:quality(80)/images.vogel.de/vogelonline/bdb/1829700/1829741/original.jpg "Das TrickBot-Modul kann durch das Eindringen von Schadcode in das UEFI auf einen Chip des Motherboards außerhalb der Festplatte den meisten Antivirenerkennungen, Softwareupdates oder sogar einer vollständigen Bereinigung und Neuinstallation entgehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1818000/1818090/original.jpg "Resilienz oder Widerstandskraft ist laut Duden die Fähigkeit, schwierige Lebenssituationen ohne anhaltende Beeinträchtigung zu überstehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1827400/1827457/original.jpg "Unternehmen vergessen immer weider bei IoT-Systemen wie IP-Kameras die Default-Passwörter zu ändern. Das erleichtert es Angreifern, solche Systeme zu „kapern“ und für DDoS-Angriffe zu missbrauchen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1827700/1827764/original.jpg "Trotz Milliarden geleakter Accountdaten steigen die Preise für Logindaten im Dark Web weiter. Immer mehr Cyberkriminelle versuchen auf den Trend aufzuspringen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1829700/1829732/original.jpg "MDR-Lösungen sind ideal für jedes Unternehmen, dem es an internen Ressourcen und Spezialwissen mangelt, das aber die Sicherheitslücken bei der Erkennung und Überwachung von Bedrohungen schließen möchte.")
:quality(80)/images.vogel.de/vogelonline/bdb/1826600/1826605/original.jpg "Der Bundesrat kann noch Einspruch gegen das IT-Sicherheitsgesetz 2.0 einlegen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1818000/1818026/original.jpg "SASE-Frameworks sind oft kompliziert. Sie bestehen aus vielen beweglichen Teilen und lassen sich deshalb nicht über Nacht umsetzen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1827200/1827242/original.jpg "Wollen Unternehmen Services in der IT-Sicherheit outsourcen, gilt es einige Schritte zu beachten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1818000/1818095/original.jpg "Daten sind in der Cloud nicht grundsätzlich sicher, wie jüngste Ereignisse nachdrücklich zeigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1818000/1818018/original.jpg "Cyberangriffe auf die Cloud werden immer interessanter für Kriminelle.")
:quality(80)/images.vogel.de/vogelonline/bdb/1827500/1827582/original.jpg "Mehr als ein Drittel der Computernutzerinnen und -nutzer weltweit setzen Windows 10 ein. Deshalb prüft das BSI das Betriebssystem auf Herz und Nieren und leitet daraus konkrete Empfehlungen ab.")
:quality(80)/images.vogel.de/vogelonline/bdb/1829600/1829673/original.jpg "Qualität, Transparenz und Konsistenz des Berechtigungskonzeptes von ERP-Systemen sind sowohl aus Sicherheits- als auch aus Kostengründen unverzichtbar.")
:quality(80)/images.vogel.de/vogelonline/bdb/1826400/1826495/original.jpg "Außendiensttechniker oder Monteure nutzen für die Einsatzplanung und Auftragsabwicklung Field Service Management-Lösungen. Da diese Unternehmens- und Kundendaten bearbeiten bedarf es entsprechender Schutzkonzepte.")
:quality(80)/images.vogel.de/vogelonline/bdb/1826200/1826241/original.jpg "Kleine Handwerksbetriebe sind mit IT-Security oft überfordert, der Sec-O-Mat soll Abhilfe schaffen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1827400/1827497/original.jpg "Der 6. Mai steht im Zeichen des Passworts. Auch 2021 macht der erste Donnerstag im Mai weltweit auf das Thema Passwort-Sicherheit aufmerksam.")
:quality(80)/images.vogel.de/vogelonline/bdb/1824100/1824198/original.jpg "Behördengänge, Konto eröffnen, Mietwagen buchen – das alles soll laut Vodafone künftig per Smartphone gehen")
:quality(80)/images.vogel.de/vogelonline/bdb/1818000/1818023/original.jpg "Zwar vertreibt Primekey die Software EJBCA kommerziell mit eigenen Services, sie ist aber auch als Open-Source-Variante frei verfügbar und wird vom Hersteller deshalb als Konkurrenz gesehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1774100/1774110/original.jpg "SIEM-Lösungen geben Unternehmen den dringend benötigten Überblick über die ihre aktuelle Bedrohungslage - oft sogar in Echtzeit!")
:quality(80)/images.vogel.de/vogelonline/bdb/1774000/1774099/original.jpg "Der Schutz von Benutzer- und Zugangsdaten ist für Unternehmen extrem wichtig, denn fast alle Datendiebstähle geschehen durch den Mißbrauch von Zugangsdaten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1773700/1773780/original.jpg "Unternehmen müssen Security Awareness als Sicherheitsgewinn und fortlaufende Komponente ihrer Security-Strategie sehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1828200/1828269/original.jpg "Kritische Infrastrukturen (KRITIS) sind Unternehmen, Einrichtungen, Organisationen, Anlagen und Systeme, die eine große bedeutung für das staatliche Gemeinwesen haben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1828200/1828260/original.jpg "XDR ist die erweiterte Bedrohungserkennung und -abwehr nicht nur für Endpoints, sondern über die komplette IT-Infrastruktur eines Unternehmens hinweg.")
:quality(80)/images.vogel.de/vogelonline/bdb/1828200/1828257/original.jpg "Unter Remote Code Execution versteht man das – meist unautorisierte – Ausführen von Programmcode aus der Ferne.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig.")
Tipps für die Kooperation von Entwicklern und Sicherheitsverantwortlichen So klappt’s mit den Security-Kollegen
In der IT-Welt vergeht kaum ein Tag, an dem nicht eine neue Sicherheitslücke in Drittanbieter-Software bekannt wird. Aber auch intern entwickelte Anwendungen und Web-Apps können Schwachstellen beinhalten. Coverity zeigt, wie Security-Verantwortliche und Software-Entwickler diese Probleme gemeinsam in den Griff bekommen.
Firmen zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/a5/5fa5372d8d471/build38-logo.png "Build38_Logo.png"){kind=logo}
(Bild: VBM-Archiv)
Immer wieder zeigt sich: IT-Sicherheit beginnt nicht erst mit dem Einsatz einer Firewall. Wer sein Unternehmen bzw. dessen Netzwerk und Endgeräte absichern will, benötigt neben wirkungsvollen Security-Anwendungen vor allem auch sichere Software.
Wer selbst Apps für den Unternehmenseinsatz entwirft, muss besonderen Wert auf das Testen der Eigenentwicklungen unter Berücksichtigung verwendeter Drittanbietersoftware legen. Am besten sollte bereits während der Entwicklung getestet werden, um so effizient wie möglich zu wirtschaften und Schwachstellen rechtzeitig zu entfernen.
Die Herausforderung hierbei: IT-Sicherheitsverantwortliche und Softwareentwickler können nicht richtig mit-, aber auch nicht ohneeinander. Hier treffen zwei verschiedene Welten aufeinander. Im Falle von Problemen schieben sie sich gerne gegenseitig die Schuld zu.
Unstrittig sollte sein, dass man durch Zusammenarbeit und angemessene Kommunikation potenzielle Probleme leichter und vor allem schneller beheben kann. In der Bildergalerie zeigt Coverity deshalb die größten Missverständnisse und Stolperfallen im Entwicklungsprozess – und wie sie sich aus dem Weg räumen lassen:
:quality(80)/images.vogel.de/vogelonline/bdb/621400/621470/original.jpg "Prozesse verstehen: Beteiligen sich einzelne Teams gemeinsam an den Entwicklungsprozessen, können vorhandene Programmierfehler leichter ausgemerzt werden. So empfiehlt es sich, einen entdeckten Bug gleich in die Fehler-Management-App von Entwicklerteams einzutragen. Auf die Art lässt er sich leichter nachverfolgen und beheben. Ungeeignet ist hingegen die Pflege von separaten Listen, die nur bestimmte Fehler aufführen, wie zum Beispiel sicherheitsrelevante Defekte.")
:quality(80)/images.vogel.de/vogelonline/bdb/621400/621471/original.jpg "Die gleiche Sprache sprechen: Entwickler haben oft ein anderes Vokabular. Um auf der gleichen Ebene miteinander zu reden, sollten Begriffe wie „Defects“ oder „Bugs“ genutzt werden statt von „Zero-Day-Attacken“ oder „Sicherheitslücken“ zu sprechen.")
:quality(80)/images.vogel.de/vogelonline/bdb/621400/621472/original.jpg "Probleme und Lösungen gemeinsam anpacken: Ziel jedes Entwicklers ist es, fehlerfreien Code zu programmieren. Der Security-Experte wählt den umgekehrten Ansatz, indem er nach möglichen Exploits sucht. Diese Methode deckt Schwachstellen schonungslos auf. Idealerweise sollten IT-Security-Abteilung und Entwickler im Anschluss gemeinsam erarbeiten, wie sich der Defekt beheben lässt. Ein Beispiel: Das Security-Team entdeckt in einer Webanwendung eine Sicherheitslücke, die Cross-Site-Scripting (XSS) ermöglicht. Um den Kollegen aus der Entwicklung das Leben zu erleichtern, sollten die Sicherheitsprofis den Fehler nicht nur lokalisieren, sondern idealerweise gleich eine Alternativlösung aufzeigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/621400/621473/original.jpg "IT-Sicherheit ist nicht alles: Sicherheitsmängel genießen bei Softwareentwicklern nicht per se die oberste Priorität. Auch hier kämpft man mit eingeschränkten Ressourcen. Zumal es eng getaktete Release-Zyklen und viele andere Faktoren gibt, bei denen der Bereich IT-Security nur einer von vielen ist.")
(ID:42312740)
:quality(80)/images.vogel.de/vogelonline/bdb/1753000/1753060/original.jpg "Bei Unternehmen im Gesundheitswesen sollte Cybersicherheit Teil jeder Phase der Produktentwicklung sein")
:quality(80)/images.vogel.de/vogelonline/bdb/1783900/1783991/original.jpg "Eine auf Ethical Hacking ausgelegte Sicherheitsstrategie hilft dabei, Schwachstellen im Code ausfindig zu machen und nachhaltig zu beheben.")