:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Startups im Blickpunkt: Bitinspect Sourcecode unter der Security-Lupe
Immer mehr Unternehmen wollen ihre Dienstleistungen und Angebote Online oder per App ihren Kunden näher bringen. Spätestens wenn dabei personenbezogene Daten gespeichert oder Zahlungstransaktionen abgewickelt werden sollen, ist die Sicherheit der Anwendung ein wichtiger Faktor. Das Darmstädter Security-Startup Bitinspect hilft Unternehmen, die Sicherheit ihrer Webanwendungen und Apps genau unter die Lupe zu nehmen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Security-Insider präsentiert innovative, junge Startup-Unternehmen aus dem deutschsprachigen Raum, die mit neuen Ideen die IT-Sicherheit nach vorn bringen wollen. Eines dieser Startups ist das Darmstädter Security-Startup Bitinspect, das ganz in der Tradition großer Detektive wie Philip Marlow und Sherlock Holmes eine Dienstleistung anbietet, bei der Security-Programmierfehler mit akribischer Detektivarbeit entdeckt werden.
Das junge Unternehmen bietet Analysen von Web-Anwendungen, Mobilen Apps und dem Review von Sicherheitskonzepten in seinem Portfolio an. Ein Service, der mit der zunehmenden Anzahl an Anwendungen und Applikationen, bei denen personenbezogene, vertrauliche oder finanzielle Daten verarbeitet werden, immer wichtiger wird. Denn wer kann sicher sein, dass die eigene Anwendung korrekt, vertrauenswürdig und fehlerfrei programmiert ist?
:quality(80)/images.vogel.de/vogelonline/bdb/1263200/1263226/original.jpg "Die Firmengründer Wladimir Paulsen (links) und Jens Liebau (rechts).")
:quality(80)/images.vogel.de/vogelonline/bdb/1263200/1263227/original.jpg "Bitinspect-Ergebnis: Das Bild zeigt eine durch „Man-in-the-Middle“ abgefangene Interaktion zwischen der App und dem Backend-Server. In der Anfrage (obere Bildhälfte) sieht man die Zeile "XXX-Auth: NoOneCanFindIt". Damit authentifiziert sich die mobile App als legitimer Client gegenüber dem Backend-Server. Dies ist eine sehr SCHLECHTE Umsetzung der Authentifizierung und gehört zur Schwachstellen-Kategorie "M4-Insecure Authentication".")
:quality(80)/images.vogel.de/vogelonline/bdb/1263200/1263228/original.jpg "Bitinspect-Ergebnis: Dieser Screenshot zeigt die dekompilierte Funktion einer Android-App. Damit wird beim Start der Anwendung geprüft, ob das Telefon "gerootet" oder im Entwicklermodus zum Auffinden von Fehlern gestartet wurde. Manche App, die mit sensitiven Daten arbeiten, z.B. Banking-Apps, verweigern die Ausführung unter solchen Bedingungen. Das ist die GUTE (sichere) Programmierung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1263200/1263229/original.jpg "Bitinspect-Ergebnis: Das Bild enthält den Barcode mit einem einfachen Cross-Site-Scripting Angriff, damit würde im schlechtesten Fall beim Benutzer ein Fenster mit dem Inhalt "XSS" aufpoppen. In dem Fall ist es ein klares Zeichen, dass bei der App keinerlei Vorkehrungen zur Filterung der Eingabedaten getroffen wurde! Das wäre ein Zeichen für das SCHLECHTE Verhalten und hätte damit ein Platz bei "M7-Poor Code Quality" der Mobile OWASP Top10.")
Ein besonders interessanter Teil der Startup-Dienstleistungen ist die codebasierte Analyse von Web- und Mobile-Apps, bei der die Experten von Bitinspect den Code der Anwendung analysieren und Fehler in der Programmierung aufdecken. Abhängig vom Projekt, erhält das Team von Bitinspect dazu nur die App (ohne weitere Daten und Hinweise) oder den Sourcecode der Anwendung. Bei mobilen Apps werden derzeit bevorzugt Applikationen für Android oder iOS verifiziert, die auch im deutschsprachigen Markt dominieren. App-Prüfungen für andere mobile Betriebssysteme, wie Windows Mobil oder Blackberry OS, werden vom Kunden nicht nachgefragt.
Je nach Komplexität der App erfolgt eine Überprüfung des Programmcodes auf Security-Fehler in zwei bis 5 Tagen. Bei komplexen Apps nimmt der Aufwand zu.
Zu der eigentlichen Code-Analyse führt Bitinspect im Rahmen eines Projekts noch weitere Tätigkeiten durch:
- Code-Analyse
- + Ermitteln der Risiken durch die Schwachstellen-Ausnutzung
- + Bewerten des Risikos (u.a. via nach OWASP)
- + Handlungsempfehlung zur Härtung bzw. Vermeidung des Risikos (Codekorrektur)
- + Projekt-Bericht
Bei Bedarf bietet Bitinspect auch Schulungen für die Programmier-Teams des Kunden an, um typische Schwachstellen bei der Programmierung von mobilen Apps von vornherein zu vermeiden. Welche Services abgerufen werden, wird im Rahmen eines Projektmeetings festgelegt. Der einheitliche Satz beträgt 1500 Euro pro Manntag.
Schwachstelle Programmierung
Sicherheit ist heute durchaus ein Aspekt bei der Programmierung, der immer öfter in den Anforderungskatalogen auftauchen. Aber trotz semi-intelligenter Compiler, Sourcecode-Verwaltung und Tools, zur Überprüfung der Typsicherheit, für die Erkennung von Speicherkonflikten, der Verifizierung von Eingaben (Magic Quotes bei PHP etc.) sind Programmierfehler unvermeidbar.
:quality(80)/images.vogel.de/vogelonline/bdb/1218700/1218726/original.jpg "4strat bietet Unternehmen mit seinem Tool „Foresight Strategy Cockpit“ ein Planungstool für aktuelle und mögliche zukünftige IT Security-Risiken. (snyGGG - Fotolia.com)")
Security-Startups im Blickpunkt: 4strat
Risikobewertung für IT-Sicherheit mit Plan
Bei „normalen Programmierfehlern“ – etwa eine zu geringe Loop-Angabe für eine Programmschleife oder eine falsche Entscheidungsverzweigung sind drei Fehler je 1000 Programmzeilen ein akzeptabler Wert. Angestrebt wird aber ein Fehlerwert von < 0,5 Fehler/1000 Programmzeilen, was eine recht hohe Messlatte ist!
Security-Fehler sollten hingegen gar nicht auftreten, denn diese können desaströse Auswirkungen haben. Aber seit Programmierer aus Zeitgründen immer öfter auf vorgefertigte Open-Source-Codeelemente zurückgreifen und Ausbildungsplänen für Programmierer gekürzt werden, während der starke Druck durch preiswerte Programmierer aus dem Ausland wächst, ist die Software-Entwicklung nicht einfacher geworden! Es gibt mehrere Normen, die sich mit der sicheren Programmierung beschäftigen (siehe auch ISO 27034), aber im täglichen „Business First“, hat Security oft einen zweitrangigen Charakter. Das dies zu normalen Fehlern und leider auch zu Security-Fehlern führen kann ist tägliche Realität. Wenn eine Kochrezepte-App, bei Abruf der Zutaten für einen „Apfelkuchen“ hängen bleibt, ist dies ärgerlich, aber nicht weiter tragisch. Werden aber Gebühren für das Kochrezept abgebucht und ein Hänger oder Security-Fehler tritt auf, kann dies teuer werden - für den Kunden und/oder den Anbieter! Bei derartigen Apps – egal ob im Web oder Mobil, macht daher eine Security-Analyse durchaus Sinn.
So arbeitet Bitinspect
Bestimmt wird dies durch die Art der App, dem genutzten OS, den Software-Komponenten der Programmiersprache, dem Backend-System(en) und anderen Einflussfaktoren.
Nach einer Aufnahme der Basisdaten, werden die weiteren Schritte mit dem Auftraggeber abgeklärt und den Umfang der „bit-Schnüffelei“ zu definieren. Danach beginnt Bitinspect mit der eigentlichen Analyse.
Zunächst wird dabei die App selbst analysiert (beispielsweise bezüglich der Annahme von Userdaten) und dann die Kommunikation mit dem Backend (z.B. Transfer von Login-Informationen). Diese Analyse basiert primär auf der Expertise des Testers und seinen Fähigkeiten, Code zu interpretieren und typische Schwachstellen in Programmiersprachen und Bibliotheken zu kennen. Aber auch der „OWASP Testing Guide“ wird als Framework miteinbezogen. Auf der Webseite des „The Open Web Application Security Project (OWASP)“ sind die identifizierten Problemstellungen aufgelistet die man zur Security-Kontrolle nutzen kann. Typische Elemente, die geprüft werden, sind beispielsweise:
- Programmierung: Werden die vorhandenen Sicherheitsmechanismen der mobilen Plattform genutzt?
- Serverinfrastruktur: Aktualität die Versionen der eingesetzten Komponenten
- Authentifizierung: Wie wird die Benutzer-ID übertragen?
- Sitzungsverhalten: Wird eine Sitzung sauber beendet?
- Informationsabfluss: Welche Informationen enthalten die Fehlerlogs?
- Eingabevalidierung: Ist es möglich mit Benutzereingaben eigenen Code auszuführen?
- Transport: Werden u.a. veraltete Protokolle eingesetzt?
Auch wenn viele Security-Features durch Compiler, genormte Code-Fragmente und Bibliotheken als sicher gelten, betritt man doch mit jeder Programmierung immer wieder Neuland und geht damit das Risiko ein, Schwachstellen zu implementieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1244700/1244722/original.jpg "Net Wächter will für KMU und Enterprise passenden, proaktiven Webseitenschutz und -überwachung aus einer Hand liefern. (alphaspirit - Fotolia.com)")
Security-Startups im Blickpunkt: Net Wächter
Proaktiver Webseitenschutz aus einer Hand!
Bei der Entwicklung von komplexen Anwendungen muss man von vornherein davon ausgehen, dass immer irgendwo Security-Probleme versteckt sind und wie ein U-Boot überraschend auftauchen können. Kritisch sind hierbei „Security-Fehler“, die über die Zeit entstehen. Klassisches Beispiel dafür TLS-Verschlüsselung zwischen Applikation und Web-Server. Ehemals sichere Verschlüsselungen wie RC4 sind inzwischen als unsicher, werden aber immer noch von Produkten unterstützt und akzeptiert.
Die Identifikation von „normalen“ Programmierfehlern obliegt dem Kunden, denn Bitinspect führt keinen UAT (User-Acceptance Test) durch und auch keine forensischen Analysen falls eine App in einem definierten Umfeld nicht funktioniert. Bitinspect sucht nach Security-Fehlern im Sourcecode, welche die App oder die Interaktion mit dem Backend betreffen. Am Ende der Tests erstellt Bitinspect einen entsprechenden Report für den Auftraggeber und bespricht die gefundenen Security-Fehler im Code. Wie ein solcher Ergebnisreport für eine einfache mobile App gestaltet ist, zeigt der am Ende des Artikels verlinkte Beispiel-Report im PDF-Format.
Geschäftsnutzen
Der Geschäftsnutzen eines solchen Service liegt auf der Hand. Jeder Fehler im täglichen Betrieb, kann zu Umsatzeinbußen, Kundenärger oder auch Schlagzeilen in der Presse führen wie „App XYZ erlaubt Einsichtnahme in fremde Bestellvorgänge“. Alles Themen, die man vermeiden möchte. Ein UAT deckt in der Regel grobe Fehler auf, aber eine Code-Verifikation auf Security-Verstöße und -Probleme sorgt für eine sichere Nutzung der Anwendung.
Firmen gehen heute vermehrt dazu über, ihre IT gegen Hacker- und Malware-Attacken zu versichern. Die Bitinspect-Dienstleistung ist ebenso eine Versicherung. Eine Versicherung, gegen Security-Programmierfehler.
Sicherlich gibt es Tools, die den Sourcecode einer Anwendung auf (Security-)Fehler analysieren, aber diese Tools agieren meist statisch und weitestgehend ohne Einfühlungsvermögen und der Erfahrung eines menschlichen Experten!
Empfehlung
Wer bereits Security-Probleme mit seinen Anwendungen hatte oder plant, eine neue Applikation auf dem Markt zu etablieren, sollte in Erwägung ziehen, einmal ein Gespräch mit Bitinspect zu führen. Denn ein vorab beseitigter Security-Fehler ist preisgünstiger, als jeder der erst beim Anwender entdeckt wird.
Bitinspect ist auch im 2. Halbjahr auf verschiedenen Veranstaltungen in Darmstadt vertreten. Wer Gelegenheit hat, kann sich dort selbst einen Eindruck von der der Arbeitsweise und dem Serviceangebot verschaffen. Beispielsweise beim 17. Cyber-Sicherheits-Tag mit dem Leitthema "Cyber-Sicherheit in der mobilen Kommunikation" am 1. September im Darmstadt und bei "Handel trifft IT" am 25. September bei der IHK Darmstadt.
| Bitinspect auf einen Blick | |
|---|---|
| Name | Bitinspect |
| Webseite | https://bitinspect.de |
| Geschäftsform | GmbH |
| Standort | Darmstadt |
| Gründungszeitpunkt | 01.07.2015 |
| Geschäftsführer | Jens Liebau, Wladimir Paulsen |
| Anzahl Mitarbeiter | 4 |
| Security-Sparte | Pentests/Sicherheitsanalyse von Web und Mobile Apps |
| Produkt | Netzwerk-/Web-/App-Sicherheitsanalyse mit standardisierter Verifizierung, Security-Beratung |
| Innovation | Sicherheitsanalyse für mobile Apps durch erfahrene Experten bzgl. Security-Fehlern |
| Unternehmens-Blog | https://bitinspect.de/blog/ |
| Investitionen möglich | Nein |
| Startfinanzierung / Umsatz letztes Jahr | keine / 70.000 Euro |
Artikelfiles und Artikellinks
(ID:44808376)
:quality(80)/p7i.vogel.de/wcms/93/17/9317d267541ee976360693c7c7ec267c/0114633338.jpeg "Die wichtigste Rolle beim API-Schutz fällt nach wie vor den Entwicklern zu, denn Security-Lösungen können immer nur ein beschränktes Spektrum an Sicherheitsproblemen lösen. (Bild: Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/ff/4bffe00ab0372d5344ebd5d27bb02df3/0108980699.jpeg "In einer Zeit, in der die Cybersicherheit zum entscheidenden Thema geworden ist, sind APIs oft das schwächste Glied in IT-Systemen. (Bild: Murrstock - stock.adobe.com)")