Es gibt zwei Arten von Organisationen – solche, die Gewissenhaft auf Cyber-Sicherheit achten und solche, die es noch machen werden.
Das Investieren in Cyber-Sicherheit ist gleichzustellen mit dem Kauf einer Lebensversicherung. Man kann die Vorteile nicht sehen, bevor ein ernsthaftes Problem auftaucht.
Manchen Unternehmen und Individuen erscheinen Gefahren bezüglich Cyber-Sicherheit als abstrakt und weit entfernt. Sie denken, dass andere vielleicht getroffen werden können, aber dass ihr eigenes Produkt schon irgendwie sicher bleiben wird. Aber das ist ein Irrtum.
Die Anzahl und Raffiniertheit der Angriffe wächst immer weiter, genauso wie die Kosten jedes Verstoßes. Und dann kommen noch die nicht materiellen Kosten dazu, wenn Sie ihr Marken-Image verlieren. Man sagt ja, dass es nichts Besseres gäbe als aus Erfahrung zu lernen, doch in diesem Fall ist es viel besser, aus den Erfahrungen von anderen zu lernen als von Ihren eigenen.
Cyber-Kriminalität – die Gefahr ist groß
Cyber-Sicherheitsgefahren steigen zusammen mit dem exponentiellen Wachstum von Vernetzungsgrad und Netzwerkbreite. Das Internet ist keine persönliche Gemeinschaft voller Vertrauen und Respekt. Mehr als je zuvor sind wir – in egal welcher Branche und egal welcher Unternehmensgröße – verletzlich gegenüber Angriffen, egal ob Sie es glauben oder sich dazu entscheiden, es zu ignorieren.
Auch wenn viele Unternehmen und Individuen sich nicht als Ziele sehen, ist die Gefahr trotzdem groß. Laut „Privacy Rights“, waren seit 2005 mehr als 10 Milliarden Dokumente betroffen. Die Unternehmen litten unter den Konsequenzen, darunter die Gefährdung personenbezogener Daten, u.a. Namen, Adressen, E-Mails, Geburtsdaten oder Telefonnummern von Kunden, was den Unternehmen Milliarden von Dollars kostete und ihren Ruf komplett zerstörte.
Wann sollten Sie über Cyber-Sicherheit nachdenken?
Unternehmen, denen ein grundlegendes Verständnis für die Risiken von Cyber-Kriminalität fehlt, sind besonders gefährdet. Um Ihr Unternehmen zu unterstützen, machen Sie sich mit dem Fragebogen zu Sicherheitsanforderungen vertraut, welches im Microsoft Security Development Lifecycle (MSDL) enthalten ist, einem branchenführenden Prozess zur Software-Security-Sicherung.
Schauen Sie sich an, für welche Produkte und Dienstleistungen laut Microsoft im Speziellen der MSDL Prozess eingeführt werden sollte:
- ‘Jegliche Software-Release, die üblicherweise in allen Organisationen verwendet wird, wie z.B. in einer Business-Organisation, einer Regierung oder einer gemeinnützigen Agentur.
- Jegliche Software-Release, die regelmäßig persönlich identifizierbare oder andere empfindliche Informationen speichert, verarbeitet oder kommuniziert. Ein Beispiel dafür wären finanzielle oder medizinische Informationen.
- Jegliches Software-Produkt oder jegliche Software-Dienstleistung, die auf Kinder (13 Jahre und jünger) abzielt oder für diese attraktiv ist.
- Jegliche Software-Release, die regelmäßig Verbindung zum Internet oder zu anderen Netzwerken herstellt. Solche Software kann so gestaltet sein, dass sie auf verschiedene Arten Kontakt herstellen könnte, wie z.B.:
- Immer online. Dienstleistungen durch ein Produkt, das eine Präsenz im Internet beinhaltet.
- Gestaltet, um online zu sein. Browser- oder Mail-Anwendungen, welche auf der Funktionalität des Internets basieren.
- Offen online. Komponenten, die regelmäßig durch andere Produkte, die mit dem Internet interagieren, aufgerufen werden können.
- Jegliche Software-Release, die automatisch neue Updates herunterlädt. Jegliche Software-Release, die Daten einer nicht beglaubigten Quelle akzeptiert und/oder verarbeitet.
- Jegliche Software-Release, die ActiveX-Kontrollen beinhaltet.
- Jegliche Software-Release, die COM-Kontrollen beinhaltet.‘
Wenn einer der oben genannten Punkte auf ihre Produkte oder Dienstleistungen zutrifft, sollten Sie einen besonderen Wert auf Cyber-Sicherheit legen.
Wo soll man anfangen?
Zuerst bräuchten Sie eine solide Analyse von System-Sicherheitsanforderungen, was in dem Etablieren von Sicherheitsanforderungen für Ihr Projekt resultieren sollte. Diese Anforderungen sollten auf wohlbekannten und akzeptablen Standards basieren, wie zum Beispiel OWASP Application Security Verification Standard Level 2, sowie auf rechtlichen Anforderungen und den Unternehmens-Richtlinien bezüglich Datensicherheit. Auch sollte es jegliche Business-Anforderungen und die aktuelle Systemarchitektur und –einschränkungen beinhalten.
Abgesehen von der Analyse der System-Sicherheitsanforderungen, sollten Sie auch auf ein hohes Niveau der Systemarchitektur achten. Schauen Sie sich auch potenzielle Angriffsflächen an und überprüfen Sie die entscheidendsten Teile des Systems, wie beispielsweise diejenigen bezüglich Authentifizierung und Autorisierung. Überlegen Sie sich, ob Sie eventuell Threat Modeling betreiben möchten mithilfe der STRIDE-Herangehensweise von Microsoft. Dieser Prozess identifiziert nicht nur mögliche Risiken, sondern schätzt diese auch ein und behandelt sie mit Gegenmaßnahmen oder Milderungstechniken.
Auch ist es wichtig, Ihren Prozess der Softwareentwicklung zu überprüfen in Bezug auf Sicherheitsaktivitäten, welche vom SDL-Prozess Microsofts empfohlen werden. Dies bietet Verbesserungen zur Reduzierung von Risiken finanzieller Angelegenheiten, zur Optimierung der Sicherheit und des Datenschutzes von Anwendungen, und zum Schutz der Unternehmensdaten und des Rufs Ihres Unternehmens.
Alle Mitglieder eines Softwareentwicklungsteams müssen eine entsprechende Schulung absolvieren, um über Sicherheitsgrundlagen und aktuelle Trends bezüglich Sicherheit und Privatsphäre informiert zu bleiben.
Vergessen Sie nicht die Penetrationsprüfung Ihrer Web-Anwendung, Ihrer Server-Infrastruktur und Ihrer Integrationen mit anderen Systemen in Ihrem Firmennetzwerk. Die Penetrationsprüfung schafft einen Mehrwert, indem sie Berichte über gefundene Probleme liefert und sich als Orientierungshilfe anbietet beim Optimieren der System-Sicherheit.
Gartners Anleitung zu erfolgreichem DevSecOps
DevSecOps ist der Inbegriff des “Sicherheit als Priorität”-Prinzips. Sein Ziel ist das Bilden einer Denkweise innerhalb des Softwareentwicklungsteams, in der jeder Einzelne für die Sicherheit der Anwendung verantwortlich ist.
Sogar einfache Schritte können das Projekt vor Cyber-Security-Gefahren schützen und die Erfolgschancen vergrößern. Gute Cyber-Sicherheitsmaßnahmen zu haben, wird die Daten Ihrer Kunden schützen und somit auch Ihren Ruf. Basierend auf dem, was Gartners Analytiker aus ihrer Organisation und ihren Kunden gelernt haben, haben sie eine Anleitung bestehend aus 10 Schritten erstellt, um Ihnen dabei zu helfen, Ihr Unternehmen auf einen erfolgreichen DevSecOps-Kurs zu bringen:
- Passen Sie Ihre Security-Testing-Werkzeuge und –Prozesse an die Programmierer an, nicht umgekehrt.
- Versuchen Sie nicht, während der Entwicklung alle Schwächen zu eliminieren.
- Fokussieren Sie sich zuerst darauf, bekannte und entscheidende Schwächen zu identifizieren und zu beseitigen.
- Stellen Sie sich nicht darauf ein, traditionelle DAST/SAST ohne Änderungen zu verwenden.
- Unterrichten Sie alle Programmierer über die Grundlagen des sicheren Kodierens, aber erwarten Sie nicht von ihnen, Security-Experten zu werden.
- Setzen Sie einen Security-Senior-Spezialisten im Projekt ein und implementieren Sie ein einfaches Werkzeug zur Sicherheitsanforderungen-Sammlung.
- Eliminieren Sie den Gebrauch von bekannten schwachen Komponenten an der Quelle.
- Sichern und verwenden Sie operative Disziplin bezüglich des Automatisierungsskripts.
- Implementieren Sie eine starke Versionskontrolle von jedem Code und von allen Komponenten.
- Adoptieren Sie eine unveränderliche infrastrukturgerichtete Denkweise.
So stark wie das schwächste Glied
Cyber-Sicherheit dreht sich nicht nur um Ihr Unternehmen oder Ihr Projekt. Ihr Beitrag bringt der gesamten Cyber-Community einen Mehrwert. Das Ermutigen des Gebrauchs der Security-Grundlagen ist für alle ein Vorteil und verleiht Ihnen ein Image eines vertrauenswürdigen Unternehmens.
Um Cyber-Attacken vorzubeugen, müssen Sie handeln, bevor es zu spät ist. Jedes Unternehmen muss ein grundlegendes Verständnis dafür haben, dass die Gefahren groß sind und jedermann ein Ziel ist. Viele Unternehmen sehen Cyber-Sicherheit als eine kostentreibende Aufgabe zur Konformität, welches das Projekt nur langsamer macht, weswegen sie in diesem Bereich nur das nötige Minimum verrichten. Genau das ist ein Rezept für eine Katastrophe.