Anzeige

Cyber Security

Nehmen wir an, das Amt für Wasserversorgung stünde vor einer plötzlichen Krise, die den Aufbau einer neuen Infrastruktur erfordert. Wenn man nun versuchen würde, die damit verbundenen Kosten durch den Wegfall der Wasseraufbereitung zu decken, würden Sie vermutlich am Verstand des Abteilungsleiters zweifeln. Zu Recht.

Wen würde es kümmern, ob die Wasserversorgung aufrechterhalten oder ausgeweitet wird, wenn man das Wasser nicht unbedenklich trinken kann? Sicherheit für Kosteneinsparungen zu opfern, ist nie eine gute Idee.

Trotzdem ist die Denkweise in der digitalen Welt durchaus verbreitet. Dabei können Sie ganz ähnlich argumentieren wie im obigen Beispiel. Nämlich dann, wenn die Unternehmensführung erwägt, das Budget für Tests zur Anwendungssicherheit auszuhöhlen, um Verluste durch die wirtschaftlichen Folgen von großflächigen Shutdowns zu decken. Ja, deren Folgen sind real. Sie erfordern umfangreiche Anpassungen, die niemand je für nötig gehalten hätte. Millionen von Menschen sind arbeitslos geworden, die Wirtschaft schrumpft und Unternehmen müssen erhebliche Kosten einsparen, um zu überleben. Aber um angemessen mit der Situation umzugehen, muss man Prioritäten setzen. Und eine der höchsten Prioritäten sollte der Schutz von Assets sein, die, sollten sie kompromittiert werden, eine noch größere existenzielle Bedrohung für ein Unternehmen darstellen als ein vorübergehender wirtschaftlicher Niedergang es tut. 

Unsichere Software ist gefährlich 

Heutzutage sind Software-Sicherheitstests die digitale Version der Wasserreinigung. Software unterstützt die Anwendungen, die mit internen Systemen und den persönlichen wie finanziellen Daten Ihrer Kunden interagieren. Wenn solche Software nicht strenge Sicherheitstests durchläuft, finden Angreifer die inhärenten Schwachstellen und sind in der Lage geistiges Eigentum zu stehlen, vertrauliche und finanzielle Kundendaten offenzulegen oder die Finanzen des Unternehmens zu plündern.

Das wiederum führt zu einer ganzen Reihe von schwerwiegenden Folgen: die Marke wird beschädigt, es kommt zu Rechtsstreitigkeiten, zum Verlust von Marktanteilen oder zu Sanktionen wegen Nichteinhaltung gesetzlicher Bestimmungen und so weiter. Genug, um ein Unternehmen zu schwächen, das bereits in Schieflage geraten ist.

Riesige Chance für Cyberkriminalität

Die meisten Cyberkriminellen sind finanziell motiviert, und sie beherzigen die inzwischen berühmt gewordene Ermunterung von Rahm Emanuel, dem ehemaligen Bürgermeister von Chicago und Spitzenbeamten der Regierung: "Man darf eine Krise niemals ungenutzt verstreichen lassen. Cyberkriminelle haben sich das nicht zweimal sagen lassen. Das FBI berichtete kürzlich, dass die Zahl der Meldungen an das Internet Crime Complaint Center (IC3) um 300 bis 400 % gestiegen sind, von etwa 1.000 auf 3.000 bis 4.000 pro Tag. Zu den Zielen von Cyberangriffen gehörte auch die Weltgesundheitsorganisation (WHO), die eine Verfünffachung der Angriffe gegen ihre Mitarbeiter und E-Mail-Betrügereien gegen eine breite Öffentlichkeit meldete.

Die Small Business Administration (SBA) der USA meldete eine Sicherheitsverletzung, durch die personenbezogenen Daten von fast 8.000 Geschäftsinhabern offengelegt wurden, die staatliche Katastrophenkredite beantragt hatten. Ärzte und Krankenhäuser und selbst die NASA haben Spitzen bei COVID-19-bezogener Malware und Phishing-Angriffen gemeldet. Die Liste lässt sich beliebig fortsetzen – weltweit. 

Arbeiten von zu Hause vergrößert die Angriffsfläche

Das allein wäre Grund genug, Tests zur Applikationssicherheit eine Priorität beim Budget einzuräumen. Aber es ist nicht der einzige. Mit dem plötzlichen Wechsel zu einer Work-from-home (WFH)-Regelung hat die Angriffsfläche vieler Unternehmen exponentiell zugenommen. In einer Büroumgebung ist es noch vergleichsweise einfach einen gewissen Sicherheitslevel aufrecht zu erhalten. Thomas Richards, Principal Consultant and Red Team Practice Leader bei Synopsys, erwähnte kürzlich, dass ein globales Unternehmen plötzlich vor der Aufgabe stand, Tausende von Notebooks für Mitarbeiter zu beschaffen, die zuvor an Desktops gearbeitet hatten. Neben der Beschaffung der Geräte habe es eine wahnsinnige Hektik gegeben, „diese zu konfigurieren und entsprechende Richtlinien zu entwickeln“ – was der Erfahrung nach fast unweigerlich zu Fehlern führt. 

In der Zwischenzeit waren diese Mitarbeiter, wie so viele andere auch, gezwungen, etliche Dinge online und ohne den gewohnten persönlichen Kontakt zu erledigen, wie etwa die Zusammenarbeit über Videokonferenzplattformen, die ihre ganz eigenen Sicherheitsschwachstellen haben. Ein gefundenes Fressen für Cyberkriminelle.


Das könnte Sie auch interessieren:

Bericht zur Open-Source-Sicherheits- und Risikoanalyse

Synopsys hat den Bericht zur Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2020 veröffentlicht.

Er vermittelt Sicherheits-, Risiko-, Rechts- und Entwicklungs-Teams Einsichten und Empfehlungen, mögliche Risiken hinsichtlich Open-Source-Sicherheit und -Lizenzen besser zu verstehen. 

Download

Deutsch, 39 Seiten, PDF 2,1 MB, kostenlos

 

 

 


Zunehmend komplexe Software erhöht das Risiko

Ein weiterer Grund, warum Tests zur Applikationssicherheit Priorität haben sollten, liegt darin begründet, dass es ebenso schwierig wie wichtig ist moderne Software zu schützen. Wenn man hier alles richtig machen will, muss man konsequent Zeit und Geld investieren. Moderne Software wird immer komplexer, denn sie setzt sich aus Hunderten oder Tausenden von Komponenten (proprietären, Open Source, kommerziellen) zusammen und ist über ein riesiges Netz von Software-Lieferketten miteinander verbunden. Neuere Technologien wie APIs und Microservices, Cloud Computing, Container, serverlose Computer, OSS-Komponenten und Frameworks tun ein Übriges. Viele Unternehmen sind längst nicht so versiert im Testen, Härten und Sichern dieser Technologien wie im Umgang mit Software noch vor einigen Jahren. All das vergrößert die Angriffsfläche.

Nur ein Beispiel: Die schnelle Einführung von White-Label-Integrationen bei Großhändlern wie Costco und Safeway durch Instacarts erreichte durch die Nachfrage nach "Personal Shoppern" eine Spitze von 150 % aufgrund von sogenannten „Shelter-in-Place“-Bestellungen. Hier werden Echtzeit-Lagerbestände mehrerer großer Einzelhandelsketten in eine App übertragen, die von den Verbrauchern durchsucht werden kann. Diese Informationen werden dann mit dem Mobiltelefon eines Instacart-Fahrers verbunden. Das ist mit ein paar Zeilen in Python - oder auch ein paar tausend Zeilen - nicht zu machen. Es erfordert eine enorme Menge an Code, der rigoros getestet werden muss, will man nicht in Gefahr laufen Ziel eines Hackerangriffs zu werden.

Tests für sichere Software-Anwendungen

Getreu dem nun schon bekannten Mantra „Man darf eine Krise niemals ungenutzt verstreichen lassen“ lässt sich die aktuelle Situation aber auch nutzen, um die eigene Wettbewerbsposition zu verbessern. Wenn man Applikationssicherheit in die Arbeit der Produktteams integrieren will, müssen sich sowohl die Prozesse ändern als auch die vorherrschende Unternehmenskultur. Warum also nicht die Umstellung auf Remote Working als Anlass für Veränderungen nehmen und dabei das Gesamtrisiko senken? Dies ist durchaus Teil der Krisenbewältigung und stärkt langfristig die eigene Wettbewerbsfähigkeit. 

Die gute Nachricht ist, dass Tools und Services für sichere Software verfügbar sind, von der statischen Analyse über dynamische bis hin zu interaktiven Sicherheitstests, von der Software Composition Analysis (SCA) bis hin zu Penetrationstests am Ende des Software Development Life Cycle (SDLC). Die Sache hat nur einen Haken. Alle genannten Tools und Dienste sind gleichermaßen wichtig. Kein Tool kann alles. Man kann nicht einfach einen Knopf drücken und zusehen, wie alle Schwachstellen verschwinden. Es braucht Zeit, Expertise, gut ausgebildete Mitarbeiter und Investitionen. Jetzt mehr denn je. 

Taylor Armerding, Synopsys, www.synopsys.com/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cloud Computing
Jun 25, 2020

Drei von vier Unternehmen nutzen Cloud-Computing

Cloud-Computing bleibt auf Wachstumskurs: Drei von vier Unternehmen (76 Prozent) nutzten…
Ransomware
Jun 23, 2020

Resilienz bei Cyberangriffen – Auf das Backup kommt es an

100-prozentige Cybersicherheit gibt es nicht. Im Falle von Bedrohungen wie Ransomware,…
Hacker
Jun 10, 2020

Hacker attackieren Corona-Task-Force

Nachdem Cyberkriminelle bereits die Angst um die aktuelle COVID-19-Pandemie ausnutzen, um…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!