:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Open Source Security Management Sicherer Umgang mit Open Source Code
Die Verwendung von Open Source Code in Anwendungen hat sich im Laufe der Jahre dramatisch erhöht. Mittlerweile umfassen Open Source-Komponenten 50 Prozent und mehr von vielen Software-Applikationen. Unternehmen übersehen dabei aber oft die Sicherheitsfragen im Zusammenhang mit Open Source-Anwendungen. Es gibt aber ein paar einfache Tipps, wie Unternehmen ihre Open Source Codebasis besser managen und Sicherheitsrisiken vermeiden können.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Während die Vorteile der Nutzung von Open Source offensichtlich sind - schnelleres Time-to-Market, größere Innovationsmöglichkeiten, niedrigere Entwicklungskosten, Unterstützung einer globalen Community – dürfen die Sicherheitsfragen im Zusammenhang mit Open Source-Anwendungen nicht übersehen werden. Mehr als 80 Prozent aller Cyber-Attacken zielen auf Software-Applikationen. Angreifer sehen Open-Source-Komponenten innerhalb von Anwendungen als lohnendes Ziel. Zudem sind Informationen über Open Source Schwachstellen weit verbreitet, und Angreifer können potenziell Tausende von Anwendungen mit minimalem Aufwand kompromittieren.
Um Missverständnissen vorzubeugen: Open Source ist genauso sicher wie kommerzieller Code. Die Debatte zu "Sicher oder nicht so sicher?" zieht sich wie ein roter Faden durch viele Diskussionsforen, übersieht aber den springenden Punkt: viele Unternehmen sind sich einfach im Unklaren darüber, wie viel Open-Source bei ihren Anwendungen zum Einsatz kommt. Als Folge sind sie anfällig für Schwachstellen, die sich in ihrem Open-Source befinden.
:quality(80)/images.vogel.de/vogelonline/bdb/1162100/1162108/original.jpg "Was ist sicherer, Open Source oder Closed Source? Beide Seiten haben gute Argumente, keine hat die Wahrheit für sich gepachtet. IT-Entscheider tun gut daran, in jedem Einzelfall sorgfältig abzuwägen, welche Lösung sich am besten eignet. (Pixabay)")
Anwendungssicherheit und Sicherheitslücken
Open Source vs. Closed Source: Was ist sicherer?
Obwohl es für ihre Anwendungsentwicklung eigentlich kritisch ist, verfügen nur wenige Organisationen über strenge Prozesse, um die von ihnen verwendeten Open Source-Komponenten zu identifizieren, zu verfolgen und zu verwalten. Black Duck Audits von Kunden-Codebasen zeigen durchgehend, dass die meisten Unternehmen doppelt so viel Open-Source verwenden, wie sie glauben, dass sie in ihren Anwendungen haben. Hier folgen nun einige Hinweise, wie Unternehmen ihre Open Source Codebasis besser managen und Sicherheitsrisiken vermeiden.
Inventarisieren Sie Ihren Open Source Code
Zunächst benötigen Sie eine vollständige und genaue Bestandsaufnahme aller Open-Source-Komponenten in Ihrer Codebasis. Ein vollständiges Open-Source-Inventar sollte alle Open Source-Komponenten, die Version(en) im Einsatz und Download-Standorte für jede Anwendung in Entwicklung und Produktion enthalten. Sie müssen alle Abhängigkeiten - die Komponenten, auf die Ihr Code zugreift, sowie die Komponenten, mit denen die Abhängigkeiten verknüpft sind - in Ihr Inventar aufnehmen.
Verzeichnis über bekannte Schwachstellen
Stellen Sie sich eine Liste der bekannten Sicherheitslücken zusammen, die sich auf die von Ihnen inventarisierten Open-Source-Komponenten beziehen. Ihre primäre Ressource wird wahrscheinlich die National Vulnerability Database sein. Beachten Sie jedoch, dass nicht alle Schwachstellen der NVD gemeldet werden und dass das Format von NVD-Datensätzen es oft schwierig macht, festzustellen, welche Version einer bestimmten Open-Source-Komponente von einer Sicherheitslücke betroffen sind.
Identifizieren Sie mögliche Lizenz- und Code-Qualitätsrisiken
Wenn Sie Software-Bundles, eingebettete oder kommerzielle SaaS-Software erstellen, ist Open-Source-Lizenzkonformität auch ein wichtiger Punkt - insbesondere für Ihr juristisches Team. Unabhängig davon, wie Ihre Apps bereitgestellt werden, sollten Sie auch überprüfen, ob Sie qualitativ hochwertige Open-Source-Komponenten sowie aktuelle und stabile Versionen dieser Komponenten verwenden, die zudem von einer zuverlässigen Community aktiv verwaltet werden.
Risiko kontrollieren
Sobald Sie Sicherheitslücken identifiziert sowie die Lizenzierung und Qualität der Komponenten geklärt haben, ist es an der Zeit, diese Risiken zu priorisieren und diese zu anzugehen. Bestimmen Sie, welche Korrekturmaßnahmen durchgeführt werden müssen. Ordnen Sie den entsprechenden Personen die Sanierungsarbeiten zu und verfolgen Sie den Korrekturprozess: Was wird überprüft? Was wurde überprüft? Was wurde behoben? Welche Fixes wurden verschoben? Was wurde gepatcht? Die Arbeit hört nicht auf, wenn eine Applikation frei gegeben wird, sie müssen sie überwachen, solange die Anwendung in Betrieb ist.
Manuelles versus automatisiertes Open Source Security Management
Die Chancen sind leider groß, dass manuelles Open Source-Sicherheits-Management mit erheblichen Investitionen in Zeit, Ressourcen und Budget abläuft – und dabei dennoch nie komplett sein wird. Es wird sowohl die Produktivität Ihrer Software-Entwickler negativ beeinflussen als den gesamten SDLC (Secure Software Development Lifecycle). Daher wenden sich viele Organisationen einer automatisierten Lösung zum Open Source-Risikomanagement zu. So inventarisieren sie effektiv Open Source Code, schützen ihn vor Sicherheitsproblemen und anderen Open Source-Risiken und stellen die Anwendung von Open Source-Richtlinien sicher.
Anwendungs-Schwachstellen sind die Sicherheitsgefahr Nummer 1 für Ihr Unternehmen. Ohne Inventarisierung, Management und Sicherung der in Ihren Anwendungen verwendeten Open Source-Komponenten bieten Sie Angreifern ein leichtes Ziel.
Über den Autor: Patrick Carey ist Leiter Produktmarketing bei Black Duck Software.
(ID:44619410)
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")