:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Startups im Blickpunkt: Securai Security Awareness für Programmierer
Hacker, Malware und Cyberspionen wirksam den Zugriff auf digitale Unternehmenswerte zu verwehren ist nicht einfach. Man investiert dafür in clevere Software, durchdachte Prozesse und letztendlich auch in Security Awareness beim Mitarbeiter, der als engagierter Wächter ebenfalls Bedrohungen erkennen und eliminieren soll. Gerade Gruppen wie Programmierer bleiben bei diesen Maßnahmen aber oft inhaltlich ausgeschlossen, da man nicht auf Ihre Bedürfnisse eingeht.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit neuen, innovativen Ideen die IT-Sicherheit nach vorn bringen wollen. Das Startup-Unternehmen Securai, aus Garching bei München bietet im Bereich der Security Awareness verschiedene Lösungsansätze, denn das junge Team nimmt sich speziell der Programmierer an und deren Arbeitsprodukte – den Programmen, die für den eigenen Bedarf oder zum Verkauf entworfen werden. Securai, 2014 gegründet, setzt dabei auf drei elementare Bausteine, um die Applikationssicherheit ihrer Kunden zu optimieren: Beratung, Training und Penetrationstests.
Die Mitarbeiter von Securai sind keine Experten, die nur am grünen Tisch Applikationssicherheit planen, sondern Programmierer und Berater, die im realen IT-Leben beheimatet sind. Man kennt die Probleme von Unternehmen, wie sie bei der Eigenentwicklung von Produkten auftreten. Man versteht die Umstände, die zu einer Lücke zwischen Schutzbedarf und gelebten Sicherheitskonzept führten. Man kann aber sich aber auch mit dem Programmierer auf Programmiersprachen-Niveau unterhalten oder auf einer übergeordneten Ebene, wenn es um Schwachstellen in Programmiersprachen geht oder um die Implementation von sicheren „Best Practices“-Lösungen. Man kennt seine Nöte zwischen effektiven Code, kurzen Entwicklungs- und Testzeiten und Security-Anforderungen. Die Securai-Mitarbeiter kennen aber auch die Methoden, die Cyberkriminelle verwenden, um Schwachstellen in Applikationen auszunutzen. Dieses Wissen hilft, durch organisatorische Maßnahmen oder verbesserte Programmierung diese Lücken des Kunden zu schließen.
:quality(80)/images.vogel.de/vogelonline/bdb/1363200/1363229/original.jpg "Unsicherer Sourcecode, bei der Verwendung des Aufrufarguments.")
:quality(80)/images.vogel.de/vogelonline/bdb/1363200/1363230/original.jpg "Unsicherer Sourcecode, bei einem SQL-Zugriff (SA-Zugriff und Passwort im Sourcecode enthalten).")
:quality(80)/images.vogel.de/vogelonline/bdb/1363200/1363231/original.jpg "Unsicherer Sourcecode, in Web-Anwendungen. Diese häufig anzutreffende Schwachstelle, erlaubt einen Cross-Site-Scripting-Angriff, bedingt durch eine schwache Formatierung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1363200/1363232/original.jpg "Ansicht der Report-Gliederung eines SOC-Checks (Security Quick Check) für einen Kunden.")
Modul: Beratung
Idealerweise wird dieses Modul vor der Entwicklung einer neuen Applikation durchlaufen. Denn müssen Schwachstellen im Betrieb beseitigt werden, ist der Aufwand ungleich höher, als zu Beginn der Entwicklung. Securai analysiert das Zusammenspiel zwischen Daten, Datenfluss, Entwicklungsprozess, Sicherheitskonzept und Schutzbedarf. All diese wird in Relation zueinander gesetzt um ein möglichst hohes Sicherheitsniveau zu erreichen und Maßnahmen zur weiteren Optimierung festzulegen. Diese festgelegten Aktionen, können dabei die Datenablage, ein Berechtigungskonzept, die Sitzungsverwaltung und andere elementare Bausteine betreffen. Auch ferne Konzepte, wie beispielsweise die Einbindung von externen Programmierern (oder Code) oder das Zusammenspiel mit fremden Nutzern, die ggf. auf einer unsicheren Basis agieren, kann hier Gegenstand einer Aktion sein. Die einzelnen Elemente der Betrachtung und erarbeiteten Aktionen werden dabei individuell, abhängig vom jeweiligen Umfeld, ermittelt.
Modul: Training
Programmierer sollen meistens, effektiven Code erstellen, der leicht zu warten ist und modular geschrieben wurde, so das Komponenten schnell ausgetauscht werden können (Beispielsweise ersetzen des Hash Algorithmus SHA-1 durch SHA-3).
Auf sichere Programmierung, wie beispielsweise die versschlüsselte Ablage von Daten (Passwörter), die Überprüfung von Eingaben (Eliminieren von Steuercodes) oder einen implementierte Selbstüberprüfung des Codes (Prüfen auf Veränderung; Unversehrtheit) wurde jahrelang verzichtet. Securai steht hier den Programmierern zur Seite. Für entdeckte Schwachstellen im Programmcode werden Alternativen aufgezeigt, die dem aktuellen Stand der Programmiertechnik entsprechen. Dabei orientiert man sich unter anderem am OPSWAT-Guide (OPSWAT TOP 10 Risks). Da niemand den Code besser kennt, als die Programmierer, verzichtet Securai auf ein kompletteres Code-Review und arbeite mit dem Programmieren zusammen. Denn diese kann nach den entsprechenden „Awareness“-Schulungen, die kritischen Bereiche in seinem Code identifizieren und sie zusammen mit den Security-Experten entschärfen.
Securai bietet hier Support für Webanwendungen an, aber auch für IoT-Programme und klassische Client-Server-Applikationen.
Modul: Pen-Test
Als “State-of-the-Art” zur Verifikation von Schwachstellen hat sich heute vielerorts das sogenannte Pen-Testing (Pentrationstest) etabliert, bei dem ein Auftrags-Angreifer versucht System auszuhebeln und an geschützte bzw. nicht zugängliche Bereiche und Daten zu kommen.
Ein solches Pen-Testing führt auch Securai im Kundenauftrag für dessen Tools durch. Hierfür wird im Vorfeld u.a. besprochen, was getestet werden soll und anhand dessen wird ein individuelles Testkonzept erarbeitet, welches letztendlich einen Report generiert. Dieser benennt die gefundenen Lücken und zeigt mögliche Maßnahmen zur Beseitigung auf.
Mehrwert
Ein Programmierfehler in einer Software kann weitreichende und auch kostenintensive Folgen haben. Selbst ein Akzeptanztest kann nicht alle Eventualitäten aufdecken und schon gar nicht eine böswillige Manipulation zur Angriffsvorbereitung. Denn die wenigsten Unternehmen leisten sich betriebseigene Hacker, die bei Programmeigenentwicklungen die Eingabefelder auf eine SQL-Injection oder ein Cross-Site-Request-Forgery überprüfen. So entstehen Lücken im Programm, die einem Angreifer Zugang zu Daten ermöglichen, die nicht für ihn bestimmt sind. Welche extremen Effekte dies haben kann, zeigte der Hack auf das Dating-Portal „Ashley Madison“ im Jahr 2015 mit einem Millionenschaden. Auch wenn das Portal nach wie vor existiert, ein Imageschaden ist zweifelsohne entstanden.
Ein Imageschaden, der mit einer Beratung durch Securai möglicherweise Vermeidbar gewesen wäre. Je nach Komplexität der Anwendung und Unternehmensgröße kostet eine individuelle Überprüfung des Codes einer „normalen“ Anwendung ab 3.500 Euro.
Man könnte nun auch mit Source Code Analyse Tools versuchen, automatisiert Security-Fehler zu entdecken, aber die Frage nach der Effektivität bleibt. Mitunter liefert ein Experte schneller und damit auch preiswerter ein Ergebnis. Offen ist auch, in welchen Umfang automatische Tools Designfehler erkennen. Christoph Haas berichtete beispielsweise über eine Webapplikation mit einem „cleveren“ Berechtigungskonzept. Die Berechtigung basierte darauf, ein Menü anzupassen und einem weniger autorisiertem Anwender eine geringere Auswahl an Menüpunkten anzubieten. Wer jedoch das ausgeblendeten Link bzw. den Funktionsaufruf kennt, kann manuell, ohne Einschränkungen, darauf zugreifen. Wie vielfältig die Dienstleistung von Securai sein kann, zeigt deren Referenz-Webseite auf der, anonym einige Referenzkunden und ihre Projekte vorgestellt werden.
Kurztest
Für Unternehmen, die über die Sicherheit ihrer Applikationen im unklaren sind, bietet Securai auch einen „Security Quick Check“ (SOC) an. Dieser beinhaltet eine Analyse der aktuellen IST-Situation, die mit einem vertretbaren Aufwand, bei Securai und dem Kunden, gewonnen wird.
Der erste Schritt besteht in einem Pen-Test, bei dem Securai grobe Lücken aufdeckt und die IST-Konstellation von außen ermittelt. Im zweiten Schritt wird beim Kunden das Netzwerk analysiert und Fachgespräche zur IST-Situation geführt. Hier werden die Personen kontaktiert, die für die IT Sicherheit zuständig sind - auf konzeptioneller Ebene und im RUN-Umfeld. Schließlich werden die Erkenntnisse in einem Managementreport zusammengefasst und empfehlenswerte Maßnahmen abgeleitet.
Fazit
Die Entwicklung von sicherem Programmcode ist ein elementarer Schritt auf dem Weg zu einer wirkungsvollen Abwehr von unerwünschten Cyber-Bedrohungen. Securai befähigt Unternehmen, sich selbst zu helfen und in Zukunft sicheren Code zu schreiben und gefährliche „Altlasten“ zu optimieren.
| Securai auf einen Blick | |
|---|---|
| Name | Securai |
| Webseite | https://www.securai.de/ |
| Geschäftsform | GmbH |
| Standort | Garching |
| Gründungszeitpunkt | September 2014 |
| Geschäftsführer | Christoph Haas |
| Anzahl Mitarbeiter | 4 (2017) |
| Security-Sparte | Pen-Testing und Sicherheitsanalyse von Web-, IoT- und klassischen Client-Server-Anwendungen |
| Produkt | Web-/App-Sicherheitsanalyse mit Security-Beratung |
| Innovation | Sicherheitsanalyse für Applikations-Code durch erfahrene Experten |
| Unternehmens-Blog | https://www.securai.de/veroeffentlichungen/blog/ |
| Investitionen möglich | Nein |
| Startfinanzierung /Umsatz letztes Jahr | 40.000 Euro / keine Angabe |
(ID:45173302)
:quality(80)/p7i.vogel.de/wcms/ac/a3/aca374591c95afdb60079b44b8013b88/0115056177.jpeg "Vernetzt arbeiten, besser wachsen: ADN und Enginsight bieten All-In-One-Security für Systemhäuser und Service Provider und offerieren so viele Vorteile auf einen Streich. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/b0/0ab0966d6ddd6967a12ad4e873668fc4/0110808011.jpeg "Gegen Phishing ist die Mitarbeiter-Awareness eine elementare Maßnahme zur Gefahrenabwehr, ebenso wichtig sind aber technische und prozessuale Unterstützung. (Bild: tippapatt - stock.adobe.com)")