:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Leitfaden zu Risikominimierung und Datenschutz 5 Best Practices für sichere Softwareentwicklung
In einer Code-gesteuerten IT-Welt muss Sicherheit den gesamten Software Development Lifecycle abdecken. Doch wie bleibt dabei gewährleistet, dass Anwendungsentwicklung und -Bereitstellung nicht gestört werden?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Niemand möchte anfällig für Cyber-Angriffe sein und so sensible Kunden-, Mitarbeiter- oder Geschäftsdaten gefährden. Die schmerzhaften Folgen von Datenlecks sind inzwischen wohlbekannt: Schaden für die Marke, Vertrauensverlust der Kunden und möglicherweise kostspielige Rechtsstreitigkeiten sowie Bußgelder, wie sie beispielsweise die DSGVO vorsieht.
Um diese Bedrohungen für Unternehmen zu reduzieren oder sogar ganz zu beseitigen, müssen sich Unternehmen auf die Punkte konzentrieren, an denen das Risiko für einen Angriff am größten ist. Hierzu ein Beispiel aus dem Alltag.
Wenn man sich entscheiden müsste, entweder eine defekte Haustüre oder ein kleines Loch im Gartenzaun zu reparieren, würde wohl kein rational handelnder Hausbesitzer den Zaun wählen. Bildlich gesprochen sind jedoch viel zu viele Unternehmen beim Thema Cyber-Sicherheit auf den Zaun fokussiert und ignorieren die eingeschlagene Tür.
Angreifer können viele unterschiedliche Angriffswege ausnutzen, um Schaden zu verursachen. Laut aktuellen Zahlen von Pradeo Lab erfolgen 78 Prozent der Cyber-Angriffe auf mobile Endgeräte über den Anwendungsvektor. Auch Experten von SAP führen die Anwendungsebene als häufigsten Angriffsvektor an.
Security beschränkt sich oft auf Netzwerksicherheit
Angesichts der Masse an Programmcode und den damit verbundenen, geradezu zwangsläufig vorhandenen Sicherheitslücken verwundert diese hohe Zahl nicht – schließlich handelt es sich bei Anwendungen um hochkomplexe Systeme. Doch die meisten Unternehmen verwenden die meiste Zeit und die meisten Mittel auf Netzwerksicherheit.
Praktisch jedes moderne Unternehmen verfügt heute über eine Online-Präsenz. Obwohl Software meist nicht das Kerngeschäft ist, stellen mobile Anwendungen und Webanwendungen die Grundlage neuer Geschäftsmöglichkeiten dar. Sind diese jedoch nicht sicher, mutieren sie schnell zu eingangs erwähnter offener Tür.
Anwendungssicherheit sollte aus zwei Gründen personen-, prozess- und technologieübergreifend und ganzheitlich über den gesamten Software-Entwicklungslebenszyklus (SDLC) hinweg betrachtet werden:
- 1. Um sensible Daten vor Missbrauch und damit den Ruf des Unternehmens vor Schaden zu schützen.
- 2. Um das Risiko von Sicherheitsmängeln in der Software kostengünstig zu minimieren.
Die eigentliche Herausforderung besteht darin, Sicherheit zu implementieren, ohne die Anwendungsentwicklung zu verlangsamen oder den Prozess zu komplex zu gestalten. Anwendungssicherheit ist keine Einwegveranstaltung, sondern eine kontinuierliche Entwicklung. Mit den folgenden fünf Best Practices lässt sich diese Aufgabe meistern.
Best Practice 1
Schwachstellen beseitigen, bevor Anwendungen in Produktion gehen.
Um Applikationssicherheit vor Abschluss der Entwicklung zu berücksichtigen, ist es unerlässlich, Sicherheit von Anfang an zu integrieren: in die Entwicklungsteams (Personen), Prozesse und Tools (Technologie). Ein Schlagwort dafür ist "shift left" – Sicherheit wird von der Konzept- und Designphase über den gesamten Entwicklungsprozess bis hin zur Produktion Teil des SDLC.
Die allgemeine Auffassung ist, dass Sicherheitstests während der Entwicklung den Prozess zu stark verlangsamen. Aber das Gegenteil ist der Fall: Das frühzeitige Finden und Beheben von Schwachstellen während der Entwicklung und des Testens ist kosteneffektiver als später am Ende des Entwicklungsprozesses, kurz bevor eine Anwendung produktiv eingesetzt wird.
Best Practice 2
Sicherheit bei Architektur, Design, Open Source und Drittanbieter-Komponenten angehen.
Eine Fehlersuche ausschließlich im proprietären Code oder Penetrationstests gegen das eigene System greifen zu kurz, denn Designfehler machen 50 Prozent der sicherheitsrelevanten Mängel aus. Daher ist es wichtig, potenzielle Schwachstellen in der Architektur zu identifizieren, einschließlich Verletzungen von sicherem Design, fehlerhaften Authentifizierungen sowie sicherheitsrelevanten Fehlkonfigurationen.
Möglich wird dies ist mit einer Risikoanalyse der Anwendungsarchitektur und Bedrohungsmodellen. Heutige Anwendungen enthalten bis zu 90 Prozent Open-Source- und Drittanbieter-Code. Diese Komponenten sind für die Anwendungsentwicklung quasi unerlässlich geworden, denn für Unternehmen ist es wirtschaftlich in der Regel nicht sinnvoll, eine Anwendung vollständig neu und eigenständig zu entwickeln.
Da Open Source so allgegenwärtig ist, aber selten getrackt wird, ist es zu einem primären Ziel für Hacker geworden: Exploits sind fast unmittelbar nach Bekanntwerden einer Sicherheitslücke im Internet verfügbar. Diese stellen die Schlüssel für Tausende von Anwendungen dar, die die betroffene Komponente enthalten.
Um dieses Risiko zu minimieren, ist es wichtig, die verwendeten Komponenten in der eigenen Codebasis genau zu kennen. Dabei hilft ein Code-Audit, auch bekannt als „Software Composition Analysis“.
Best Practice 3
Anwendungssicherheit von Anfang an ermöglichen: mit Tools, die in der Entwicklerumgebung funktionieren
IDE-Plug-ins (Integrated Development Environment) erlauben es Entwicklern, die Ergebnisse von Sicherheitstests direkt in der Entwicklerumgebung zu prüfen, während sie an ihrem Code arbeiten. Diese Analyse erfolgt automatisch während der Entwickler arbeitet und liefert Ergebnisse in nahezu Echtzeit.
Der Wahl der richtigen Tools kommt eine hohe Bedeutung zu. Ein einzelnes AppSec-Tool reicht nicht aus, da es schlicht nicht alles Notwendige leisten kann. Anwendungen …
- werden mit verschiedenen Sprachen und Frameworks entwickelt,
- werden in verschiedenen Umgebungen gehostet, sei es in der Cloud oder vor Ort,
- nutzen Open-Source- und Drittanbieter-Bibliotheken in unterschiedlichem Maße und
- unterscheiden sich auch in vielen anderen kritischen Aspekten, die sich auf die Ergebnisse von Anwendungssicherheitstests auswirken können.
Best Practice 4
Erstellen Sie einen „AppSec-Werkzeuggürtel“, der die Lösungen vereint, die Sie zur Bewältigung Ihrer Risiken benötigen.
Ein effektiver AppSec-Tool-Belt sollte integrierte Lösungen beinhalten, die sich End-to-End mit Anwendungssicherheitsrisiken befassen und die Analyse von Schwachstellen in proprietärem Code, Open-Source-Komponenten sowie der Laufzeit-Konfiguration ermöglichen.
Folgende Werkzeuge kommen hierfür in Betracht:
- DAST (Dynamic Application Security Testing) testet laufende Anwendungen früh im SDLC.
- IAST (Interactive Application Security Testing) unterstützt bei der Identifizierung und Verifizierung von Schwachstellen und Datenlecks durch automatisiertes Testen von laufenden Webanwendungen.
- SAST (static application security testing) hilft dabei, Sicherheits- und Qualitätsrisiken in proprietärem Code während der Entwicklung zu finden und zu beheben.
- SCA (Software Composition Analysis) unterstützt bei der Verwaltung von Open-Source-Sicherheits- und Lizenz-Compliance-Risiken durch automatisierte Analysen und die Durchsetzung von Richtlinien.
Penetration-Testing konzentriert sich auf explorative Risikoanalysen und Anwendungslogik, indem es Schwachstellen in Webanwendungen und -diensten anhand eines Prüfplans findet und versucht, diese zu manipulieren.
Jede Lösung behebt spezifische Arten von Schwachstellen in der Anwendungssicherheit. Erst durch die Kombination mehrerer Lösungen lassen sich Sicherheitsrisiken erfolgreich minimieren.
Best Practice 5
Erstellen Sie Sicherheitskonzepte, die Ihre Entwicklungs- und Betriebsteams bei der Implementierung von Best Practices für Cloud-Sicherheit unterstützen.
Die Vorteile einer Anwendungsbereitstellung in der Cloud sind offensichtlich: Höhere Agilität und geringere Betriebskosten. Der Gang in die Datenwolke birgt aber auch spezifische Risiken, insbesondere den Verlust der Transparenz und Kontrolle über Infrastruktur und Dienste, die die Anwendungssicherheit beeinträchtigen. Wenn Teams die Risiken der Cloud-Umgebung nicht verstehen und angehen, kann dies zur Gefährdung sensibler Daten führen.
Zunächst sollte eine Cloud-Sicherheitsbewertung durchgeführt werden, die spezifische Sicherheitsrisiken der angestrebten Cloud-Plattform identifiziert. Sobald diese Risiken vollständig erfasst wurden, sollte ein Fahrplan für die Cloud-Migration erstellt werden. So wird sichergestellt, dass alle Teams aufeinander abgestimmt sind und Ihre Prioritäten klar sind.
* Florian Thurmann ist Director Software Security Operations bei der Synopsys Software Integrity Group.
(ID:45966158)
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte möglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/81/ee81e6e8b0ddb1f52e8bc860e581bf2d/0112940855.jpeg "Früherkennung, Transparenz und Observability: Schlüsselstrategien für sichere und effiziente moderne Anwendungen in der digitalen Ära. (Bild: ZinetroN - stock.adobe.com)")