:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Schutz vor kryptographischen Backdoors Open Source macht Hintertüren transparent
Unternehmen setzen häufig auf herstellerspezifische Software, um Daten zu verschlüsseln und User zu authentifizieren. Doch das ist riskant, weil der Druck auf Hersteller wächst, Hintertüren in ihre Software einzubauen. Einen Ausweg bietet Open-Source-Software.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Hackern ist es ein Dorn im Auge, wenn Unternehmen Authentifizierungslösungen mit starker Verschlüsselung einsetzen. Das macht es komplizierter, Accounts von Mitarbeitern zu übernehmen und Geschäftsdaten zu entwenden. Doch nicht nur Kriminelle wünschen sich in solchen Fällen eine Hintertüre in Authentifizierungs- und Verschlüsselungslösungen. Auch die Polizei, Geheimdienste und Finanzbehörden fordern in zunehmendem Maße, dass die Anbieter von Sicherheitssoftware Backdoors in ihre Lösungen einbauen – und den Schlüssel oder eine Zugangsmöglichkeit bei Behörden deponieren.
So kritisierte Bundesinnenminister Thomas de Maizière Ende November 2016 in einem Interview die steigende „missbräuchliche Verwendung der Verschlüsselung durch Kriminelle“ und verlangte verbesserte Zugriffsmöglichkeiten von Behörden auf solche Daten. Auch der neue US-Präsident Donald Trump forderte IT-Unternehmen auf, Backdoors in Verschlüsselungsprogramme zu integrieren, über die sich amerikanische Behörden Zugang zu Informationen Verdächtiger verschaffen können.
:quality(80)/images.vogel.de/vogelonline/bdb/1194000/1194090/original.jpg "Wikileaks veröffentlicht mehrere Tausend Dokumente und Dateien, die das Hacking-Programm der CIA offenlegen. (pixabay)")
Zero Day Exploits und Vorgehensweisen
Wikileaks enthüllt Hacking-Tools der CIA
Hintertüren blieben nicht geheim
Ein Problem bei solchen Ansätzen ist, dass sich solche Hintertüren nicht auf Dauer vor Hackern verbergen lassen; Fälle wie die Veröffentlichung der CIA- und NSA-Hacking-Tools durch Wikileaks und die Shadow Broker belegen dies. Die mögliche Folge: Unbefugte erhalten Zugang zu vertraulichen Daten von Unternehmen und öffentlichen Einrichtungen. Für ein Unternehmen kann es den Ruin bedeuten, wenn Forschungs- und Finanzinformationen bei einem Mitbewerber in Fernost landen. Und ein Bürger verliert das Vertrauen in staatliche Stellen, wenn plötzlich seine Steuererklärung für alle sichtbar im Internet auftaucht.
Doch was tun? Die Lösung heißt Transparenz. Unternehmen müssen nachprüfen können, ob eine Sicherheitssoftware kryptographische Schlupflöcher enthält. Das setzt voraus, dass der Quellcode jedermann zugänglich ist – wie bei Open-Source-Lösungen. Dadurch haben IT-Sicherheitsfachleute eines Unternehmens die Möglichkeit, die Software selbst in Augenschein zu nehmen und eine Auditierung durchzuführen. Nur dann, wenn Fachleuten der Quellcode vorliegt, können sie erkennen, ob die Startpunkte beziehungsweise die Kurvenparameter einer Lösung sauber gewählt wurden oder ob darin beispielsweise ein Nobody-but-us-Backdoor (Nobus) verbirgt.
Die meisten anderen Schwachpunkte lassen sich durch eine Kombination von Penetrationstest, dynamischer Analyse oder Fuzzing finden. Die Grundlage bilden statische und dynamische Code-Analysen in Verbindung mit einer Untersuchung des Datenflusses und der verwendeten kryptographischen Algorithmen sowie Kryptographie-Parameter. Immer häufiger werden Hintertüren dabei durch die geschickte Wahl von kryptographischen Parametern realisiert.
Software-Escrow-Verträge helfen nur bedingt
Bei Open-Source-Software können IT-Fachleute diese, sofern erforderlich, an spezielle Anforderungen des Unternehmens anpassen beziehungsweise die Lösung erweitern. Auch im Falle von „Bugs“, die de facto in jeder Software vorhanden sind, können IT-Fachleute schneller und selbstständig reagieren, bevor ein „offizieller“ Patch erscheint. Neben dem permanenten Zugriff auf den aktuellen Source Code – auch ohne Software Escrow – unterbleiben somit auch komplexe Verträge sowie die damit verbundenen Kosten. In jedem Fall ist dieses Modell flexibler als der Ansatz von Anbietern mit proprietären Lösungen.
Bei geschlossener Software ist es beispielsweise für Nutzer nicht oder nur in begrenztem Maße möglich, den Code zur prüfen, etwa im Rahmen von Software-Escrow-Verträgen. Sie sehen vor, dass ein Software-Anbieter den Quellcode bei einem neutralen Dritten hinterlegt. Nutzer können dann unter bestimmten Voraussetzungen den Code einsehen, etwa dann, wenn der Anbieter insolvent wird und die Software für den Nutzer von geschäftskritischer Bedeutung ist. Allerdings ist Software-Escrow umstritten. Denn naturgemäß wollen Software-Anbieter Externen keinen Zugang zu ihrem Know-how gewähren. Daher sind Escrow-Abkommen meist mit juristischen Hürden gespickt.
Des Weiteren ist bei Software-Escrow ein hoher „bürokratischer“ Aufwand nötig. Denn ohne regelmäßige Prüfung, ob es sich bei dem hinterlegten Source-Code um die aktuelle Version handelt und ob sich damit die eingesetzte Software nachbauen lässt, kann man Software-Escrow im Grunde gleich sein lassen. Denn sonst droht die Gefahr, dass der Nutzer dann, wenn er auf Software-Escrow zugrückgreifen muss, einen unvollständigen oder völlig veralteten Code vorfindet, möglicherweise sogar beides. In diesem Fall gilt dasselbe wie für jede Business-Continuity-Maßnahme: Wurde sie nicht getestet, wird sie dann, wenn man benötigt, nicht funktionieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1222900/1222917/original.jpg "Die Exploits und Hacking-Werkzeuge aus dem letzten NSA-Leak werden aktiv genutzt. Tausende Computer sind dank dieser Tools in den Händen von Kriminellen. (Pixabay)")
Leaks der Shadow Broker
Tausende Computer durch NSA-Hackertools infiziert
Code-Basis: Geheim versus offen
In der Regel müssen Nutzer von proprietären IT-Sicherheitslösungen daher auf die Zusicherungen der Anbieter vertrauen. Bestenfalls stehen Ergebnisse von Black-Box-Sicherheitstests zur Verfügung. Ob eine Anwendung ein Backdoor enthält, können Normalanwender in der Regel nicht ermitteln. Bei Open-Source-Lösung ist ein solches Versteckspiel erheblich schwerer.
Auch das Argument, eine geschlossene, proprietäre Software sei für Hacker nicht so leicht auf Schwachstellen hin zu analysieren wie quelloffener Code, ist nicht haltbar. So haben Angreifer heute die technischen Möglichkeiten, innerhalb von Minuten ein Reverse-Engineering von Patches durchzuführen, und das ohne Detailkenntnisse des Codes. Auf Basis der Resultate können sie anschließend Exploits erstellen. Entsprechende Reverse-Engineering-Tools wie Apktool oder diStorm3 sind frei verfügbar.
Auch Open-Source-Lösungen sind nicht perfekt
Die Sicherheit einer Lösung hängt nicht primär davon ab, ob diese Open Source ist oder ob es sich um proprietäre Lösungen handelt. Dass auch Open-Source-Code Sicherheitsschwachstellen aufweisen kann, zeigten beispielsweise die Heartbleed-Sicherheitslücke im OpenSSL-Stack und die GNU Bash Remote Code Execution Vulnerability, kurz Shellshock. Die letztgenannte Schwachstelle war 25 Jahre lang in der Bash-Shell vorhanden, die in Unix, Linux und Mac OS zum Einsatz kommt.
:quality(80)/images.vogel.de/vogelonline/bdb/851600/851683/original.jpg "Security-Analyse deckt auf: Drei von vier Servern der Top-2.000 Unternehmen weltweit sind noch immer durch den Heartbleed Bug angreifbar. (Bild: Alexandr Mitiuc - Fotolia, Codenomicon)")
Ein Jahr nach Heartbleed
Viele Server immer noch verwundbar
Sichere Entwicklungsprozesse und geschulte Entwickler notwendig
Ob eine Software sicher ist, hängt vielmehr davon ab, ob ein sicherer Software-Entwicklungsprozess mit in der Anwendungssicherheit geschulten Entwicklern und Technologien kombiniert wird - oder ob die Entwicklung ohne Struktur, Bedrohungsanalysen und technische Hilfsmittel wie einer statischen Code Analyse erfolgt.
Allerdings hat Open-Source-Software den Vorteil, dass sowohl jeder für sich selbst als auch die Community Risiken und Schwachstellen aufspürt und Lösungen erarbeitet. Das funktioniert, weil der Code einsehbar ist. Bei herstellerspezifischen Lösungen besteht zwar ein ebenso hohes Risiko wie bei Open Source, dass sie Schwachstellen enthalten. Nur ist der Nutzer in diesem Fall auf die Kompetenz und das Wohlwollen des Anbieters angewiesen, diese Lücken zu schließen. Ob und wann ein Software-Haus diese Aufgabe in Angriff nimmt, hängt maßgeblich von finanziellen Erwägungen ab. Dieser Aspekt spielt dagegen bei Anbietern von Open-Source-Software traditionell eine untergeordnete Rolle – zum Wohl der Nutzer.
Über den Autor: Dr. Amir Alsbih ist Chief Operation Officer bei KeyIdentity.
(ID:44719664)
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/ad/44/ad44c63bf678bf4217e56cb68fafb94a/0108686077.jpeg "Die Dokumentation von Software-Komponenten über die ganze Lieferkette hinweg wird künftig zur Compliance-Anforderung. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")