Security-Startups im Blickpunkt: Securai

Security Awareness für Programmierer

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Die Entwicklung von sicherem Programmcode ist ein elementarer Schritt auf dem Weg zu einer wirkungsvollen Abwehr von Cyber-Bedrohungen.
Die Entwicklung von sicherem Programmcode ist ein elementarer Schritt auf dem Weg zu einer wirkungsvollen Abwehr von Cyber-Bedrohungen. (© bakhtiarzein - stock.adobe.com)

Hacker, Malware und Cyberspionen wirksam den Zugriff auf digitale Unternehmenswerte zu verwehren ist nicht einfach. Man investiert dafür in clevere Software, durchdachte Prozesse und letztendlich auch in Security Awareness beim Mitarbeiter, der als engagierter Wächter ebenfalls Bedrohungen erkennen und eliminieren soll. Gerade Gruppen wie Programmierer bleiben bei diesen Maßnahmen aber oft inhaltlich ausgeschlossen, da man nicht auf Ihre Bedürfnisse eingeht.

In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit neuen, innovativen Ideen die IT-Sicherheit nach vorn bringen wollen. Das Startup-Unternehmen Securai, aus Garching bei München bietet im Bereich der Security Awareness verschiedene Lösungsansätze, denn das junge Team nimmt sich speziell der Programmierer an und deren Arbeitsprodukte – den Programmen, die für den eigenen Bedarf oder zum Verkauf entworfen werden. Securai, 2014 gegründet, setzt dabei auf drei elementare Bausteine, um die Applikationssicherheit ihrer Kunden zu optimieren: Beratung, Training und Penetrationstests.

Die Mitarbeiter von Securai sind keine Experten, die nur am grünen Tisch Applikationssicherheit planen, sondern Programmierer und Berater, die im realen IT-Leben beheimatet sind. Man kennt die Probleme von Unternehmen, wie sie bei der Eigenentwicklung von Produkten auftreten. Man versteht die Umstände, die zu einer Lücke zwischen Schutzbedarf und gelebten Sicherheitskonzept führten. Man kann aber sich aber auch mit dem Programmierer auf Programmiersprachen-Niveau unterhalten oder auf einer übergeordneten Ebene, wenn es um Schwachstellen in Programmiersprachen geht oder um die Implementation von sicheren „Best Practices“-Lösungen. Man kennt seine Nöte zwischen effektiven Code, kurzen Entwicklungs- und Testzeiten und Security-Anforderungen. Die Securai-Mitarbeiter kennen aber auch die Methoden, die Cyberkriminelle verwenden, um Schwachstellen in Applikationen auszunutzen. Dieses Wissen hilft, durch organisatorische Maßnahmen oder verbesserte Programmierung diese Lücken des Kunden zu schließen.

Modul: Beratung

Der dienstbare Samurai als „Maskottchen“ von Securai.
Der dienstbare Samurai als „Maskottchen“ von Securai. (Bild: Securai)

Idealerweise wird dieses Modul vor der Entwicklung einer neuen Applikation durchlaufen. Denn müssen Schwachstellen im Betrieb beseitigt werden, ist der Aufwand ungleich höher, als zu Beginn der Entwicklung. Securai analysiert das Zusammenspiel zwischen Daten, Datenfluss, Entwicklungsprozess, Sicherheitskonzept und Schutzbedarf. All diese wird in Relation zueinander gesetzt um ein möglichst hohes Sicherheitsniveau zu erreichen und Maßnahmen zur weiteren Optimierung festzulegen. Diese festgelegten Aktionen, können dabei die Datenablage, ein Berechtigungskonzept, die Sitzungsverwaltung und andere elementare Bausteine betreffen. Auch ferne Konzepte, wie beispielsweise die Einbindung von externen Programmierern (oder Code) oder das Zusammenspiel mit fremden Nutzern, die ggf. auf einer unsicheren Basis agieren, kann hier Gegenstand einer Aktion sein. Die einzelnen Elemente der Betrachtung und erarbeiteten Aktionen werden dabei individuell, abhängig vom jeweiligen Umfeld, ermittelt.

Modul: Training

Programmierer sollen meistens, effektiven Code erstellen, der leicht zu warten ist und modular geschrieben wurde, so das Komponenten schnell ausgetauscht werden können (Beispielsweise ersetzen des Hash Algorithmus SHA-1 durch SHA-3).

Auf sichere Programmierung, wie beispielsweise die versschlüsselte Ablage von Daten (Passwörter), die Überprüfung von Eingaben (Eliminieren von Steuercodes) oder einen implementierte Selbstüberprüfung des Codes (Prüfen auf Veränderung; Unversehrtheit) wurde jahrelang verzichtet. Securai steht hier den Programmierern zur Seite. Für entdeckte Schwachstellen im Programmcode werden Alternativen aufgezeigt, die dem aktuellen Stand der Programmiertechnik entsprechen. Dabei orientiert man sich unter anderem am OPSWAT-Guide (OPSWAT TOP 10 Risks). Da niemand den Code besser kennt, als die Programmierer, verzichtet Securai auf ein kompletteres Code-Review und arbeite mit dem Programmieren zusammen. Denn diese kann nach den entsprechenden „Awareness“-Schulungen, die kritischen Bereiche in seinem Code identifizieren und sie zusammen mit den Security-Experten entschärfen.

Securai bietet hier Support für Webanwendungen an, aber auch für IoT-Programme und klassische Client-Server-Applikationen.

Modul: Pen-Test

Als “State-of-the-Art” zur Verifikation von Schwachstellen hat sich heute vielerorts das sogenannte Pen-Testing (Pentrationstest) etabliert, bei dem ein Auftrags-Angreifer versucht System auszuhebeln und an geschützte bzw. nicht zugängliche Bereiche und Daten zu kommen.

Ein solches Pen-Testing führt auch Securai im Kundenauftrag für dessen Tools durch. Hierfür wird im Vorfeld u.a. besprochen, was getestet werden soll und anhand dessen wird ein individuelles Testkonzept erarbeitet, welches letztendlich einen Report generiert. Dieser benennt die gefundenen Lücken und zeigt mögliche Maßnahmen zur Beseitigung auf.

Ergänzendes zum Thema
 
Im Gespräch mit Christoph Haas, Gründer und Geschäftsführer von Securai

Mehrwert

Ein Programmierfehler in einer Software kann weitreichende und auch kostenintensive Folgen haben. Selbst ein Akzeptanztest kann nicht alle Eventualitäten aufdecken und schon gar nicht eine böswillige Manipulation zur Angriffsvorbereitung. Denn die wenigsten Unternehmen leisten sich betriebseigene Hacker, die bei Programmeigenentwicklungen die Eingabefelder auf eine SQL-Injection oder ein Cross-Site-Request-Forgery überprüfen. So entstehen Lücken im Programm, die einem Angreifer Zugang zu Daten ermöglichen, die nicht für ihn bestimmt sind. Welche extremen Effekte dies haben kann, zeigte der Hack auf das Dating-Portal „Ashley Madison“ im Jahr 2015 mit einem Millionenschaden. Auch wenn das Portal nach wie vor existiert, ein Imageschaden ist zweifelsohne entstanden.

Ein Imageschaden, der mit einer Beratung durch Securai möglicherweise Vermeidbar gewesen wäre. Je nach Komplexität der Anwendung und Unternehmensgröße kostet eine individuelle Überprüfung des Codes einer „normalen“ Anwendung ab 3.500 Euro.

Man könnte nun auch mit Source Code Analyse Tools versuchen, automatisiert Security-Fehler zu entdecken, aber die Frage nach der Effektivität bleibt. Mitunter liefert ein Experte schneller und damit auch preiswerter ein Ergebnis. Offen ist auch, in welchen Umfang automatische Tools Designfehler erkennen. Christoph Haas berichtete beispielsweise über eine Webapplikation mit einem „cleveren“ Berechtigungskonzept. Die Berechtigung basierte darauf, ein Menü anzupassen und einem weniger autorisiertem Anwender eine geringere Auswahl an Menüpunkten anzubieten. Wer jedoch das ausgeblendeten Link bzw. den Funktionsaufruf kennt, kann manuell, ohne Einschränkungen, darauf zugreifen. Wie vielfältig die Dienstleistung von Securai sein kann, zeigt deren Referenz-Webseite auf der, anonym einige Referenzkunden und ihre Projekte vorgestellt werden.

Ergänzendes zum Thema
 
Security-Startups gesucht!

Kurztest

Für Unternehmen, die über die Sicherheit ihrer Applikationen im unklaren sind, bietet Securai auch einen „Security Quick Check“ (SOC) an. Dieser beinhaltet eine Analyse der aktuellen IST-Situation, die mit einem vertretbaren Aufwand, bei Securai und dem Kunden, gewonnen wird.

Der erste Schritt besteht in einem Pen-Test, bei dem Securai grobe Lücken aufdeckt und die IST-Konstellation von außen ermittelt. Im zweiten Schritt wird beim Kunden das Netzwerk analysiert und Fachgespräche zur IST-Situation geführt. Hier werden die Personen kontaktiert, die für die IT Sicherheit zuständig sind - auf konzeptioneller Ebene und im RUN-Umfeld. Schließlich werden die Erkenntnisse in einem Managementreport zusammengefasst und empfehlenswerte Maßnahmen abgeleitet.

Fazit

Die Entwicklung von sicherem Programmcode ist ein elementarer Schritt auf dem Weg zu einer wirkungsvollen Abwehr von unerwünschten Cyber-Bedrohungen. Securai befähigt Unternehmen, sich selbst zu helfen und in Zukunft sicheren Code zu schreiben und gefährliche „Altlasten“ zu optimieren.

Securai auf einen Blick
Name Securai
Webseite https://www.securai.de/
Geschäftsform GmbH
Standort Garching
Gründungszeitpunkt September 2014
Geschäftsführer Christoph Haas
Anzahl Mitarbeiter 4 (2017)
Security-Sparte Pen-Testing und Sicherheitsanalyse von Web-, IoT- und klassischen Client-Server-Anwendungen
Produkt Web-/App-Sicherheitsanalyse mit Security-Beratung
Innovation Sicherheitsanalyse für Applikations-Code durch erfahrene Experten
Unternehmens-Blog https://www.securai.de/veroeffentlichungen/blog/
Investitionen möglich Nein
Startfinanzierung /
Umsatz letztes Jahr
40.000 Euro / keine Angabe

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45173302 / Security-Startups)