Blogpost vom 06. Dezember 2021
Ganzheitliche IT Security mit Micromata
Allein in Deutschland lag die Anzahl der Opfer von Hackerangriffen im Jahr 2019 bei 17,7 Millionen Fällen, der finanzielle Schaden bei 100 Milliarden Euro. Heute, zwei Jahre später, liegen zwar noch keine offiziellen Zahlen vor, die Lage dürfte aber weiterhin ernst sein.
Es ist also nicht nur Vorsicht geboten, sondern Vorsorge. Es reicht nicht mehr aus, sichere Verbindungen herzustellen und Antivirensoftware zu installieren. Auch die Verschlüsselung von Daten bietet allein keinen ausreichenden Schutz. Vielmehr muss IT-Security heute ganzheitlich gedacht sein – als erklärtes Ziel und integraler Baustein jedes einzelnen Software-Projektes – von Anfang an, entlang des gesamten Software-Life-Cycles.
Reputation und Markterfolg
Denn IT-Sicherheit zahlt sich unmittelbar auf die Reputation von Unternehmen aus. Wer seine Systeme zu schützen weiß, schützt auch deren Nutzer: Mitarbeiter, Partner, Kunden. Wer deren Daten „verliert“, verliert auch deren Vertrauen in die eigene digitale Kompetenz.
Um fair zu bleiben: Letzte Gewissheit bzw. ultimative Sicherheit gibt es nicht. Wir alle können Zielscheibe solcher Angriffe werden. Was es aber gibt, ist die Verantwortung, hohe Sicherheitsstandards zu setzen und den Erfolg von Cyberattacken möglichst unwahrscheinlich zu machen bzw. deren Schaden auf ein Minimum zu reduzieren.
Wir bei Micromata stehen für einen holistischen Sicherheitsansatz – von A wie Anforderungsanalyse bis Z wie ein zukunftsfähiges Security-Konzept. Die wiederholte Zertifizierung durch den Verband der Automobilindustrie (VDA) bestätigt uns in diesem Kurs:
TISAX
Das TISAX-Zertifikat des VDA basiert auf einem verbindlichen Kriterienkatalog, der auf Grundlage der Industrienorm ISO/IEC 27001 entwickelt wurde. Der TISAX-Zertifizierung geht eine Inspektion durch eine Prüfstelle voraus, die dafür von der European Network Exchange Association, dem Verbund Europäischer Automobilhersteller, -Zulieferer und Verbände, akkreditiert wurde.
Geprüft wird neben der Sicherheit der eingesetzten Tools und Technologien auch die genutzte Infrastruktur und Hardware sowie die operativen Prozesse, die Handlungsfähigkeit im Angriffsfall und das Verhalten der Mitarbeiter (Security Compliance/Policy, Sicherheitsschulungen etc.)
Was wir tun, um die hohen Security Standards von TISAX auch in Projekten für andere Branchen sicherzustellen, wird im Folgenden kurz umrissen.
Best Practices
Von allen Sicherheitslücken gelten SQL Injections als die häufigsten und gefährlichsten, doch auch NoSQL Injections, CSRF und Brute-Force-Attacken sind reale Bedrohungen für Webanwendungen im Netz. Um diesen zu begegnen, härten wir unsere Infrastruktur mithilfe erprobter Best Practices, die für jedes Szenario maßgeschneidert sind. Dabei spielen neben den Standards der jeweiligen Kunden auch die Empfehlungen des OWASP eine Rolle, die weltweit führend bei der Identifikation und Beseitigung von Sicherheitslücken sind.
Pentesting
Wir können gar nicht deutlich genug betonen, wie wichtig ein professionelles Pentesting ist. Je nach Business Case des Kunden kann dies ganz individuell zugeschnitten werden. Unser Know-how reicht dabei von der Implementierung einer validen Testumgebung über klassische Black- und Whiteboxanalysen bzw. Analysen des Softwarecodes bis hin zu praktischen Handlungsempfehlungen zur schnellen Schließung von Sicherheitslücken. Ob die Tests automatisiert oder manuell durchgeführt werden, hängt vom jeweiligen Auftrag ab und kann gemischt sein. In jedem Fall wird die Sicherheit von Webanwendungen durch ein sorgfältiges Pentesting deutlich erhöht.
Safety by Design
Auch ein gutes Nutzungsdesign kann nachweislich zur Datensicherheit in Webanwendungen beitragen – insbesondere im Hinblick auf die Authentifizierung. Bei aller Verantwortung des Einzelnen für ein sicheres Verhalten im Netz, spricht es durchaus für eine gute Kundenorientierung, die Nutzer:innen nicht völlig damit allein zu lassen.
Denn wie die Erfahrung zeigt, ist es von der Einsicht in die Notwendigkeit bis zur praktischen Umsetzung sicherer Routinen ein langer Weg – wenn dieser denn überhaupt eingeschlagen wird.
Hier ein paar Beispiele, was Webanbieter für die Sicherheit ihrer Kundschaft tun können – zumindest so lange das Passwort-Zeitalter noch andauert. Ob und welchem Umfang wir dies umsetzen, hängt vom Wunsch des jeweiligen Kunden ab, möglich ist es aber immer:
- Passwörter als Hashes zu speichern ist heute selbstverständlich (1)
- Passwort-Generator ins Registrierungsformular integrieren (2)
- Passwort bei jeder Anmeldung automatisiert auf Leaks überprüfen (3)
- Auf Single-Sign-On grundsätzlich verzichten (4)
- Multi-Faktor-Identifizierung als verbindlichen Standard festlegen (5)
- Sinnvolle Sicherheitsabfragen stellen od. durch vertrauenswürdige Faktoren ersetzen (6)
- Automatisierte E-Mails durch sichere Alternativen ersetzen (7)
Die gute Nachricht: Das Passwort-Zeitalter neigt sich seinem Ende entgegen. Auch wir erproben heute schon Ansätze, wie künftig darauf verzichtet werden kann. So gibt es bereits vielversprechende Lösungen wie die WebAuthn-API als Teil der FIDO2-Spezifikationen. Dazu werden Sie künftig noch von uns hören.
(1) So sind sie besser vor Leaks geschützt.
(2) Ist die Nutzung freiwillig, wird sie eine Seltenheit bleiben.
(3) z. B. mithilfe von Datenbanken auf Basis von haveibeenpwned.de. Falls ein Leak vorliegt, dann automatisierte Rückmeldung an die/den Betroffene:n.
(4) Auch wenn die Optionen „Mit Google oder Facebook anmelden“ attraktiv für den Anbieter und bequem für den Nutzer ist, gibt letzter damit den Generalschlüssel für mehrere Accounts aus der Hand.
(5) Noch immer hat sich ZFA nicht flächendeckend durchgesetzt.
(6) Der Name des Haustiers od. das Geburtsdatum sind etwa bei Doxing-Angriffen viel zu leicht zu erraten.
(7) Gefälschte und verseuchte E-Mail sind die Haupteinfallstore für Phishing und Co. Wer sicher gehen will, verzichtet darauf.
IT Security Team
Das IT-Security-Team von Micromata dürfte den meisten unserer Leser bekannt sein: Es sorgt dafür, dass wir uns stets am Puls der security-technischen Entwicklung bewegen. Dazu beobachten sie nicht nur ständig die Entwicklung der Sicherheitslage im Netz mithilfe der einschlägigen OWASP-Publikationen, sondern wählen auch passende Instrumente zur Vermeidung und Schließung von Sicherheitslücken, führen Schulungen für Kunden und Mitarbeiter durch und kümmern sich um die Zertifizierungen auf diesem Gebiet.
IT-Security Champions
Um das IT-Security-Team in seiner Arbeit zu unterstützen, gibt es seit 2019 in jedem Projektteam so genannte Security Champions, die unser Security-Know-how noch effizienter in den Teams verankern – seien dies bestimmte Vorgehensweisen bei der Programmierung, Prüfung und Auswahl konkreter Technologien oder die Beratung unserer Kunden zur Sache. Da sie unmittelbar in den Projekten tätig sind, können sie mögliche Incidents zudem schneller erkennen und die Reaktionszeit weiter signifikant verkürzen.
IT Security Meetup Kassel
Das IT Security Meetup Kassel ist ein Netzwerk von Experten und Interessierten zum Thema IT-Sicherheit. Eingeladen sind alle, die sich beruflich oder aus persönlichem Interesse mit Fragen der IT-Sicherheit auseinandersetzen und in einen fachlichen Austausch mit Gleichgesinnten treten wollen. Seit seiner Gründung hat sich das ITSMKS zu einer Institution mit internationalen Speakern und Publikum entwickelt, von deren lebendigem Know-how-Transfer auch unsere Kunden profitieren. Micromata hat das ITSMKS 2016 mit ins Leben gerufen und ist seither dessen Gastgeber.
Fazit
Wer in die Sicherheit von Software investiert, investiert in das Vertrauen von Kundinnen und Kunden. Als Digitalisierungspartner mit langjähriger Expertise im Bereich IT-Security empfehlen wir eine Trilogie aus 1. der Sicherheit und Sicherung aller verwendeten Hard- und Softwarebestandteile, 2. die Unterstützung der Nutzerinnen und Nutzer mit sinnvollen Voreinstellungen, etwa bei der Authentifizierung, und 3. die ständige Beobachtung der Gefahrenlage im Netz inkl. Schaffung eines entsprechenden Bewusstseins und Verhaltens im eigenen Unternehmen. Wir beraten Sie gern!