:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/be/62/be621f2323e9fc15a65708895e48cd26/0130314714v2.jpeg "Globale Lieferketten bringen Effizienz, aber auch Abhängigkeiten. Auch kleine Zulieferer können zur großen Schwachstelle werden. (Bild: © Travel mania - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/47/13476ec5f128a6cf41f7eb95b2409b7d/0130321401v2.jpeg "Die Sicherheitslücken in Citrix NetScaler Gateway und ADC können zu einem Memory‑Overread führen, der Datenlecks und Abstürze verursachen kann, sowie zu unautorisiertem Zugriff führen. (Bild: lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/a2/8da27fc7c09f2450bd5214b4f257eb6d/0130046697v2.jpeg "Hybride Angriffe umfassen Cyberangriffe, Desinformationskampagnen, Sabotage an kritischen Infrastrukturen, psychologische Kriegsführung, Wirtschaftsspionage, politische Einflussnahme und Terrorismus, oft in Kombination, um Unsicherheit und Instabilität zu erzeugen. (Bild: © Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/64/54644475acec039714a3eccc088b6c43/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/76/73/76739779efb9769d8db4c9d4a39848ef/0130322258v2.jpeg "Digitale Energiedienste wie virtuelle Kraftwerke fallen mit NIS 2 erstmals unter neue IT-Sicherheitskataloge mit erweiterten Nachweispflichten. (Bild: © Sepia100 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/54/9554c259793d581ea2839245a1815ad4/0130375018v1.jpeg "Während die EU noch an souveränen Clouds arbeitet, ist in vielen Unternehmen bereits eine Rückbesinnung auf On-Prem-Lösungen im Gange. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/97/289755bc06d1a4e1f7f7581e8cd41b77/0130374247v1.jpeg "Backup und Recovery müssen als untrennbare Einheit gedacht werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/3c/283c02b6a113d373108ffd46c9255dc3/0130361073v2.jpeg "Tizian Kohler ist Head of Security bei der Adlon Intelligent Solutions GmbH. (Bild: Adlon Intelligent Solutions)")
:quality(80)/p7i.vogel.de/wcms/03/b4/03b4c15b48445e79113c6b95bcf7317c/0129192770v1.jpeg "Lageansicht statt Monitorwand: In der Sicherheitszentrale erscheinen Türen, Kameras und Sensorik als Geopositionen. Videosequenzen werden erst bei korrelierten Signalen und nach Zonenüberschreitung in den Vorfallprozess eingeblendet. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/83/80832d33f44c7d00f2e5b873efb154de/0130371229v1.jpeg "Der Bundestag hat die Entwürfe zum Data Act und zum Daten Governance Gesetz mit Änderungen verabschiedet. Nun können die EU‑Vorgaben in deutsches Recht umgesetzt werden. (Bild: Casiana Malaia's via Canva)")
:quality(80)/p7i.vogel.de/wcms/65/d6/65d68a4361e126b94d503df6bb261ba3/0130366883v2.jpeg "Cyberkriminelle könnten sich mit den von AstraZeneca Zugang zu internen Systemen verschaffen, gezielte Phishing‑ und Supply‑Chain‑Angriffe starten, geistiges Eigentum stehlen oder sabotieren und das Unternehmen erpressen. (Bild: © elimicel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/3f/be3f0a2f5d8add0792f692767111cc40/0130308668v2.jpeg "Cyberkriminelle, die Netzwerkzugriff über HTTP erlangt haben, können anfällige Oralce-Instanzen übernehmen. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/d2/43d2604538d6ae5a50d26cccc98cb9e6/0130112281v1.jpeg "IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und bildet einen Ordnungsrahmen für die IT. (Bild: @indypendenz via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/a0/8a/a08ac0cb9a60ba7fa981a3b9ff8ba04f/0129989079v1.jpeg "BitLocker bietet mehrere Optionen zur Sicherung des Wiederherstellungsschlüssels, wie den Schlüssel auf einem USB-Laufwerk zu speichern oder in einem Microsoft-Konto zu hinterlegen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Baustein Sicherheit frühzeitig einplanen
Deshalb gilt es, bereits ganz früh im Software-Entwicklungsprozess an die Sicherheit zu denken. Dies kann ein organisatorisches Hemmnis sein. Möglicherweise lauert dahinter jedoch sogar ein kompletter Paradigmenwechsel. Um die Sicherheit vom ersten Moment an zu erhöhen, müsse man die Anforderungen der Software beim Entwickeln so einplanen, dass die Spezialisten schon beim Schreiben den Aspekt der Sicherheit einkalkulieren. „Das erfordert ein Umdenken“, so Ben Chelf weiter.
Einen gewissen allerdings noch etwas beschränkten Lösungsbeitrag zu diesem komplexen Problem kann auch die Open Source Community anbieten. So gibt es bereits einige Tools aus der offenen Szene, die beim Testen und Analysieren des Codes helfen, so etwa das auf die Programmiersprache C gemünzte Produkt SP LINT, das eine Weiterentwicklung des LINT-Tools darstellt.
Problematisch bei derartigen Lösungsansätzen ist jedoch nach wie vor die hohe Rate an falschen Positiven. Dementsprechend stehen laut Firmenchef Chelf von Coverity entsprechende Open Source basierte Tools zur Unterstützung der Entwicklung von sicherer Software erst in der Anfangsphase bei der Softwareentwicklung überhaupt zur Auswahl bereit.
Blindes Testen, Fuzzing oder aufwändige Quellcodeanalyse?
Trotz gewisser konzeptioneller Grenzen bietet die statische Quellecodeanalyse gegenüber dem herkömmlichen „Fuzzing“ einige Vorteile. Das Problem bei der Sicherheit besteht unter anderem darin, dass Sicherheit im Gegensatz zum Testen damit zu tun hat, sich für den Fall eines Hackers zu wappnen, der seinen Vorteil genau daraus zieht. Im Gegensatz zu Qualitätstests müsse man deshalb nicht nur verstehen, wann das System versage, so Ben Chelf weiter, „sondern man muss auch exakt wissen, auf welche Weise dies geschieht.“
Alle herkömmlichen Testmethoden, darunter auch das „Fuzzing“, seien bislang nämlich nicht in der Lage alle Pfade in der jeweiligen Applikation zu verfolgen und diese komplett auf die IT-Sicherheit zu testen. Alle potenziellen Inputs durch zuführen, um die Applikation komplett zu testen, würde die Spezialisten komplett überfordern. Mit „Fuzzing“ lasse sich hier zwar eine graduelle Verbesserung erzielen als mit dem bloßen Testen, wird jeweils nur ein Testfall nach dem anderen ausgeführt. Aber auch hier bestehe keine Chance, wirklich alles komplett zu testen.
Die statische Analyse hingegen analysiert nach Auffassung von Coverity den Code selbst, während die Applikation nicht ausgeführt werde. „Deshalb können wir mit ihr alle diese verschiedenen möglichen Pfade eines Codes verfolgen und jene Fälle identifizieren, die sich sonst unmöglich testen lassen“, so Ben Chelf weiter. Somit ließen sich vor allem relevante und unmittelbare Sicherheitsprobleme aufspüren, ohne den Code tatsächlich auszuführen.
Seite 3: Saubere Wirtschaftlichkeitsanalyse vorbereiten
Artikelfiles und Artikellinks
(ID:2012283)
:quality(80)/p7i.vogel.de/wcms/66/97/6697cc7bd2918128a8f649b94cb00223/0129719820v1.jpeg "Passwortsicherheit wird oft als nachträglicher Fix behandelt, aber 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/37/6937e8fcb88baea9eaf5eb145cc18b8a/0128202012v2.jpeg "Jahrealte Fluent-Bit-Sicherheitslücken ermöglichen das Umgehen der Authentifizierung, das Einschleusen von Schadcode, DoS-Angriffe sowie Tag- und Pfadmanipulation und gefährden Cloud- und Container-Umgebungen. (Bild: Shutterstock)")