:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Penetration Testing ist nicht alles Softwareentwicklung – ohne Sicherheitskonzept keine sichere Anwendung
In der Softwareentwicklung kommt die Sicherheit häufig nicht über den Status eines Add-on-Features hinaus. Unsicher entwickelte Applikationen untergraben nur allzu oft die Unternehmenssicherheit und führen zu weitreichenden Schäden. Was fehlt ist ein Sicherheitskonzept, das die Risiken der jeweiligen Applikation berücksichtigt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Sichere Anwendungsentwicklung bedeutet mehr als die Penetrationstests am Ende des Entwicklungsprozesses. Alle am Entwicklungsprozess beteiligten Personen müssen vielmehr Sicherheit als wichtiges Qualitätsmerkmal verstehen.
Am Anfang eines Entwicklungsprojekts sollten Sicherheitsanforderungen und Risiken auf der Geschäftsebene identifiziert und festgehalten werden. Nur darauf aufbauend kann anschließend ein angemessenes Sicherheitskonzept für die Applikation erarbeitet werden.
Softwareanforderungen und Sicherheit
In der Anforderungsanalyse muss folglich nicht nur die fachliche Funktionalität berücksichtigt werden, sondern auch die Sicherheit. Es gilt die richtigen Weichen zu stellen, damit zeit- und kostspielige Nachjustierungen im Nachhinein nicht mehr notwendig sind.
Für dieses Vorhaben erweist es sich als hilfreich, wenn bereits ein Information-Security-Management-System (ISMS) etabliert ist, das auf bewährten Standards wie ISO 27001 basiert. Innerhalb des ISMS werden Richtlinien und Prozesse beschrieben, die eine Grundlage dafür schaffen, Risiken und Bedrohungen zu identifizieren und bestmöglich kontrollierbar zu machen.
Die dabei zu erarbeitenden Richtlinien, Konzepte und Handlungsanweisungen regeln auch Bereiche der Applikationsentwicklung und des sicheren Betriebs. Sie bieten ein Grundgerüst für das Sicherheitskonzept der zu entwickelnden Software.
Beispielsweise empfiehlt der ISMS-Standard ISO 27001 im Control A.12.2.1, dass alle Daten, die in eine Applikation eingegeben werden, auf ihre Richtigkeit und Zweckmäßigkeit überprüft werden sollten. Dabei handelt es sich um eine grundlegende Maßnahme, um typische Applikationsschwachstellen, wie SQL-Injection und Cross-Site-Scripting zu verhindern.
Seite 2: Bewährte Sicherheitsmechanismen integrieren
Bewährte Sicherheitsmechanismen integrieren
Eine weitere Quelle für Anforderungen bildet ein bestehendes Betriebsumfeld, in das die neue Applikation integriert werden soll. In der Regel sind hier bereits Sicherheitsmaßnahmen bzw. -infrastrukturen etabliert, die man berücksichtigen sollte. Dadurch kann auf bewährte Verfahren zurückgegriffen werden.
Viele Unternehmen nutzen zum Beispiel eine zentrale Authentifizierungsinfrastruktur (z.B. den CA SiteMinder Web Access Manager), um nicht nur eine Single-Sign-On-Funktion zu bieten, sondern auch Anforderungen aus der Security-Policy des Unternehmens (z.B. Passwort-Regelungen, Anforderungen an das Benutzermanagement, etc.) zentral umsetzen zu können. In einem solchen Fall müssen neue Applikationen das Rad nicht neu erfinden, sondern können bewährte Sicherheitsmaßnahmen wiederverwenden.
Die letzte und wichtigste Quelle für Anforderungen bildet der Fachbereich, der eine Applikation anfordert. Die fachlichen Funktionalitäten einer Anwendung werden typischerweise mit dem Fachbereich abgestimmt und in Use Cases (Anwendungsszenarien) erfasst.
Um ein umfassendes Bild für die notwendige Sicherheit der Applikation zu erhalten, empfiehlt es sich auch mit dem Fachbereich abzuklären, welche Szenarien unerwünscht sind. Diese können analog als sognenannte Abuse Cases (Missbrauchsszenarien) dokumentiert werden.
Betrachtet man beispielsweise eine Ausschreibungsplattform mit einem Use Case „Angebotsabgabe“, der beschreibt, wie Anbieter ihre Angebote einstellen können, kann ein zugehöriger Abuse Case „Zugriff auf andere Angebote“ in Verbindung mit den Anbietern wie folgt dokumentiert werden: „Einem Anbieter A soll es nicht möglich sein, Angebote vom Anbieter B einzusehen.“
Solche Abuse Cases liefern aus fachlicher Sicht ein wichtiges Mittel für die Bedrohungs- und Schwachstellenanalyse und dienen auch als Grundlage für die Ausarbeitung des Berechtigungskonzepts als Bestandteil des umfassenden Sicherheitskonzepts.
Seite 3: Sicherheit in den restlichen Entwicklungsphasen
Sicherheit in den restlichen Entwicklungsphasen
Nachdem die Anforderungen ermittelt wurden, muss das Sicherheitskonzept in der Designphase ausgearbeitet und spezifiziert, in der Implementierungsphase umgesetzt und schließlich in der Testphase abschließend geprüft werden. Das Sicherheitskonzept bildet das zentrale Dokument, um sicherzustellen, dass die Sicherheit entlang des gesamten Entwicklungsprozesses angemessen berücksichtigt wird.
In der Designphase werden im Sicherheitskonzept die notwendigen Sicherheitskomponenten und -maßnahmen abgeleitet, die notwendig sind, um die ermittelten Sicherheitsanforderungen zu erfüllen. Dazu ist es notwendig Bedrohungsszenarien und zugehörige Schwachstellen zu identifizieren, die zu einer Nichterfüllung von Anforderungen bzw. zu Schäden führen könnten.
Grundlegende Sicherheitsmaßnahmen sind: Authentisierung, Autorisierung, Eingabevalidierung und Ausgabemaskierung, sichere Übertragung und zugriffsgeschützte Speicherung von Daten, Protokollierung kritischer Ereignisse und Fehlerbehandlung.
Implementierungs- und Testphase
Während der Implementierungsphase spielen Source-Code-Reviews eine entscheidende Rolle. Diese sollten eingesetzt werden, um typische Programmierfehler und Sicherheitselemente, die sich leicht überwinden lassen, zu identifizieren. Diese Maßnahme hilft, sich vor möglichen Fehlern und Sicherheitsschwachstellen im Code zu schützen.
Es wäre jedoch ein Fehler, sich allein auf die Reviews zu verlassen. Besser ist es, die beteiligten Entwickler durch Richtlinien für sicheres Programmieren zu unterstützen und damit die Fehlerquote möglichst niedrig zu halten.
In der Testphase wird die neu entwickelte Software schließlich auf Herz und Nieren überprüft. Dafür stehen zwei verschiedene Testmethoden zur Verfügung: Sicherheits- und Penetrationstests. Mit Hilfe der Sicherheitstests soll bewiesen werden, dass die Applikation sich resistent bei Verstößen gegen die festgelegten Sicherheitsanforderungen verhält. Implementierte Sicherheitsmaßnahmen dürfen nicht umgehbar sein.
Wie bei den fachlichen Tests werden Testfälle definiert, die die Wirksamkeit der Sicherheitsmaßnahmen überprüfen. Hier kommen auch die Abuse Cases aus der Anforderungsanalyse wieder zum Einsatz, aus denen Testfälle abgeleitet werden können.
Seite 4: Penetrationstests
Penetrationstests
Bei einem Penetrationstest geht es darum, Angriffe zu simulieren und die Sicherheit der Applikation abschließend zu prüfen. Damit sollten Personen oder Gruppen betraut werden, die nicht am bisherigen Software-Entwicklungsprozess beteiligt waren.
Durch die Unabhängigkeit, also eine unbefangene Sicht auf die Applikation, wird von neuem versucht, Schwachstellen im gesamten Design der Applikation zu identifizieren. Penetrationstests sollten immer von Experten durchgeführt werden, die über eine langjährige Erfahrung und ein breites Wissen um Angriffstechniken verfügen.
Im Gegensatz zur Designphase kommt es nicht darauf an, konstruktiv für alle Sicherheitsanforderungen geeignete Sicherheitsmaßnahmen zu definieren. Vielmehr sollen die Tester auf destruktive Weise die Schwächen der Applikation herausfinden, indem sie die Widerstandsfähigkeit angenommener Sicherheitsfunktionen testen.
In dieser Testphase kommen spezielle Tools zum Einsatz, die den Datenverkehr analysieren und in geeigneter Weise manipulieren können, z.B. Veränderung von Werten, die durch die Applikation fest vorgegeben werden. Darüber hinaus gibt es Tools, die die Applikation mit einer Vielzahl von zufällig generierten Eingaben bombardieren um die Robustheit und Wirksamkeit der Sicherheitsmaßnahmen testen.
Die fünf Phasen des Penetration Testing
Zum Thema Penetrationstests gibt es auch eine BSI-Studie mit dem Titel „Durchführungskonzept für Penetrationstests“, die als Orientierung sehr nützlich ist. Die Studie beschreibt fünf entscheidende Schritte: Vorbereitung, Informationsbeschaffung und -auswertung (Blackbox/Whitebox), Bewertung der Informationen/Risikoanalyse, aktive Eindringversuche und Analyse.
In der Vorbereitungsphase werden die Testparameter abgesteckt und definiert. Das beinhaltet die folgenden Aspekte: Informationsbasis (Blackbox/Whitebox), Aggressivität (passives Scannen, vorsichtig, systematisch, aggressiv), Umfang (betroffener Bereich), Vorgehensweise (verborgen/sichtbar), Technik (Netzwerkzugriff, andere Kommunikationskanäle, physikalischer Zugriff, Social Engineering) und Ausgangspunkt (extern/intern).
In der Informationsbeschaffungs- und Auswertungsphase gilt es, so viele relevante Informationen wie möglich zusammenzutragen. Hierbei müssen alle Services, Prozesse, die genutzten Geräte und Komponenten, die Netzwerkstruktur, die genutzte Technologie und die Frameworks ermittelt werden. Die gesammelten Informationen werden anschließend zusammengeführt, um potenzielle Schwachstellen und daraus resultierende Angriffsziele für Hacker zu identifizieren. Dazu werden automatisierte und manuelle Methoden, sowie verschiedene Tools verwendet.
Abschließend werden die Ergebnisse mit Hilfe festgelegter Kriterien danach bewertet, wie einfach es für einen Angreifer ist, die jeweilige Schwachstelle zu finden und sie für einen erfolgreichen Angriff zu nutzen. Diese Bewertung soll zu einer objektiven Einschätzung der jeweiligen Bedrohung führen. Als Basis für die Bewertung empfiehlt es sich, einen bewährten Kriterienkatalog wie die Common Methodology for Information Technology Security Evaluation (CEM) zu nutzen.
Die Ergebnisse der gesamten Testphase müssen denen der durchgeführten Softwarerisiko- und Anforderungsanalyse hinzugefügt werden. Nun lässt sich abschätzen, ob weitere Sicherheitsmaßnahmen notwendig sind. Spätestens jetzt zeigt sich, ob das Sicherheitskonzept sorgfältig ausgearbeitet und konsequent durchgeführt worden ist. Wenn ja, dann haben Sie einen großen Schritt dahin gemacht, die neue Applikation sicher zu machen.
Markus Wutzke
Markus Wutzke ist (ISC)²-zertifizierter CSSLP und Experte für sichere Software- und Systementwicklung.
(ID:2046092)
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951819/original.jpg "Julian Totzek-Hallhuber erläutert, was seiner Ansicht nach künftig auf der Agenda von Development-Teams stehen sollte. (Veracode)")
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917436/original.jpg "DevSecOps ist eine Erweiterung des DevOps-Konzepts um Sicherheitsaspekte. (gemeinfrei)")