:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/f7/90f77fbb7d45ab622971a24ea53da577/0111572690.jpeg "Kritische Informationen können über Schwachstellen in der Open Time Series Database abfließen. (Bild: <a href=https://pixabay.com/de/users/moritz320-1260270/>moritz320</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/42/f8/42f892d7d2c6dd755e4c5b0cfdb7fa7c/0111847725.jpeg "Die Methoden und die Ausführung haben sich bei Ransomware in den letzten Jahren deutlich weiterentwickelt. Früher ging es um Profit, heute geht es um viel mehr als das. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Standards frühzeitig setzen Sicherheit in der Anwendungsentwicklung beginnt beim Software-Design
IT-Sicherheit gerne dahingehend kritisiert, dass sie IT-Innovationen ausbremse. Ist Sicherheit tatsächlich nur ein Störfaktor für den Fortschritt? Oder ist es nicht vielmehr so, dass man ein hohes Maß an Sicherheit bei Software nur erreichen kann, wenn man sie von Beginn an im Anwendungsdesign berücksichtigt?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Sicherheit ist einerseits ein Thema, mit dem sich alle IT-Verantwortlichen beschäftigen – heute mehr denn je, weil die Bedrohungen kontinuierlich zunehmen. Andererseits scheint Sicherheit oft das Stiefkind zu sein, das man zu ignorieren versucht.
Wer hat nicht schon erlebt, dass Sicherheitsanforderungen bei der Anwendungsentwicklung reduziert wurden, weil die geschäftlich so dringend benötigte Anwendung nicht rechtzeitig fertig geworden wäre? Und welche große Standardisierungsinitiative hat das Thema Sicherheit gleich mit berücksichtigt?
Bei den Web Services gab es erst SOAP für den Transport, WSDL für die Beschreibung und UDDI für die Lokalisierung als Standards, bevor man sich Dingen wie Sicherheit und Zuverlässigkeit zugewandt hat. Selbst die Kommunikation im Netzwerk wird heute noch dadurch geschützt, dass man irgendwelche Mechanismen wie IPsec oder TLS oben draufsetzt.
Zeitmangel führt zu Sicherheitsmängeln
Nun kann man durchaus argumentieren, dass die Time to Market (Zeitspanne zwischen der Produktidee und Marktreife) dazu zwingt, dass Geschäftsanwendungen rechtzeitig fertig werden. Es ist auch nachvollziehbar, dass man sich bei neuen Standards erst auf Grundfunktionen wie den Aufruf externer Diensten oder den Transport von Informationen konzentriert.
Das Resultat sind aber unsichere Anwendungen oder auch jahrelange Verzögerungen, bis ein Standard wirklich praktisch einsetzbar ist. Dass man unliebsame Themen wie die Sicherheit ignoriert, ist dabei keineswegs nur IT-spezifisch. Die Endlagerproblematik beim Atommüll ist sicher das prägnanteste Beispiel – aber es ist nur eines unter vielen.
Seite 2: IT-Sicherheit bei der Anwendungsentwicklung
IT-Sicherheit bei der Anwendungsentwicklung
Gerade in der IT gilt, dass man ein hohes Maß an Sicherheit mit einem überschaubaren Aufwand erreichen kann, wenn zwei Voraussetzungen gegeben sind: Man muss Sicherheit in standardisierter Weise beim Design von Anwendungen berücksichtigen. Und man braucht eine Infrastruktur, die grundlegende Sicherheitsfunktionen bereitstellt und die von Anwendungen genutzt werden kann.
Es geht also darum, standardisierte Sicherheitsdienste zu nutzen statt Sicherheit in jeder Anwendung neu zu erfinden. Denn das „Neuerfinden“ ist nicht nur aufwändig und führt in der Tat zu Verzögerungen, es birgt auch das Risiko, dass die Erfindung eben nicht allzu gut gelungen ist.
Wenn man stattdessen aber mit standardisierten Diensten arbeitet, kann man diese gut konzipieren und prüfen. Damit reduziert man nicht nur die Sicherheitsrisiken, sondern auch den Aufwand in der Softwareentwicklung, weil es vergleichsweise einfach ist, solche Schnittstellen in standardisierter Weise zu nutzen.
Keine Ausreden mehr
Inzwischen gibt es eine breite Palette an technischen Möglichkeiten, um eine standardisierte und Schnittstellen-basierende Sicherheit umzusetzen. Natürlich erfordert das Investitionen – in die Anwendungsinfrastruktur ebenso wie in die Ausbildung der Softwareentwickler, die Beschreibung der Schnittstellen und den Betrieb der zentralen Infrastruktur.
Diesen Investitionen stehen aber nicht nur geringere Sicherheitsrisiken gegenüber. Indem man beispielsweise Verzeichnisdienste, Authentifizierungsdienste oder auch Hardware-Tokens für die starke Authentifizierung wiederverwendet, reduzieren sich auch die Betriebskosten der zentralen Infrastruktur sowie Soft- und Hardwarekosten.
Neben gängigen Elementen wie Verzeichnisdiensten gibt es beispielsweise so genannte Versatile Authentication Platforms, mit denen unterschiedliche Authentifizierungsmechanismen flexibel über eine Art Middleware genutzt werden können. Dabei programmiert man also nicht mehr speziell für eine Authentifizierungstechnik wie ein Einmal-Kennwort oder eine Smartcard mit digitalen Zertifikaten. Darüber hinaus existiert das auf der Identity Federation basierende Konzept der Claims, es gibt XACML-basierende Plattformen für die Autorisierungssteuerung und vieles mehr.
Anders formuliert: Es gibt keine validen Ausreden mehr, um sich um sichere Anwendungsentwicklung zu drücken. Genauso wenig gilt, dass man Innovationen durch Sicherheit stört. Es mag sein, dass der erste Schritt ein wenig länger dauert. Aber die danach folgenden Schritte gehen viel schneller, wenn man nachher nicht mehr mühselig versuchen muss, doch noch Sicherheit zu schaffen und das nur mit hohem Aufwand und hohen Folgekosten schafft.
European Identity Conference 2010
Mittelstandsdialog Informationssicherheit 2010
Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt. Kuppinger Cole ist Ausrichter der European Identity Conference 2010, die sich als Leitveranstaltung rund um diese Themenbereiche etabliert hat. Parallel zur European Identity Conference 2010 findet von Dienstag bis Freitag, 04. bis 07. Mai 2010, in München der Mittelstandsdialog Informationssicherheit 2010 von Kuppinger Cole statt.
(ID:2044712)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930845/original.jpg "EAL (Evaluation Assurance Level) ist eine Bewertungsstufe eines IT-Produkts oder IT-Systems, nach Abschluss einer Common-Criteria-Sicherheitsevaluierung. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913899/original.jpg "Veracode sorgt per API-Scan für Sicherheit. (Veracode)")