Security Engineering und Secure Development Lifecycles: Wie kann man Sicherheit von Anfang an und ganzheitlich berücksichtigen?

Das Thema IT-Sicherheit ist äußerst komplex. Außerdem ist Sicherheit kein Feature, das am Ende eines Projektes – egal ob ein Softwareentwicklungs- oder ein Infrastrukturprojekt – „drangeklebt“ werden kann. Sicherheit ist eine Eigenschaft eines Systems und sollte daher über die gesamte Dauer eines Projektes berücksichtigt werden: Von der initialen Design- und Konzeptphase über die Entwicklungsphase bis zum Produktivbetrieb und darüber hinaus.

Das Feld des Security Engineering beschäftigt sich damit, wie Sicherheit bei der Entwicklung von Software und Systemen gebührend berücksichtigt werden kann. Sogenannte Secure Development Lifecycle-Modelle geben dabei einen Rahmen vor, welche Aktivitäten in welcher Projektphase üblicherweise durchgeführt werden sollten, um ein gutes Sicherheitsniveau für das fertige System zu erreichen.

In diesem Blogpost gehen wir darauf ein, welche Aktivitäten in der jeweiligen Phase üblicherweise durchgeführt werden sollten. Wir […]

Von |2021-06-10T12:13:08+02:009. Juni 2021|
Weiterlesen

Penetration Testing im agilen Entwicklungsprozess

Immer mehr Software wird nach agilen Prozessen (z.B. Scrum) und in kleinen Iterationen (Sprints) sukzessive (weiter-)entwickelt. Dies hilft zwar dabei, Software schneller auf den Markt zu bringen und an neue Marktanforderungen anzupassen, stellt aber das Thema Sicherheit und Sicherheitstests vor eine große Herausforderung. Wenn sich Software regelmäßig, schnell und umfangreich ändert oder sie oft erweitert wird, wie kann man dann Sicherheitstests bzw. Penetrationstests in den Entwicklungsprozess integrieren? Wie kann man Sicherheit trotz steter Änderungen auf hohem Niveau halten? Wie oft sollte man testen und in welchem Umfang? Um diese Fragen zu klären, geben wir in diesem Blog-Artikel einen Überblick über das komplexe Thema „Sicherheitstests im agilen Software-Entwicklungsprozess“.

Vorgehensweise: Mischung aus vollständigen und inkrementellen Penetrationstests

Penetrationstests sind in der modernen Softwareentwicklung eine unabdingbare Maßnahme, um Sicherheitsrisiken für Systeme, […]

Von |2021-06-10T12:16:31+02:001. Juni 2021|
Weiterlesen

IT-Sicherheit in der Cloud

Der Trend der letzten Jahre, immer mehr Anwendungen und Daten in die Cloud zu verschieben und dort zu verarbeiten, geht natürlich auch an der IT Security Branche nicht spurlos vorbei. Jedoch war die Cloud bisher für die meisten fachlich und technisch für diese Anwendungen und Daten Verantwortlichen maximal eine Spielwiese. Zusätzlich ist gerade dem Management meist nicht bewusst, dass jemand, der viel Erfahrung in klassischer on-premise-Administration von Systemen hat, diese nicht zwangsweise auch eins zu eins in die Cloud-Welt übertragen kann. Gerade aus Sicherheitssicht, sowohl technischer als auch organisatorischer Natur, ergeben sich viele neue Abhängigkeiten und Anforderungen, die in einem klassischen Umfeld nicht gegeben wären.

Wenn es um IT-Sicherheit in der Cloud geht, ist der erste Gedanke bei vielen: „Darum kümmert sich doch jetzt der Cloud-Anbieter?“ […]

Von |2021-06-10T12:11:17+02:0028. Mai 2021|
Weiterlesen

Sicherheitsstandards, Normen und Kataloge für IoT und IIoT Security

Die Sicherheit von Geräten, die den Bereichen IoT (Internet of Things) oder IIoT (Industrial Internet of Things) zugeordnet werden, wird für eine steigende Zahl von Unternehmen immer wichtiger: Die Verschmelzung von IT und Netzwerken mit OT (Operational Technology) bedeutet, dass sich IT-Sicherheitsrisiken auch auf Produktionsanlagen und ganz generell auf die physische Welt auswirken können. Dies kann zu großen finanziellen Schäden oder sogar gesundheitlichen Gefahren für Menschen führen. Im privaten Umfeld können unsichere IoT-Geräte Angreifern als Einstiegspunkt ins Heimnetzwerk dienen oder dazu, die Bewohner in ihren privaten Räumlichkeiten zu überwachen. Folglich ist die Sicherheit von IoT und IIoT von großer Wichtigkeit: Für private Anwender, Unternehmer und für die Hersteller dieser Geräte.

IoT- und IIoT-Sicherheit ist aber auch ein kompliziertes Thema, bei dem viele Dinge beachtet werden müssen. […]

Von |2021-06-10T12:18:10+02:0014. Mai 2021|
Weiterlesen

Keylogging mal anders: wdigest & tspkg

In einem Red Team Assessment kommt es häufig vor, dass man Administratorrechte auf einem einzelnen Windows-Server erlangt. Meistens geschieht dies durch Kompromittieren der Zugangsdaten eines Administrators des Servers, aber auch ein veraltetes Betriebssystem oder eine Sicherheitslücke in einer Anwendung auf dem Server sind häufige Gründe. Zunächst einmal ein kleiner Erfolg für uns als simulierte Angreifer (also Red Teamer), der uns aber nicht notwendigerweise weiter bringt auf unserem Weg zu kritischen Funktionen des Zielunternehmens. Nach der initialen Überprüfung der defensiven Kapazitäten des Server (also Identifizierung der Antiviren- und EDR-Systeme sowie der aktiven Härtungsmaßnahmen wie AppLocker oder Constrained Language Mode) erfolgt als nächstes das „Looting“ des Servers, also das Suchen nach für uns wertvollen Informationen. Ob nun das Auslesen von Zugangsdaten aus dem Arbeitsspeicher mit Mimikatz […]

Von |2021-04-14T16:20:33+02:0013. April 2021|
Weiterlesen

IT-Sicherheit im Homeschooling

In der Coronakrise ist der Heimunterricht quasi über Nacht verpflichtend geworden. Während vor der Krise nur ein paar hundert Kinder deutschlandweit von Zuhause unterrichtet wurden, sind Schulen nun teilweise komplett geschlossen oder betreiben einen Notunterricht auf Sparflamme. Der Unterschied zum traditionellen Heimunterricht ist, dass die Lehrer nach wie vor die Kinder beschulen, allerdings aus der Ferne bzw. remote über das Internet.

Da die Inhalte nun nicht mehr analog im Klassenzimmer übertragen werden, sondern digital über das Internet ins Kinderzimmer, ergeben sich ganz neue Gefahren für die Schüler. Angefangen beim Datenschutz und der Problematik der Speicherung von persönlichen Daten bei US-Amerikanischen Clouddiensten über digitale Übergriffe beim „Cybergrooming“. Aber die Gefahr kann sich auch intern ergeben, wie der Fall eines 14 Jahre alten Schülers einer Mittelstufe im Oberallgäu […]

Von |2021-03-18T18:40:15+01:0018. März 2021|
Weiterlesen

Kritische Schwachstellen gefunden? Klar – der Admin ist schuld!?! Ein Erklärungsversuch fürs Management… und Hilfe zur Selbsthilfe für Administratoren

Nach vielen unserer Tests werden wir vom Management gefragt: Hätte das unser Admin nicht merken müssen? Wie kann es denn sein, dass diese Lücke übersehen worden ist?

Die einfache Antwort auf die erste Frage lautet meist: NEIN!

Die Antwort auf die zweite Frage will ich hier kurz in diesem Beitrag erörtern.

Aus den folgenden Gründen sollte man den Admin nicht gleich pauschal für die Situation verantwortlich machen:

  1. Gewachsene Strukturen mit derselben Personaldecke – die meist typische chronische Unterbesetzung
  2. Extrem schnelle Entwicklungszyklen in der Technik – was gestern noch Sicherheit geboten hat ist heute vielleicht schon nicht mehr aktuell
  3. Neue Herausforderungen durch die Einbindung der Produktionstechnik in die IT, auch hier ist Spezialwissen gefragt
  4. Oder noch schöner – die Gebäudetechnik kommt auch noch mit dazu
  5. Extrem heterogene Landschaft bestehend […]
Von |2021-03-16T14:25:48+01:0021. Januar 2021|
Weiterlesen

Aufwände richtig einschätzen und vergleichen – Wie finde ich einen geeigneten Anbieter

Jeder gute Kaufmann sollte sich verschiedene Angebote einholen und natürlich vergleichen. Das ist auch richtig. Problematisch wird es nur, wenn die Aufwände unterschiedlich eingeschätzt werden. Oder die Leistungen nicht miteinander vergleichbar sind.

Daher hier mal ein Vorschlag für eine mögliche Herangehensweise bei der Auswahl des Pentest oder Red Teaming Dienstleisters:

  1. Lassen Sie sich Referenzen an die Hand geben – am besten aus derselben Branche in der Sie tätig sind.
  2. Fragen Sie nach den Zertifizierungen der Mitarbeiter – und zwar bei den Mitarbeitern, die auch Ihr Projekt umsetzen sollen.
  3. Lassen Sie sich erklären warum es Unterschiede vom einen zum anderen Angebot gibt – klingt dies für Sie nachvollziehbar?
  4. Klären Sie ab, ob der Anbieter Ihr Projekt mit festen oder freien Mitarbeitern bearbeitet.
  5. Ebenso ist es wichtig sich […]
Von |2021-03-16T14:24:14+01:0012. Januar 2021|
Weiterlesen

Der Solarwinds Hack – Eine Blaupause für Red Teams?

Der Solarwinds Hack ist in aller Munde, aber was so richtig passiert ist, wird aus den aktuellen Pressemeldungen oft nicht klar. Es fallen Begriffe wie „Advanced“ oder besonders guter „Operational Security“ (OPSEC). In diesem Artikel wollen wir ein paar interessante Einblicke geben und Quellen mit weiterführenden Informationen nennen, auch wenn dies bei der Komplexität des Themas sicher nicht vollumfänglich möglich ist. Die Attribution des Angriffs, wer jetzt wen mit welchen Interessen angegriffen hat, wollen wir aufgrund der Komplexität den Behörden überlassen.

Nun aber von vorne, was ist überhaupt passiert. Es wurde die IT-Firma SolarWinds Inc. kompromittiert und in deren Produkt die „Orion Plattform“ eine Hintertür eingebaut. Diese Software wird für die Überwachung von Netzwerken genutzt. Unter anderem sind wohl Funktionen der Plattform wie etwa „Network Performance […]

Von |2021-03-26T13:00:29+01:0022. Dezember 2020|
Weiterlesen

Der Penetrationstest – darum ist er für Unternehmer und Geschäftsführer wichtig

Die Sicherheit von IT-Systemen wird zu einem immer wichtigeren Thema. Die Anzahl der Cyber-Bedrohungen nimmt stetig zu. Gleichzeitig wenden Kriminelle immer raffiniertere Methoden an. In diesem Zusammenhang thematisieren wir im Blog die Geschäftsführerhaftung.

Die Geschäftsführerhaftung – wie sieht die Rechtslage aus?

Unter der Geschäftsführerhaftung sind die Situationen zusammengefasst, in denen der Geschäftsführer eines Unternehmens aufgrund von Pflichtverletzungen rechtlich belangt werden kann. Lange Zeit bezog sich die Haftung primär auf steuerliche Verletzungen und Untreue. Mittlerweile sind jedoch Datenschutzverletzungen bei der Geschäftsführerhaftung zu einem wichtigen Thema geworden.
Vor allem hat die 2018 in Kraft getretene Datenschutzgrundverordnung der Europäischen Union, kurz DSGVO, die Situation verschärft. Hier ist klar festgelegt, dass Unternehmen für Verletzungen bei Datenschutzrichtlinien haftbar sind. In der Praxis bedeutet dies für eine GmbH und Kapitalgesellschaften im Allgemeinen, dass der […]

Von |2021-03-22T15:48:02+01:0018. Dezember 2020|
Weiterlesen
© 2021 - NSIDE ATTACK LOGIC GmbH
Nach oben