:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Security und Open-Source-Lösungen So klappt es mit der Open-Source-Software
Open-Source-Komponenten sparen Entwicklern Zeit und Unternehmen Kosten und Produkte gewinnen dadurch schneller an Marktreife. Open-Source-Bibliotheken bergen aber oft auch gefährliche Schwachstellen. Mit einer profunden Security-Strategie und den richtigen Maßnahmen sind Open-Source-Komponenten aber im Grunde genauso sicher wie andere Software-Lösungen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Softwareprojekte werden heute kaum mehr ganz „von vorn“ begonnen - nicht zuletzt in Anbetracht der sich stetig verkürzenden Release-Zyklen. Zur Einsparung von Ressourcen, greifen Entwickler dann gerne auf Open-Source-Bibliotheken zurück. Dabei sollte man immer im Hinterkopf behalten, dass durch diese Open-Source-Komponenten, die aus einer Vielzahl von bestehenden Bibliotheken stammen, eine Reihe von Sicherheitsrisiken in die Software einfließen könnten. Wobei es natürlich auch Stimmen gibt, die sogar der Meinung sind, dass Open Source Anwendungen sogar die Datensicherheit erhöhen können.
:quality(80)/images.vogel.de/vogelonline/bdb/1568800/1568846/original.jpg "Die massive Verwendung von Open-Source-Bibliotheken kann Angreifern die Tür ins eigene Netzwerk öffnen. (ninocare - Pixabay.com)")
Quelloffene Software-Bibliotheken
5 Regeln zum Schutz vor Open-Source-Schwachstellen
Gravierende Schwachstellen erkannt
Der Veracode-Report „State of Software-Security“ bestätigte, dass rund drei Viertel der Befragten Open-Source-Software nutzen. Ein erheblicher Teil setzt dabei auf Kombinationen zwischen quelloffener Software und eigenen Entwicklungen. Wogegen sich über 10 Prozent sogar voll und ganz auf Open-Source verlässt. Im Schnitt, so der Report, wurden im Rahmen der Untersuchungen in einer Applikation etwa 70 Sicherheitsrisiken entdeckt, die auf Grund verwendeter Open-Source-Komponenten entstanden sind.
Hinzu kommt, dass lediglich rund 20 Prozent der Befragten diese Komponenten auf Sicherheitslücken prüfen. Denn nur gut die Hälfte, so vermuten die Studienautoren, unterhalten ein Verzeichnis über alle extern verwendeten Komponenten. Rund 70 Prozent der Befragten verfügen nur über ein formelles Anwendungssicherheitsprogramm (AppSec). Der Report kam schließlich zu dem Ergebnis, dass über 40 Prozent aller Anwendungen über erhebliche Sicherheitsrisiken verfügen, die auf Open-Source-Komponenten zurückzuführen sind.
Sicherheitsroutinen implementieren
Da quelloffene Software als ein Treiber von innovativen Lösungen und Effizienz von Entwicklungen gilt, sollte nicht auf sie verzichtet werden. Sinnvoller wäre es jedoch, das Risikobewusstsein zu schärfen, um Probleme bei Open-Source-Komponenten rechtzeitig zu identifizieren und Gefahren zu reduzieren. Daher sollten eingesetzte Open-Source-Komponenten gleich von Anfang an definierten Sicherheitsroutinen und -standards unterliegen.
Denn klar festgelegte Regeln sind ein integraler Bestandteil einer Security-Strategie von Open-Source-Lösungen. Auf diese Weise wird verhindert, dass Entwickler beliebige Open-Source-Komponenten benutzen. Dafür müssen Organisationen ein Regelwerk erstellen, das klar formuliert, welche Open-Source-Komponenten und -Tools zum Einsatz kommen sollen.
:quality(80)/images.vogel.de/vogelonline/bdb/1398900/1398972/original.jpg "Fehlerhafter Code kann zu unerwünschten Nebenwirkungen führen; oftmals missachten Entwickler aber auch Lizenzrechte. (© iQoncept - stock.adobe.com)")
Der quelloffene Code ist schier überall – aber ...
Entwickler hantieren leichtfertig mit Open Source
Checkliste für sichere Open-Source-Lösungen
Mit einer profunden Security-Strategie und den richtigen Maßnahmen sind Open-Source-Komponenten im Grunde genauso sicher wie andere Software-Lösungen. Sicherheitsstrategien für einen zuverlässigen Einsatz von Open-Source-Komponenten können sich unter anderem an folgenden Punkten orientieren:
Policies aufstellen
In dieser ersten Phase einer Open-Source-Strategie muss entschieden werden, welche Software überhaupt verwendet werden darf. Damit wird vermieden, dass Entwickler Software einfach nach Belieben einsetzen. Das heißt, eine allgemeine Policy reduziert damit unkalkulierbare Risiken.
Reaktionszeit optimieren
Für Security-Strategien ist es nicht nur wichtig, dass überhaupt regelmäßig Patches entwickelt werden, sondern welche Zeitspanne zwischen der Kenntnisnahme einer Sicherheitslücke und der Anwendung der neuen Patches vergeht. Dies entspricht genau der Zeit, die Hacker nutzen, um ihre Angriffe zu starten. Aus diesem Grunde muss diese Zeitspanne möglichst kurz gehalten werden, um die Patches schnell zu installieren. Ein zentrales Patch-Management hilft dabei, den Überblick zu allen notwendigen Aktivitäten stets zu wahren.
Repositories kontrollieren
Die offenen Zugänge zu Open-Source-Bibliotheken in nativen Umgebungen sollten unter Sicherheitsaspekten limitiert werden. Hierfür eignen sich beispielsweise Cache-Speicher mit Software-Komponenten, die nach eigehender Prüfung eine Freigabe erhalten haben. Eine andere Möglichkeit böte eine Firewall, die den Zugriff auf bestimmte Ressourcen gänzlich verhindert.
:quality(80)/images.vogel.de/vogelonline/bdb/1384700/1384774/original.jpg "Im Zuge einer aktuellen Veracode-Studie gaben 93 Prozent der Befragten an, externe Code-Komponenten zu verwenden. (Veracode)")
Mangelnde Schwachstellen-Analyse in Unternehmen
Wenig Augenmerk auf externe Code-Komponenten
Lieferkette überprüfen
Für die Entwicklung werden oftmals diverse Softwarepakete verschiedener Hersteller genutzt. Auf diese Weise könnten sich ebenso neben den bekannten Problemen auch weitere Sicherheitslücken ins Unternehmen einschleichen, wovon nicht einmal Softwareexperten etwas wissen. Abhilfe schafft man mit Sicherheitstests und Tools für die statische Code-Analyse sowie Werkzeugen für Software Composition Analysis (SCA). Die Sicherheitsexperten erhalten so einen umfassenden Einblick in bestehende Risikopotenziale.
Security first!
Security-Experten empfehlen, aktuell gut funktionierende Sicherheitsstandards nicht auf diesem Stand zu belassen. Ein solches Denken ist brandgefährlich! Stillstand bedeutet in einer globalisierten Welt, in der auch das digitale Verbrechen niemals schläft, immer Rückschritt. Dadurch wird man sofort angreifbar! Aus diesem Grunde dürfen sich Unternehmen nie mit dem erreichten Ziel zufrieden geben, sondern müssen kontinuierlich Risikoanalysen durchführen und Notfallpläne bereithalten.
IT-Security und Entwickler müssen kooperieren
Damit die Abteilung IT-Security Risiken, die von Software ausgehen kann, richtig bewertet, muss sie die Instrumente und Werkzeuge der Entwickler kennen und auf diese zugreifen können. Darüber hinaus muss die IT-Security den Entwicklern ihre Policies klar kommunizieren. Grundsätzlich ist eine sachliche und stressfreie Kommunikation zwischen beiden Abteilungen für ein funktionierendes Sicherheitskonzept unabdingbar. Beide Abteilungen können beispielsweise gemeinsam an Trainings teilnehmen, um so sicherzustellen, dass sich alle Beteiligten im Hinblick der Sicherheitsrisiken und -lücken auf dem gleichen Stand befinden.
(ID:46696678)
:quality(80)/p7i.vogel.de/wcms/29/10/2910fc84a75f100607ed6e118686df58/0111189724.jpeg "Eine Software Bill of Materials (SBOM) ist die Inventarliste eines Softwareprodukts und wird benötigt um die Absicherung der Codebasis und Softwarelieferkette umsetzen zu können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/79/f1/79f1779c884d1a7c67496c0df773b943/0112828775.jpeg "Wenn die Sicherungen an der falschen Stelle in der Softwarekette angebracht sind, helfen sie nichts. Das Tool „JFrog Curtion“ soll automatisiert bösartige Open-Source-Pakete erkenen und Schwachstellen analysieren können. (Bild: frei lizenziert: TheOtherKev)")