:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Startups im Blickpunkt: Securai Security Awareness für Programmierer
Hacker, Malware und Cyberspionen wirksam den Zugriff auf digitale Unternehmenswerte zu verwehren ist nicht einfach. Man investiert dafür in clevere Software, durchdachte Prozesse und letztendlich auch in Security Awareness beim Mitarbeiter, der als engagierter Wächter ebenfalls Bedrohungen erkennen und eliminieren soll. Gerade Gruppen wie Programmierer bleiben bei diesen Maßnahmen aber oft inhaltlich ausgeschlossen, da man nicht auf Ihre Bedürfnisse eingeht.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit neuen, innovativen Ideen die IT-Sicherheit nach vorn bringen wollen. Das Startup-Unternehmen Securai, aus Garching bei München bietet im Bereich der Security Awareness verschiedene Lösungsansätze, denn das junge Team nimmt sich speziell der Programmierer an und deren Arbeitsprodukte – den Programmen, die für den eigenen Bedarf oder zum Verkauf entworfen werden. Securai, 2014 gegründet, setzt dabei auf drei elementare Bausteine, um die Applikationssicherheit ihrer Kunden zu optimieren: Beratung, Training und Penetrationstests.
Die Mitarbeiter von Securai sind keine Experten, die nur am grünen Tisch Applikationssicherheit planen, sondern Programmierer und Berater, die im realen IT-Leben beheimatet sind. Man kennt die Probleme von Unternehmen, wie sie bei der Eigenentwicklung von Produkten auftreten. Man versteht die Umstände, die zu einer Lücke zwischen Schutzbedarf und gelebten Sicherheitskonzept führten. Man kann aber sich aber auch mit dem Programmierer auf Programmiersprachen-Niveau unterhalten oder auf einer übergeordneten Ebene, wenn es um Schwachstellen in Programmiersprachen geht oder um die Implementation von sicheren „Best Practices“-Lösungen. Man kennt seine Nöte zwischen effektiven Code, kurzen Entwicklungs- und Testzeiten und Security-Anforderungen. Die Securai-Mitarbeiter kennen aber auch die Methoden, die Cyberkriminelle verwenden, um Schwachstellen in Applikationen auszunutzen. Dieses Wissen hilft, durch organisatorische Maßnahmen oder verbesserte Programmierung diese Lücken des Kunden zu schließen.
:quality(80)/images.vogel.de/vogelonline/bdb/1363200/1363229/original.jpg "Unsicherer Sourcecode, bei der Verwendung des Aufrufarguments.")
:quality(80)/images.vogel.de/vogelonline/bdb/1363200/1363230/original.jpg "Unsicherer Sourcecode, bei einem SQL-Zugriff (SA-Zugriff und Passwort im Sourcecode enthalten).")
:quality(80)/images.vogel.de/vogelonline/bdb/1363200/1363231/original.jpg "Unsicherer Sourcecode, in Web-Anwendungen. Diese häufig anzutreffende Schwachstelle, erlaubt einen Cross-Site-Scripting-Angriff, bedingt durch eine schwache Formatierung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1363200/1363232/original.jpg "Ansicht der Report-Gliederung eines SOC-Checks (Security Quick Check) für einen Kunden.")
Modul: Beratung
Idealerweise wird dieses Modul vor der Entwicklung einer neuen Applikation durchlaufen. Denn müssen Schwachstellen im Betrieb beseitigt werden, ist der Aufwand ungleich höher, als zu Beginn der Entwicklung. Securai analysiert das Zusammenspiel zwischen Daten, Datenfluss, Entwicklungsprozess, Sicherheitskonzept und Schutzbedarf. All diese wird in Relation zueinander gesetzt um ein möglichst hohes Sicherheitsniveau zu erreichen und Maßnahmen zur weiteren Optimierung festzulegen. Diese festgelegten Aktionen, können dabei die Datenablage, ein Berechtigungskonzept, die Sitzungsverwaltung und andere elementare Bausteine betreffen. Auch ferne Konzepte, wie beispielsweise die Einbindung von externen Programmierern (oder Code) oder das Zusammenspiel mit fremden Nutzern, die ggf. auf einer unsicheren Basis agieren, kann hier Gegenstand einer Aktion sein. Die einzelnen Elemente der Betrachtung und erarbeiteten Aktionen werden dabei individuell, abhängig vom jeweiligen Umfeld, ermittelt.
Modul: Training
Programmierer sollen meistens, effektiven Code erstellen, der leicht zu warten ist und modular geschrieben wurde, so das Komponenten schnell ausgetauscht werden können (Beispielsweise ersetzen des Hash Algorithmus SHA-1 durch SHA-3).
Auf sichere Programmierung, wie beispielsweise die versschlüsselte Ablage von Daten (Passwörter), die Überprüfung von Eingaben (Eliminieren von Steuercodes) oder einen implementierte Selbstüberprüfung des Codes (Prüfen auf Veränderung; Unversehrtheit) wurde jahrelang verzichtet. Securai steht hier den Programmierern zur Seite. Für entdeckte Schwachstellen im Programmcode werden Alternativen aufgezeigt, die dem aktuellen Stand der Programmiertechnik entsprechen. Dabei orientiert man sich unter anderem am OPSWAT-Guide (OPSWAT TOP 10 Risks). Da niemand den Code besser kennt, als die Programmierer, verzichtet Securai auf ein kompletteres Code-Review und arbeite mit dem Programmieren zusammen. Denn diese kann nach den entsprechenden „Awareness“-Schulungen, die kritischen Bereiche in seinem Code identifizieren und sie zusammen mit den Security-Experten entschärfen.
Securai bietet hier Support für Webanwendungen an, aber auch für IoT-Programme und klassische Client-Server-Applikationen.
Modul: Pen-Test
Als “State-of-the-Art” zur Verifikation von Schwachstellen hat sich heute vielerorts das sogenannte Pen-Testing (Pentrationstest) etabliert, bei dem ein Auftrags-Angreifer versucht System auszuhebeln und an geschützte bzw. nicht zugängliche Bereiche und Daten zu kommen.
Ein solches Pen-Testing führt auch Securai im Kundenauftrag für dessen Tools durch. Hierfür wird im Vorfeld u.a. besprochen, was getestet werden soll und anhand dessen wird ein individuelles Testkonzept erarbeitet, welches letztendlich einen Report generiert. Dieser benennt die gefundenen Lücken und zeigt mögliche Maßnahmen zur Beseitigung auf.
Mehrwert
Ein Programmierfehler in einer Software kann weitreichende und auch kostenintensive Folgen haben. Selbst ein Akzeptanztest kann nicht alle Eventualitäten aufdecken und schon gar nicht eine böswillige Manipulation zur Angriffsvorbereitung. Denn die wenigsten Unternehmen leisten sich betriebseigene Hacker, die bei Programmeigenentwicklungen die Eingabefelder auf eine SQL-Injection oder ein Cross-Site-Request-Forgery überprüfen. So entstehen Lücken im Programm, die einem Angreifer Zugang zu Daten ermöglichen, die nicht für ihn bestimmt sind. Welche extremen Effekte dies haben kann, zeigte der Hack auf das Dating-Portal „Ashley Madison“ im Jahr 2015 mit einem Millionenschaden. Auch wenn das Portal nach wie vor existiert, ein Imageschaden ist zweifelsohne entstanden.
Ein Imageschaden, der mit einer Beratung durch Securai möglicherweise Vermeidbar gewesen wäre. Je nach Komplexität der Anwendung und Unternehmensgröße kostet eine individuelle Überprüfung des Codes einer „normalen“ Anwendung ab 3.500 Euro.
Man könnte nun auch mit Source Code Analyse Tools versuchen, automatisiert Security-Fehler zu entdecken, aber die Frage nach der Effektivität bleibt. Mitunter liefert ein Experte schneller und damit auch preiswerter ein Ergebnis. Offen ist auch, in welchen Umfang automatische Tools Designfehler erkennen. Christoph Haas berichtete beispielsweise über eine Webapplikation mit einem „cleveren“ Berechtigungskonzept. Die Berechtigung basierte darauf, ein Menü anzupassen und einem weniger autorisiertem Anwender eine geringere Auswahl an Menüpunkten anzubieten. Wer jedoch das ausgeblendeten Link bzw. den Funktionsaufruf kennt, kann manuell, ohne Einschränkungen, darauf zugreifen. Wie vielfältig die Dienstleistung von Securai sein kann, zeigt deren Referenz-Webseite auf der, anonym einige Referenzkunden und ihre Projekte vorgestellt werden.
Kurztest
Für Unternehmen, die über die Sicherheit ihrer Applikationen im unklaren sind, bietet Securai auch einen „Security Quick Check“ (SOC) an. Dieser beinhaltet eine Analyse der aktuellen IST-Situation, die mit einem vertretbaren Aufwand, bei Securai und dem Kunden, gewonnen wird.
Der erste Schritt besteht in einem Pen-Test, bei dem Securai grobe Lücken aufdeckt und die IST-Konstellation von außen ermittelt. Im zweiten Schritt wird beim Kunden das Netzwerk analysiert und Fachgespräche zur IST-Situation geführt. Hier werden die Personen kontaktiert, die für die IT Sicherheit zuständig sind - auf konzeptioneller Ebene und im RUN-Umfeld. Schließlich werden die Erkenntnisse in einem Managementreport zusammengefasst und empfehlenswerte Maßnahmen abgeleitet.
Fazit
Die Entwicklung von sicherem Programmcode ist ein elementarer Schritt auf dem Weg zu einer wirkungsvollen Abwehr von unerwünschten Cyber-Bedrohungen. Securai befähigt Unternehmen, sich selbst zu helfen und in Zukunft sicheren Code zu schreiben und gefährliche „Altlasten“ zu optimieren.
| Securai auf einen Blick | |
|---|---|
| Name | Securai |
| Webseite | https://www.securai.de/ |
| Geschäftsform | GmbH |
| Standort | Garching |
| Gründungszeitpunkt | September 2014 |
| Geschäftsführer | Christoph Haas |
| Anzahl Mitarbeiter | 4 (2017) |
| Security-Sparte | Pen-Testing und Sicherheitsanalyse von Web-, IoT- und klassischen Client-Server-Anwendungen |
| Produkt | Web-/App-Sicherheitsanalyse mit Security-Beratung |
| Innovation | Sicherheitsanalyse für Applikations-Code durch erfahrene Experten |
| Unternehmens-Blog | https://www.securai.de/veroeffentlichungen/blog/ |
| Investitionen möglich | Nein |
| Startfinanzierung /Umsatz letztes Jahr | 40.000 Euro / keine Angabe |
(ID:45173302)
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917436/original.jpg "DevSecOps ist eine Erweiterung des DevOps-Konzepts um Sicherheitsaspekte. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904578/original.jpg "„Policy-as-Code kann viele Nacharbeiten vermeiden, die entstehen, wenn sich Entwickler der Sicherheitsrichtlinien nicht bewusst sind.“ (sarayut_sy - stock.adobe.com)")