraus. Jede Regel sollte wie folgt dokumentiert werden: - Wer hat die Regel geändert? - Wann wurde die Regel geändert? - Warum wurde die Regel geändert? Damit sorgen Sie dafür, dass Ihre Firewall auch in Zukunft ein sicheres Tor zum Internet sein kann.

Werbemüll in elektronischen Briefkästen nerven nicht nur die Benutzer, sondern sie überlasten auch E-Mail-Server der Unternehmen. Was kann man gegen diese Flut von ungewollten Werbebotschaften tun und wie verhält man sich als Spam-Opfer am wirkungsvollsten um nicht im zunehmenden E-Mail-Schrott zu ersticken. Eine Vielzahl von Spam-Filtern propagieren Abhilfe, bergen aber auch unliebsame Nebenwirkungen.

Monty Python lässt grüssen
Spam leitet sich vom Hauptrequisit eines Monty Python-Sketches (Dosenfleisch, english spiced pork and meat) ab. Mit Spam werden solche E-Mails bezeichnet, welche man unverlangt erhält. Meist sind dies Werbebotschaften für Produkte oder sie bieten irgendwelche Links zu einschlägigen Seiten an. Zunehmend werden aber Spams auch für das Verteilen von Trojanern, welche das Ausspionieren von Computersystemen möglich machen, oder zum Einfügen von Computerviren, die sich so explosionsartig im Internet verteilten können, eingesetzt. Neben der Zeit, die man für das Durchsehen der E-Mails benötigt, wird auch viel Platz im Postfach und auf der Festplatte verschwendet.

Wie funktionieren Spams
Spam ist deshalb möglich, weil die Mechanismen der Protokolle, welche die E-Mails im Internet transportieren, in ihrer Ursprungsform keine Benutzeridentifizierung vorsehen. Prinzipiell kann also jeder, der sich mit den entsprechenden Befehlen auskennt, mit einer beliebigen Absenderadresse irgendeinem Empfänger über praktisch jeden E-Mail-Server Spam-Post versenden. Da täglich mehr Menschen per E-Mail zu erreichen sind, wird der potenzielle Empfängerkreis für Spams immer grösser. Das Aufkommen solcher Spam-Mails hat in letzter Zeit problematische Ausmasse angenommen. E-Mails werden teils mit Verzögerung von bis zu 24 Stunden zugestellt. Die spezifischen Vorteile der E-Mail-Kommunikation wie Schnelligkeit oder ständige Verfügbarkeit werden damit langsam aber sicher aufgehoben. Mittlerweile hat sich ein schwunghafter Handel mit Mailadressen etabliert und es werden immer ausgefeiltere Spam-Programme entwickelt, welche das Spamming für die Versender vereinfachen.

Woher stammen die Adressen
Als Quellen für E-Mail-Adressen werden sogenannte Web-Roboter-Programme (Web Robots) eingesetzt, welche Internetseiten systematisch nach Adressen absuchen und nach charakteristischen Merkmalen wie das "@"-Symbol oder in Usenet-Postings (Diskussionsforen) Ausschau halten. Als Betreiber einer Internetseite ist man darauf angewiesen, dass beispielsweise potenzielle Kunden Kontakt mit der Verkaufsabteilung aufnehmen können. Hierzu gehört auch eine Mailadresse; es gibt aber auch verschiedene Möglichkeiten, diese vor Web-Robotern zu verschleiern (siehe Kasten). Eine weitere Methode der Spammer an E-Mail-Adressen zu kommen, sind Lockangebote im Internet, beispielsweise gibt es Gewinnspiele, welche nur zu dem Zweck betrieben werden, E-Mail-Adressen zu sammeln. Des Weiteren kursieren im Internet auch diverse Angebote von Adresslisten auf CD, die von professionellen Adresshändlern bereits fixfertig für Spam-Programme aufbereitet sind. Zu guter Letzt werden E-Mail-Adressen auch nach dem Zufallsprinzip generiert.

Sie sind bereits Spam-Opfer
Als Opfer von Werbemüll kann man als radikalstes Mittel natürlich die Mailadresse wechseln. Da noch frei verfügbare «sprechende» Adressen aber mittlerweile selten sind und man als Nutzer nicht immer nur als «Nummer» auftreten möchte, sollte man diesen Schritt als letztes Mittel verwenden. Viele Mailprogramme bieten sogenannte Regel- oder Filterfunktionen an. Diese kann man nutzen um selbst Mails nach Schlagworten zu durchsuchen und verdächtige Mails, beispielsweise aus dem Posteingang in einen separaten Postfachordner zu verschieben. Dieser muss dann natürlich von Zeit zu Zeit durchgesehen und bereinigt werden, da die Spam-Mails den verfügbaren Festplattenplatz einschränken. Spam-Mails beinhalten meist einen Link, um sich aus der vermeintlichen Mailingliste, in der man sich befindet, wieder auszutragen («Klick here to unsubscribe») oder («Klicken Sie hier um sich aus der Mailingsliste zu löschen»). Dies sollte man auf gar keinen Fall tun. Der grösste Gefallen, den man Spammern tun kann ist eine direkte E-Mail-Antwort. Sollte Ihre Antwort den Spammer erreichen leitet er aus Ihrer Antwort ab, dass er auf eine gültige Adresse gestossen ist, die sich gewinnbringend weiterverkaufen lässt. Unternehmen können Spamming über ihre Rechner unterbinden, in dem sie das sogenannte «Relaying» abschalten, das heisst, der Server akzeptiert nur noch Mailadressen, die an seine Adresse gerichtet sind. Der beliebige Versand an alle möglichen Adressen ist damit nicht mehr möglich.

Abhilfe mit Spam-Filter
Die Spamflut, die Millionen unerwünschter Mails in die elektronischen Postkästen der Unternehmen spült sorgt für einen regelrechten Nachfrageboom nach E-Mail-Filtern. Nach Berechnungen der britischen Marktforscher von Datamonitor (www.datamonitor.com) soll der Markt für E-Mail-Filter-Lösungen bis zum Jahr 2008 auf insgesamt 2,87 Mrd. Dollar anschwellen. Damit sagen die Marktforscher dem weltweiten Markt eine satte jährliche Wachstumsrate von 26 Prozent voraus. Allein im vergangenen Jahr waren nach Berechnungen mehrerer E-Mail-Filter-Spezialisten zwischen 60 und 80 Prozent aller eingehenden Mails Spam. Da auch Gesetzesbeschlüsse wie der US-amerikanische Can-Spam-Act bisher ihre Wirkung verfehlten setzen die Unternehmen nun verstärkt auf E-Mail-Filter.

Es gibt sowohl kommerzielle als auch kostenfreie Filterprogramme, die in der Lage sind eingehende E-Mails zu untersuchen und (vermeintliche) Spam-Mails zu kennzeichnen oder zu löschen. Diese filtern die eingehende Post beim Abholen vom Server nach Spam-typischen Kriterien aus, beispielsweise numerische Absenderadresse, typische Schlagworte wie das Wort «Viagra», «Vi@gra» oder «V/I/A/G/R/A» geschrieben oder sonstig einschlägige Phrasen.

Die Auffälligkeiten des vergangenen Monats im Einzelnen:
Nachdem die im vergangenen Monat detektierte HMTL/Volksbanken-Phishing-Attacke auf dem 21. Platz zurückfiel und BankFraud.E auf dem 25ten, BankFraud.OD auf dem 32. Platz rangiert, zeigt der Monat April eine deutliche Zunahme von Phising-Attacken bis hin auf die beiden Spitzenpositionen der aktuellen Rankings. Die generischen Detektierungen von BankFraudE und PhishBank.BGU machten so mehr als 16 Prozent aller weltweit festgestellten Malware-"Treffer" an den FortiGate-Appliances aus.

Die Solutions180-Adware schiebt sich nach Platz 10 im Vormonat auf Platz 8 vor. Das Tracking durch Fortinet zeigt hier das Fehlen von Aktivitätsspitzen, einem Charakteristikum für den Einsatz grosser Botnets beim sogenannten Spyware/Adware Planting.

Eine Variante des Stration-Wurmes, W32/Stration.JQ@mm, trat derart gehäuft auf, dass er auf Anhieb den dritten Platz des Rankings belegen konnte. Beim Blick auf die Entwicklungskurve dieser Malware fällt eine Besonderheit ins Auge â?? Absoluter Peak war ein einziger Tag â?? der 19. April.

Ein kontinuierlicher Begleiter war der W32/ANI07.A!-Exploit (auch bekannt als MS07-017), der damit ein Prozent alle Malware-Aktivitäten des Monats April ausmacht â?? ein erstaunlicher Wert für einen rein webbasierten Exploit.

Die vollständige April-Ausgabe des Malware Reports gibt es unter:

Studien zeigen auf, dass mehr als 40% der mittleren und grossen Unternehmen entweder gar keine oder nur unzureichende Notfallpläne im Falle eines Informatiktotalausfall besitzen. Vielfach sind vorhandenen Notfallpläne auch veraltet und deshalb im Falle eines Falles nicht mehr durchführbar.

Sicherheit im Unternehmen ist keine isolierte Komponente mehr, sondern ein unternehmens-umspannendes Konzept. Jeder Mitarbeiter und jedes eingesetzte informationsverarbeitende System im Unternehmen ist ein Teil des Ganzen. Es geht sogar darüber hinaus, wenn man global verteilte Zusammenarbeit, Outsourcing oder Application Service Providing mit in die Betrachtung einschliesst. Leider sehen das viele Unternehmen anders. Der Stellenwert von It-Sicherheit wird vielfach gleichrangig mit Informationsverarbeitung gestellt oder als lästiges Ãœbel abgetan, nur in wenigen Unternehmen wird dies als vorrangiges Ziel eingestuft. Da kann es nicht wundern, wenn die meisten Unternehmen gerade einmal der kleinster Teil der IT-Ausgaben für Sicherheit verwenden. Zu ändern ist dies nur durch eine Annahme dieser Aufgabe durch die Geschäftsleitung unterstützt durch den Verwaltungsrat. Die Verantwortung für die ausreichende Sicherheit des Unternehmens kann nicht delegiert werden, sie verbleibt in den Händen der Unternehmensleitung und ist deshalb als Chefsache zu interpretieren. Sie muss den Auftrag zur Erstellung eines individuellen Sicherheitskonzepts erteilen und die Durchsetzung, Einhaltung und implementieren des Konzepts unter Einbeziehung der notwendigen Expertisen gewährleisten. Anhand der Gefahren welche von kriminellen Elementen aus gehen, muss bei den Informatikverantwortlichen das Sicherheitsdenken sensibilisiert werden, ein Bewusstsein für die Problematik anhand konkreter Gefährdungen geweckt werden um ein Sicherheitskonzept zu entwickeln, welches zugegebenermassen ein vertieftes Know How erfordert und dementsprechend auch Geld kostet.

Gefahren in der Informationstechnik sind allgegenwärtig
Unternehmen und deren Beschäftigten sind mittlerweile Mitglieder von mitunter globalen Supply- und Value-Chains, deren Existenz und ihre hohe Dynamik ausschliesslich der leistungsfähigen Informations- und Kommunikationstechnik zu verdanken ist. Die Vernetzung durch das Internet, die Dezentralisierung und Virtualisierung von Unternehmen und die damit verbundenen Leistungen und Chancen für elektronisches Wirtschaften werden von den Teilnehmern der digitalen Welt gerne in Anspruch genommen und sind mittlerweile auch nicht mehr wegzudenken. Dabei vergessen einige schnell die wachsenden Risiken, die zum einen erst durch die Technologie selbst entstehen und zum anderen Risiken, die durch die Technologien verstärkt werden. Hacker greifen gerne auf im Internet frei verfügbare Tools zurück mit denen es immer einfacher ist, Firewalls zu umgehen oder zu überlisten. Für die Erzeugung von Viren werden ebenfalls im Internet fixfertige Tools angeboten. Eins haben fast alle diese "Erzeugnisse" gemeinsam, sie nutzen Sicherheitslücken und bekannte Schwachstellen von Datennetzkomponenten und Softwareprodukten aus. Kommt es zu massiven Bedrohungen durch Ereignisse wie etwa verteilte Angriffe (DDoS, Distributed denial of service), die zum vorübergehenden schliessen der Websiten von Unternehmen geführt haben, ist die Bestürzung und die Ratlosigkeit bei vielen Teilnehmern des Internet zumindest zeitweilig gross. Leider ist aber die nachhaltige Wirkung von solchen Ereignissen dennoch gering. Solange man nicht als Betroffener einschlägige Erfahrungen mit hohen wirtschaftlichen Verlusten hinnehmen muss, ist wohl die Bereitschaft eigene Schutzmassnahmen zu ergreifen wenig ausgeprägt. Dies bestätigen auch unlängst gemachte Studien. An dieser Situation sollte sich allerdings schnell etwas ändern. Einer der Grundvoraussetzungen für das Gelingen dieses vorhaben ist es, sich über die Bedrohungslage welches das Unternehmen betrifft, aufzuklären und die Mitarbeiter dahingehend zu sensibilisieren. Eine weiteres muss ist es dass, das Management mit gutem Beispiel vorangeht, will man die Strukturen in den Unternehmen ändern. Die meisten Unternehmen haben die Vernetzung stark vorangetrieben. Ohne Internetanbindungen wären viele Geschäftsprozesse heute nicht mehr abwickelbar. Mit Application Service Providing beispielsweise werden immer mehr Anwendungen, die früher im eigenen Rechnernetz oder dem Rechenzentrum liefen, von einem Serviceprovider erledigt. Mit der notwendigen Offenheit des Unternehmensnetzes kommen aber zeitgleich neue informationstechnische Bedrohungen auf das Unternehmen zu, die in dieser Form bislang nur begrenzt existierten. Die Bedrohungen lassen sich in passive und aktive Angriffe im Netz sowie unbeabsichtigte Gefährdungen unterteilen.

Risikofaktor Mensch
Der Umgang mit Computersystemen und immateriellen Daten ist für den Menschen gemessen an seiner Jahrtausende alten Geschichte immer noch recht neu. Daher ist ein Bewusstsein für die Risiken und die Gefahren im Umgang damit weit weniger ausgeprägt als mit Gütern aus der materiellen Welt. Zwar lassen sich viele Bedrohungen mit technischen Verfahren eingrenzen, aber gegen menschliches Versagen können sie häufig nicht viel ausrichten. Psychologische Tricks werden gerne benutzt um soziale Angriffe auf Wissensträger durchzuführen. Das erbeutete Wissen lässt sich dann für die folgenden Angriffe auf technischer Ebene hervorragend nutzen. Leider sind zu viele Menschen zu leichtgläubig und fallen auf einfachste Täuschungen hinein. Erfahrungen zeigen, dass die meisten erfolgreichen Angriffe auf Informationen des Unternehmens durch die Ausnutzung von Löchern in organisatorischen Regeln erst ermöglicht wurden. Beispielsweise werden Benutzerpasswörter allzu leicht an andere Personen weitergegeben. Auch um die Effizienz seiner Wartungsarbeiten an Arbeitsplatzrechnern zu steigern, lassen sich manche Netzwerkadministratoren die Passwörter von Mitarbeitern geben. Dies kann sich im Fall einer Ab- oder Anwerbung des Administrators durch Konkurrenten verheerend auswirken! Auch die Bequemlichkeit von Nutzern lässt sich ausgezeichnet für Attacken nutzen. So werden häufig bewusst Sicherheitsfunktionen umgangen, da sie das schnelle Arbeiten verhindern oder ein Passwort für viele unterschiedliche Systeme verwendet. Aus diesem Grund ist die organisatorische Sicherheit eine ganz wesentliche Komponente eines Sicherheitskonzepts für ein Unternehmen.

Die Ursache Mensch ist für die meisten Bedrohungen selbst verantwortlich. Bewusst, also mit kriminellem Hintergrund, und unbewusst werden Schadprogramme verbreitet, Informationen ausgespäht, verändert oder missbraucht. Oder verfügbare Programme und Systeme werden fehlerhaft entwickelt oder implementiert und fallen deshalb aus. Aber selbst wenn Systeme an sich nicht fehlerhaft sind, kann es zu Ausfällen kommen, wenn Systeme miteinander verknüpft werden, die darauf hin nicht konzipiert wurden. Viele Altlasten aus den Anfangszeiten der Programmierung (Legacy-Codes) sind noch heute im Einsatz und werden in einigen Bereichen auch auf absehbare Zeit nicht abgelöst. Das Jahr2000-Problem ist in diesem Zusammenhang noch allen bekannt. Zahlreiche Unternehmen erbringen Leistungen zur Grundversorgung der Bevölkerung, beispielsweise Banken, Telefongesellschaften, Energiegesellschaften oder die Stellen zur Sicherung vom Luft- und Verkehrsnetz. Ihr Ausfall oder Fehlfunktion stellt, selbst bei zeitlicher Begrenzung, eine grosse Bedrohung für die Gesellschaft dar. In diesem Zusammenhang spricht man von kritischen Infrastrukturen. Diese Unternehmen sollten noch weitergehende Massnahmen ergreifen, um ihr Funktionieren zu gewährleisten. Die zunehmende Vernetzung lässt den weltweiten Wettbewerb und Kostendruck zunehmen. Unternehmen dürfen es sich nicht leisten, die Sicherung des Unternehmenswissens, welches fast ausschliesslich nur noch elektronisch und in den Köpfen der Mitarbeiter archiviert ist, dem Zufall zu überlassen. Jedes Unternehmen braucht ein Sicherheitskonzept, welches sich dynamisch an die immer ändernden Herausforderungen anpasst. Dies ist eine strategische Aufgabe und ist deshalb die Aufgabe der Geschäftsleitung!

Sicherheitskonzept und Massnahmenkatalog
Wie bei Einsatz jeder neuer Technologie, entstehen mit ihr auch neue Bedrohungen. Die Bedrohungen können systemimmanent sein oder durch bewusste und unbewusste Handlungen herbeigeführt werden. It-Sicheherheit beschäftigt sich mit der Gefährdungs- und Risikoanalyse und erarbeitet Massnahmen, um den Bedrohungen zu begegnen und die Risiken der Anwendung von ITK-Technologien zu minimieren. In einer Bedrohungsanalyse werden alle vorstellbaren Bedrohungen ermittelt, die Schäden verursachen könnten. Die Bedrohungen werden verschiedenen Ebenen zugeordnet: Der rechtlich-wirtschaftlichen, der organisatorisch-sozialen, der logischen und der physischen Ebene. An die Bedrohungsanalyse schliesst sich eine Risikoanalyse an, die die Häufigkeit und Höhe von Schäden den jeweiligen Bedrohungen zuordnet. Der Geschäftsführung obliegt es dann, eine Risikopolitik festzulegen und in ihren unternehmerischen Entscheidungen die jeweiligen Risikokomponenten zu berücksichtigen. Das Ergebnis ist dann ein Sicherheitskonzept, welches den konkreten Risiken Massnahmen entgegenstellt, die das Risiko auf ein annehmbares Niveau reduzieren. Die gewählten Schutzmassnahmen, bestehend aus technischen, organisatorischen und juristischen Komponenten, sollten die Differenzierung des Schutzklassenkonzepts übernehmen. Unternehmen, die über keine oder nur wenige Hochqualifizierte- Mitarbeiter im Bereich Sicherheit verfügen, sollten bei der Entwicklung eines Sicherheitskonzeptes unbedingt auf externe kompetente Beratung zurückgreifen. Nur so kann sichergestellt werden, dass die Analyse des Zustands und die ausgesprochene Empfehlung und die Umsetzung des Sicherheitskonzepts dem "State of the Art" entspricht, der sich bekanntermassen im Internetbereich täglich weiterentwickelt.

IT-Sicherheit auf dem Prüfstand
Viele Anwender und Hersteller wollen wissen, wie technisch sicher tatsächlich ihre eingesetzten oder entwickelten Systeme sind. Dafür wird ein Massstab benötigt, mit dem man das erreichte Mass an Sicherheit evaluieren, dokumentieren und vergleichen kann. Aber auch, um beispielsweise bei der Entwicklung von sicheren Systemen zu Beginn an schon festlegen kann, welches Sicherheitsmass erreicht werden muss. Solche Sicherheitsmassstäbe sind in unterschiedlichen Kriterienwerken für sichere Informationstechnik festgelegt. In Europa werden vor allem die ITSEC-Kriterienwerke (Information Technology Security Evaluation Criteria für die Bewertung der Sicherheit von Systemen in der Informationstechnik verwendet, die gemeinsam von Sicherheitsagenturen aus den USA, Kanada, Grossbritannien, Frankreich, Deutschland und Niederlanden entwickelt wurden. Die ITSEC Kriterien umfassen in erster Linie die Bewertung technischer Sicherheitsmassnahmen. Organisatorische, personelle und administrative Massnahmen werden zwar berücksichtigt, stehen aber nicht im Vordergrund. Die Kriterien sind so abstrakt gehalten, dass sowohl Hard- als auch Software damit evaluierbar ist. Als Ausprägung des Masses der erreichten Sicherheit definieren die ITSEC Kriterien sieben Stufen (E1 bis E7) der Vertrauenswirklichkeit, wobei E1 die geringsten und E7 die höchsten Anforderungen definiert. Die Stufe gibt an, wie korrekt die geprüfte Funktion implementiert wird. Bereits in der Entwicklung eines Produktes muss dazu beispielsweise die Funktion getestet, methodisch getestet, teilanalysiert, semiformal analysiert oder sogar formal analysiert und getestet sein. Je mehr Grad an Korrektheit erwartet wird, desto teurer und aufwendiger wird die Entwicklung und die darauf folgende Evaluierung. Die Korrektheit allein sagt noch nichts über die Stärke der Sicherheitsfunktion, der Mechanismenstärke aus. Diese wird getrennt bewertet und mit einem Prädikat "einfach", "mittel" oder "hoch" definiert. Bei den Common Criteria ist die Herangehensweise leicht unterschiedlich. Bei ihrer Verwendung wird zunächst ein generisches Schutzprofil für eine bestimmte Art Anwendung entwickelt. In diesem werden die durch die Implementierung zu erreichende Vertrauenswirklichkeit und Mechanismenstärke festgelegt. Anschliessend können alle nach dem Schutzprofil entwickelten Produkte hiernach evaluiert und verglichen werden.