Am 03.09.21 um 11:11 schrieb Arno Welzel:
> Jede Bank verlangt, dass die Teilnehmer beim Online-Banking alle
> notwendigen Maßnahmen ergreifen, dass ihre Zugangsdaten nicht an Dritte
> gelangen.
DSGVO verlangt dasselbe von Firmenrechnern auf denen Kundendaten
verarbeitet werden oder lagern.
> "Der Teinehmer hat alle zumutbaren Vorkehrungen zu treffen, um seine
> Authentifizierungselemente (siehe Nummer 2) vor unbefugtem Zugriff zu
> schützen."
>
> Und die Nutzung eines Virenscanners wird als zumutbar angesehen, da
> sowas in Form des Windows-Defender ohnehin schon vorhanden ist und nicht
> separat installiert werden muss.
>
> Und die Sparkasse schreibt explizit von "Virenscanner":
Das wiederum könnte bei einem Kunden mit Linux unter Umständen eng
werden. Auf dieser Plattform ist das Nutzen/Schaden-Verhältnis von
Virenscannern durchaus drastisch anders. Das liegt zuallererst daran,
dass das meiste Ungeziefer für Windows gedacht ist. Es liegt auch daran,
dass die Standardkonfigurationen dieser Systeme typischerweise sicherer
sind und dass die DAU-Quote von Leuten, die jeden drittklassigen
Internet-Download installieren dort geringer ist, weil die gar nicht
erst Linux nutzen.
Sicherheitsmaßnahmen wie regelmäßige Sicherheitsupdates gehören aber
auch da zur Pflicht. Da dort aber zumeist jede installierte Software
über den zentralen Update-Mechanismus versorgt wird, klappt das aber
auch etwas besser als bei Windows-Anwendungen, die sich selbst darum
kümmern müssen und dadurch zum Teil neue Einfallstore schaffen oder auch
manchmal selbiges nicht implementieren oder es nicht funktioniert -
Adobe hat das seinerzeit professionalisiert.
Zudem verwenden Windows-Programme typischerweise immer ihre eigenen
3rd-Party Bibliotheken. Wenn eine davon einen Sicherheitsfix erfährt,
müssen alle sie nutzenden Programme aktualisiert werden, was statistisch
gesehen seltenst passiert. Unter Linux ist es hingegen (noch) üblich,
dass diese gemeinsam genutzt werden und dann vom
Updatemechanismus.einfach für alle hoch gezogen werden. Das hat
natürlich zur Folge, dass dann möglicherweise irgendeine Anwendung nicht
mit dem Update klar kommt und nicht mehr funktioniert. Der Hersteller
kann also kaum noch die Funktion garantieren, weil Änderungen von
Komponenten ja gar nicht in seiner Hand liegen. Deshalb gibt es jetzt
Flatpack und Snap, was letztlich das Windowsmodell von Side By Side
Libraries nachbildet und die Sicherheit der Systeme dadurch ebenso senkt.
Auch sollte man sich im klaren sein, dass signaturbasierte Verfahren,
wie sie von Virenscannern bis heute primär eingesetzt werden, in einigen
Jahren kaum noch funktionieren werden, weil sie durch Zufallstreffer so
viele false Positives erzeugen, dass man nicht mehr damit arbeiten kann,
und weil die Malware mittlerweile auch gelernt hat, ihre Executables
individuell zu verschlüsseln, also jedes mal mit einem anderen
Schlüssel. Der Schlüssel liegt zwar bei, aber der Virenscanner ist
trotzdem ausgetrickst, da der kritische Code nur noch im Speicher
existiert. Er müsste also jeden Schreibzugriff auf ausführbare
Speicherseiten überprüfen, was die Geschwindigkeit auf 286-Niveau senken
würde, da schon aus historischen Gründen fast alle Speicherseiten
ausführbar sind. Lediglich beim Stack ist man mal eingeschritten
(NX-Feature).
> Es ist daher durchaus anzunehmen, dass im Fall eines Schadens die Bank
> den Nachweis fordert, dass man nicht fahrlässig gehandelt hat und die > Zugangsdaten durch Schadsoftware an Dritte gelangt sind.
Ja. Allerdings liegt die Beweispflicht AFAIK schon noch bei der Bank. In
wieweit da allerdings dann Anscheinensbeweise akzeptiert werden, ist
eine andere Sache.
Und das mit der einfachen Fahrlässigkeit ist auch vorbei. Aber auch da
ist die Frage, ab wann es grob fahrlässig wird.
TAN-Liste abtippen gehört offenbar dazu. Wobei sich das ja mittlerweile
ohnehin erledigt hat.
Marcel