Ein Kommentar von Tim Mackey, Principal Security Strategist bei Synopsys
Open Source spielt in der modernen Software-Entwicklung und -Bereitstellung eine entscheidende Rolle. Das lässt sich schwerlich von der Hand weisen. Dabei wird aber gerne übersehen, wie Open Source sich hinsichtlich der Sicherheit und der Einhaltung von Lizenzbestimmungen auf die Risikosituation innerhalb einer Anwendung auswirkt. Der OSSRA-Bericht 2020 bestätigt, dass und wie Organisationen weiterhin darum ringen, Open-Source-Risiken effektiv nachzuverfolgen und zu managen. Eine genaue Bestandsaufnahme der Softwarekomponenten von Drittanbietern, einschließlich der Open-Source-Abhängigkeiten zu führen und auf dem neuesten Stand zu halten, ist ein wichtiger Ausgangspunkt, um Anwendungsrisiken auf mehreren Ebenen angehen zu können.
Sollten Unternehmen also Open Source einsetzen?
Ganz gleich, ob es der Geschäftsführung bewusst ist oder nicht, Unternehmen verwenden Open-Source-Technologien. Open Source unterstützt die meisten Facetten des modernen Geschäftslebens, von Cloud-Diensten bis hin zu IoT-Geräten aller Art und sogar mobilen Apps. Entwickler verwenden Open-Source-Komponenten in ihren Designs, weil sie so die Möglichkeit haben, auf Know-how zurückzugreifen, dass ihnen sonst nicht zur Verfügung stünde.
Nehmen Sie das Thema Kryptologie. Jeder erkennt den Wert von Verschlüsselung für geschäftliche Transaktionen. Die Öffentlichkeit erwartet heute, dass personenbezogenen Daten mittels Verschlüsselungstechnologien geschützt werden. Wenn es Open Source nicht gäbe, wären Unternehmen gezwungen, entweder eine eigene Verschlüsselungsumsetzung zu entwickeln oder jemanden dafür zu bezahlen. Sicherheitsexperten werden Ihnen sagen, dass sie Verschlüsselung keinem Entwickler zuverlässig überlassen können. Eine Schlüsselqualifikation ist nachprüfbares Fachwissen in Kryptografie.
Wenn Sie also einen Kryptografie-Experten einstellen wollen, selbst aber nicht vom Fach sind, wie überprüfen Sie dessen Kenntnisstand? Glücklicherweise hilft Open Source bei der Lösung dieses Problems. Anstatt eine anfällige Implementierung einer Verschlüsselungs-Suite zu riskieren, die potenziell Kundeninformationen preisgibt, verwenden Sie eine von Experten geprüfte und weit verbreitete Open-Source-Kryptografie-Bibliothek. OpenSSL erfüllt diese Anforderungen sehr gut.
Nun kann man mit Fug und Recht sagen, dass OpenSSL mit Softwareschwachstellen einhergeht, von denen einige besonders schwerwiegend waren wie zum Beispiel Heartbleed. Keine Software ist perfekt. Und es ist wenig realistisch zu erwarten, dass Open Source per se besser ist als kommerzielle Software. Tatsächlich besteht der einzige wirkliche Unterschied zwischen einer kommerziellen Implementierung einer Kryptografie-Bibliothek und den Open-Source-Alternativen darin, dass unabhängige Experten den Quellcode lesen und die Vollständigkeit der Implementierung überprüfen können.
Bei kommerzieller Software ist eine solche Überprüfung nicht möglich, und es ist sehr wahrscheinlich, dass der Lizenzvertrag für kommerzielle Software Formulierungen enthält, die ein Reverse Engineering verhindern. Open Source bietet ein Maß an Transparenz dazu, ob Experten korrekt gearbeitet haben, und es besteht die Möglichkeit für einen Peer Review durch andere Fachleute.
Peer-Reviews durch weitere Experten aus dem jeweiligen Bereich sind eines der Gütesiegel von Open Source und einer der Gründe, warum Unternehmen von einer verantwortungsvollen Open-Source-Nutzung profitieren. Dazu gehört auch das Verständnis, dass sich Updates und Patches anders verhalten als bei kommerzieller Software. Zudem ist es für jeden Nutzer von Open Source vorteilhaft, die Communitys, von denen er abhängig ist, zu kennen und aktiv mit ihnen zusammenzuarbeiten. Dies erhöht die Lebendigkeit in Open Source-Projekten und erweitert gleichzeitig den Talentpool von Experten, die das Projekt zum Nutzen von Unternehmen und Anwendern weltweit pflegen.«
[1] Nach Registrierung hier downloadbar:
https://www.synopsys.com/de-de/software-integrity/2020-open-source-security-risk-analysis.html
Augen auf beim Einsatz von Third-Party-Komponenten – Risikofaktor Open Source
Im Zuge der Digitalisierung entwickelt sich Open-Source-Software auch in Deutschland, Österreich und der Schweiz zu einem wichtigen Baustein agiler Entwicklungsumgebungen. Der quelloffene Code ermöglicht es Unternehmen, wirtschaftlicher zu agieren und ihre Anwendungen schneller zur Marktreife zu führen – doch er birgt auch Risiken. Mittelständler, Konzerne und Regierungseinrichtungen sind daher gut beraten, passgenaue Strategien für eine sichere Open-Source-Nutzung zu entwickeln.
Lange Zeit kreierten interne Teams Individualsoftware streng im Top-down-Verfahren. Drittanbietercode, insbesondere Open-Source-Komponenten, galt als riskant und kam mit Blick auf die unbekannte Herkunft und die undurchsichtigen Lizenzierungsmodelle nur selten zum Einsatz. Mittlerweile ist die Open Source Community und damit auch die Akzeptanz von Open-Source-Projekten wie Linux und OpenSSL sowie von Frameworks wie Apache Struts gewachsen. Heute bestehen Softwareanwendungen typischerweise aus benutzerdefiniertem, eigenentwickeltem Code und Drittanbietercode, wobei Open Source sowohl bei Inhouse-Projekten als auch bei kommerziell entwickelter Software oft den Löwenanteil des verwendeten Codes ausmacht.
Durchbruch von Drittanbieterkomponenten. Eine Analyse der Softwarezusammensetzung zeigt, dass heutige Anwendungen oft zu mehr als 80 Prozent aus Open Source bestehen. Die hohe Akzeptanz von quelloffenen Komponenten in nahezu allen Branchen hat zu einem Anstieg der Open-Source-Entwicklung geführt. Viele namhafte Unternehmen bieten mittlerweile Open-Source-Projekte an, die Entwickler nutzen und ergänzen können. Der Durchbruch von quelloffenen Komponenten hat aber auch die Art der Anwendungsentwicklung verändert: Anstatt die gesamte Software von Grund auf neu zu entwickeln, verwenden Unternehmen Open Source, um gängige oder sich wiederholende Funktionen bereitzustellen. Und das Vertrauen in Open Source ist seit der Einführung von Linux als Betriebssystem in professionellen Umgebungen, Java als primäre Entwicklungssprache und Apache Struts als MVC-Framework gestiegen. Eigenentwickelter Code wird daher meist nur noch für proprietäre Features verwendet. Entwickler können ihre Zeit so anwendungsspezifischen Schlüsselfunktionen widmen, anstatt gängige Features aufwendig nachzubauen.
Mangelnde Überwachung von Open Source. Open-Source-Software ist trotz aller Vorteile aber auch anfällig für Security-Schwachstellen. Jedes Jahr legt die Community zahlreiche Sicherheitslücken in Open-Source-Software offen. Hersteller melden diese Sicherheitslücken in der Regel verantwortungsbewusst und liefern ein passendes Patch oder eine aktualisierte Version, die die Schwachstelle beseitigt und gefährdete Komponenten behebt, gleich mit. Theoretisch müssten die Entwickler dann einfach nur zur jeweils aktuellsten Version der Open-Source-Komponenten greifen, um auf der sicheren Seite zu sein.
In der Praxis werden auch aber bekanntermaßen an-fällige Open-Source-Komponenten oftmals weiterhin eingesetzt. Entwickler laden sich die benötigten Komponenten herunter und behalten sie oft jahrelang in ihrem Workspace. Mit zunehmendem Alter dieser Bausteine steigt die Wahrscheinlichkeit, dass ihre Schwachstellen bereits bekannt und im Darknet entsprechende Exploits verfügbar sind – und damit natürlich auch das Risiko eines Angriffs.
Dies gilt umso mehr, als die Angreifer ganz genau wissen, dass Open-Source-Komponenten oft nicht systematisch überwacht und gepflegt werden. Viele Unternehmen verfolgen ihre Open-Source-Nutzung entweder gar nicht oder lediglich mithilfe einer statischen, oft veralteten Tabelle.
Der erste Schritt für Security-Verantwortliche, die die Weichen für eine sichere Open-Source-Nutzung stellen wollen, ist daher, sich einen Überblick darüber zu verschaffen, wo Open Source verwendet wird. Die optimale Lösung ist eine umfassende Management- und Orchestrierungsplattform, die Entwicklern quelloffene Bausteine in einem übersichtlichen Dashboard auflistet und ihnen tiefe Einblicke in Open-Source-Schwachstellen ihres Portfolios verschafft.
Abgleich mit Schwachstellendatenbanken. Die Open-Source-Security muss sich aber auch den neuen Paradigmen in der Softwareentwicklung wie DevOps anpassen. Die in vielen Unternehmen eingesetzten statischen Analysetools sind oftmals nicht in der Lage, Schwachstellen von Open-Source-Code zu erkennen – nicht einmal dann, wenn diese bereits bekannt und dokumentiert sind. Hinzukommt, dass die Entwickler gerade im Falle sehr umfangreicher Softwareanwendungen in der Regel nicht die gesamte Codebasis kennen und so der Verbreitung von Sicherheitsschwachstellen Vorschub leisten. Unternehmen sind deshalb auf dedizierte Lösungen angewiesen, die die Software auf enthaltenen quelloffenen Code scannen und diesen dann mit hinterlegten Schwachstellendatenbanken abgleichen.
Auswahlkriterien einer Komplettlösung. Eine umfassende Software-Security-Lösung muss aber noch mehr können. Denn Unternehmen sehen im Hinblick auf Open Source mit drei wesentlichen Herausforderungen konfrontiert: die Sicherheit ihrer Anwendungen, mögliche Lizenzkonflikte und die Wartung ihrer Systeme und Bibliotheken. Bei der Auswahl der Plattform sollten Security-Verantwortliche deshalb auf folgende Kriterien achten:
1. Implementierung einer Software-Composition-Analysis-Lösung (SCA):
Open-Source- und Drittanbieter-Komponenten sowie eigenentwickelter Code sind in moderner Software eng miteinander verzahnt. Eine nahtlos integrierte SCA-Lösung untersucht die Software entlang der gesamten CI/CD-Pipeline auf Open-Source-Komponenten im Quellcode und detektiert Security-Schwachstellen in quelloffener Software. In Kombination mit einem statischen Analysetool zeigt die SCA-Lösung auf, für welche Angriffe die Anwendung anfällig ist und wie Entwickler die Sicherheitslücken zuverlässig beheben.
2. Automatisierung der Open-Source-Security:
Schwachstellen im Open-Source-Code müssen möglichst früh im SDLC, im Idealfall bereits bei der Integration, identifiziert und behoben werden. Die Security-Plattform sollte sich daher über jeden Web-Browser oder direkt aus der Build-Umgebung heraus starten lassen. Die Lösung aggregiert die Ergebnisse und stellt diese den Entwicklern anschließend in Echtzeit in der Web-Oberfläche bereit oder teilt sie direkt in der Projektübersicht des Build-Managers.
3. Eine Lösung für multiple Tests:
Wenn die Ergebnisse der Open-Source-Analyse und der statischen Security-Tests automatisch korreliert werden, lassen sich Schwachstellen zuverlässiger bewerten und automatisiert priorisieren. Auf diese Weise können Entwickler Schwachstellen in ihrem eigenen Code und Open-Source-Schwachstellen über eine einheitliche Konsole managen, statische und SCA-Analysen gleichzeitig anstoßen und sofort erkennen, ob von einer Open-Source-Schwachstelle in ihrer App Gefahr ausgeht.
4. Fundierte Security-Analysen:
Bei der Auswertung gilt es darauf zu achten, dass ein Überblick über Tausende von Open-Source-Schwachstellen, Security-Warnhinweisen und Bugs hinterlegt ist. Entwickler identifizieren Code-Schwachstellen zuverlässig und beheben diese dank handlungsrelevanter Hinweise, ohne dass Abläufe dadurch verzögert werden.
5. Open-Source-Code durchgängig prüfen:
Voraussetzung für eine erfolgreiche Open-Source-Integration ist, dass die verwendeten quelloffenen Code-Bestandteile auch nach Abschluss der eigentlichen Entwicklung auf potenzielle Sicherheitslücken hin analysiert werden. Einige der gefährlichsten Open-Source-Schwachstellen, etwa ShellShock (CVE-2014-6271), wurden erst Jahrzehnte nach der Veröffentlichung des Codes identifiziert. Ohne volle Transparenz über den Open-Source-Code, dessen Historie und dessen Rolle im Gesamt-Code ist es nahezu unmöglich, diese Art von Sicherheitslücken zu finden und zu schließen.
6. Monitoring der Lizenzierung:
Open-Source-Lizenzen sind komplex, und bei Verstößen gegen die Vorgaben drohen hohe Bußgelder oder der Verlust von geistigem Eigentum. Die Security-Lösung sollte Unternehmen auf potenzielle Lizenzierungsrisiken hinweisen und mit aussagekräftigen Bewertungen verhindern, dass Mitarbeiter Komponenten verwenden, die nicht mit den technologischen oder geschäftlichen Rahmenbedingungen des Projekts vereinbar sind.
Mit einer umfassenden Security-Plattform lassen sich Policies für eine sichere und Compliance-konforme Einbindung von Open-Source-Code erstellen und durchsetzen. So definieren Unternehmen Kriterien für die Verwendung und etablieren interne Freigabeprozesse anhand von Metadaten und Projektdetails. Versucht ein Entwickler, nicht-konforme Komponenten zu nutzen, schickt das System eine Benachrichtigung und stößt einen vorgegebenen Workflow (etwa Build-Abbruch) an. Ein Browser-Plugin vereinfacht zudem die Auswahl von Open-Source-Komponenten. Die Entwickler können online aus verfügbaren Open-Source-Komponenten wählen und anhand unterschiedlicher Risikobewertungen (Sicherheit, Qualität, Compliance) prüfen, ob deren Verwendung zulässig ist – und das bevor sie sie im Projekt einbinden.
Die Sicherheitslösung sollte daher so konfiguriert werden, dass sie insbesondere auf häufige Schwachstellen oder Fehler achtet, die etwa in den OWASP Top 10 oder SANS Top 25 aufgeführt sind. Natürlich sind das nicht die einzigen Schwachstellen, um die Entwickler sich Gedanken machen müssen. In allen Fällen ist es deshalb sinnvoll umfangreichere Tests durchzuführen – auch über die Entwicklungsphase hinaus.
Fazit. Angesichts der steigenden Beliebtheit von Open Source kommen Unternehmen heute nicht umhin, die Analyse der Softwarekomponenten nahtlos in die IDE ihrer Entwickler zu integrieren und die Open-Source-Analyse als Teil ihres SDLC zu automatisieren. So erhält das Entwickler-Team Transparenz über die gesamte Code-Basis, einschließlich der Open-Source-Code-Komponenten, und kann Sicherheitslücken zuverlässig schließen. Integrierte Schwachstellendatenbanken stellen zudem sicher, dass neu entdeckte Schwachstellen schnell beseitigt werden, bevor sie zu einem Sicherheitsproblem für die Anwendung und zum Compliance-Risiko für das Unternehmen werden.
Dr. Christopher Brennan,
Regional Director DACH
bei Checkmarx
Illustration: © Botond1977 /shutterstock.com
165 Artikel zu „“Open Source“ Sicherheit“
NEWS | EFFIZIENZ | IT-SECURITY | LÖSUNGEN | ONLINE-ARTIKEL | RECHENZENTRUM | SERVICES | STRATEGIEN
Open Source: Sicherheit durch Transparenz
Der Vergleich zwischen proprietärer Software und Open-Source-Software ist so alt wie die IT-Industrie selbst. Für so gut wie jede Softwarekategorie gibt es Angebote von Herstellern, die ihren Code entweder alleine entwickeln und vertreiben oder Entwicklergemeinden, die dies an offenem Code tun. Die Ablehnung, offene Software zu nutzen, hat sich vor allem in Unternehmen im letzten…
NEWS | IT-SECURITY | WHITEPAPER
Nicht alle Schwachstellen sind eine Bedrohung – auf die wesentlichen Sicherheitslücken konzentrieren
Die Computernetzwerke von Organisationen werden ständig erweitert: IT, Cloud, IoT und OT formen eine komplexe Computing-Landschaft, die die moderne Angriffsfläche darstellt. Mit jedem neuen Gerät, jeder neuen Verbindung oder Anwendung vergrößert sich diese Angriffsfläche. Zu dieser Komplexität kommen unzählige Schwachstellen hinzu, die täglich entdeckt werden, und die Herausforderungen scheinen oft unüberwindbar. Die Lösung ist jedoch…
NEWS | TRENDS 2020 | TRENDS SECURITY | IT-SECURITY
Studie zur Sicherheit in der modernen Anwendungsentwicklung
Durch DevSecOps ist das Thema Sicherheit in den Mittelpunkt der modernen Entwicklung gerückt. Sicherheits- und Entwicklungsteams werden jedoch von unterschiedlichen Metriken geleitet, und das kann die Ausrichtung auf ein gemeinsames Ziel erschweren. Die Problematik verschärft sich zusätzlich, weil es den meisten Sicherheitsteams an Wissen fehlt, wie moderne Anwendungsentwicklung tatsächlich abläuft. Microservices-gesteuerte Architekturen, Container und serverfreie…
NEWS | IT-SECURITY
Anwendungssicherheit: Kombination aus Mensch und Technik
2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten aufgrund der COVID-19-Pandemie über Nacht von Zuhause arbeiten. Sie benötigen daher sichere Arbeitsumgebungen, die gleichzeitig den Zugang zu allen relevanten Anwendungen ermöglichen. Der Verizon 2020 Data Breach Investigations Report zeigte nun, dass Cyberkriminelle diese Umstellung ausnutzen, um neue Wege zu finden, Anwendungen anzugreifen. Um dies zu…
NEWS | DIGITALISIERUNG | EFFIZIENZ | FAVORITEN DER REDAKTION | SERVICES
Open Source für die globale Energiewende
Zugangsfreie, offene Software, Benchmarks und Datensätze: Energy Computing Initiative der Helmholtz-Gemeinschaft unterstützt die klimafreundliche Transformation von Energiesystemen. Auf der im Rahmen der Helmholtz-Gemeinschaft entstandenen Plattform der Helmholtz Energy Computing Initiative (HECI) sind Modellierungswerkzeuge für die Energiesystemoptimierung frei verfügbar (Montage: KIT). Computermodelle sind für die Energiewende unerlässlich. Sie helfen dabei, Kapazitäten beim Erzeugen, Transportieren und…
NEWS | IT-SECURITY | TIPPS
Checkliste zur Applikationssicherheit: 11 Best Practices
Applikationssicherheit ist ein so umfangreiches wie komplexes Feld. Cyberbedrohungen nehmen weiter zu und ständig drängen neue AppSec-Anbieter auf den Markt. Das macht die Einschätzung, was man wann wie tun sollte oftmals schwierig. Wer seine Anwendungen vor Bedrohungen schützen will, muss sich durch einen wahren Dschungel an Produkten, Diensten und Lösungen kämpfen. Die vorliegende Checkliste zur…
NEWS | IT-SECURITY | STRATEGIEN
Applikationssicherheit: Unsichere Software ist existenzielle Bedrohung
Sie sind versucht, Ihr Budget für Tests zur Applikationssicherheit zu kürzen, um Verluste durch den Shutdown zu decken? Vergessen Sie dabei aber nicht, dass kompromittierte Systeme eine weit größere existenzielle Bedrohung werden können. Nehmen wir an, das Amt für Wasserversorgung stünde vor einer plötzlichen Krise, die den Aufbau einer neuen Infrastruktur erfordert. Wenn man nun…
NEWS | BUSINESS PROCESS MANAGEMENT | EFFIZIENZ | TIPPS
Agile Sicherheit: fünf Tipps für Sicherheitsverantwortliche
Seit rund drei Jahren ist ein spürbarer Paradigmenwechsel in der Softwareentwicklung zu beobachten: Statt im Wasserfallmodell wird nun mit agilen Entwicklungsmethoden gearbeitet – oftmals kombiniert mit DevOps-Ansätzen. Im Bereich IT-Security verändert diese Entwicklung auch die Arbeitsmodelle von IT-Sicherheitsexperten. Waren früher die Ziele eines Softwareentwicklungsprozesses durch Fachkonzepte relativ früh abgesteckt, können sich heute die Funktionen…
NEWS | IT-SECURITY
Cloud-native Anwendungssicherheit: Viele sichern die Tür, lassen aber das Fenster offen
Wenn Unternehmen den Lebenszyklus bei der Entwicklung ihrer Anwendungen optimieren und beschleunigen und diese dann in der Cloud bereitstellen möchten, wird die Sicherheit zu einer größeren Herausforderung. Cloud-native Anwendungen sind komplexer und weisen mehr Abhängigkeiten auf, weshalb sie auch schwieriger zu sichern sind. Traditionelle Ansätze drehen sich im Kreis: Es wird lediglich reagiert, um die…
NEWS | IT-SECURITY | AUSGABE 3-4-2020 | SECURITY SPEZIAL 3-4-2020
Augen auf beim Einsatz von Third-Party-Komponenten – Risikofaktor Open Source
Im Zuge der Digitalisierung entwickelt sich Open-Source-Software auch in Deutschland, Österreich und der Schweiz zu einem wichtigen Baustein agiler Entwicklungsumgebungen. Der quelloffene Code ermöglicht es Unternehmen, wirtschaftlicher zu agieren und ihre Anwendungen schneller zur Marktreife zu führen – doch er birgt auch Risiken. Mittelständler, Konzerne und Regierungseinrichtungen sind daher gut beraten, passgenaue Strategien für eine sichere Open-Source-Nutzung zu entwickeln.
NEWS | LÖSUNGEN | SERVICES
»Size Matters« – jedenfalls bei der Nutzung von Open Source in Unternehmen
»Zuerst die gute Nachricht« heißt es einleitend im Open Source Monitor [1]. Fast 70 % der befragten Unternehmen in Deutschland setzen Open-Source-Lösungen ein. Diese Zahl steigt drastisch an, wenn sich Unternehmen an der Schwelle zum Großunternehmen befinden. Sieben von zehn Unternehmen mit 200 bis 499 Beschäftigten geben an Open-Source-Software einzusetzen. Drei Viertel der Firmen mit…
NEWS | IT-SECURITY | AUSGABE 1-2-2020 | SECURITY SPEZIAL 1-2-2020
Erschaffung und Aufrechterhaltung einer Sicherheitskultur – »Sicherheit ist ein Prozess, kein einmaliges Projekt«
Wie können Unternehmen ein Sicherheitsbewusstsein entwickeln und erfolgreich halten?
NEWS | TRENDS 2020 | TRENDS INFRASTRUKTUR | INFRASTRUKTUR
Open Source: Jedes dritte Unternehmen entwickelt mit
Unternehmen wollen durch Open Source Geld sparen – aber auch Mitarbeiter weiterbilden und die Community unterstützen Bitkom veröffentlicht Studienbericht »Open Source Monitor« Open-Source-Software ist längst viel mehr als das abendliche Freizeitprojekt von Computer-Nerds. Rund jedes dritte größere Unternehmen in Deutschland (31 Prozent) beteiligt sich heute bereits an der Entwicklung von Open-Source-Software. Das hat eine Umfrage…
NEWS | INFRASTRUKTUR | KOMMENTAR | STRATEGIEN
Deutscher Mittelstand hat Nachholbedarf bei Umsetzung und Strategie im Bereich Open Source
Der diese Woche veröffentlichte »Bitkom Open Source Monitor 2019« belegt: Die Mehrheit der deutschen Unternehmen steht Open-Source-Software aufgeschlossen gegenüber. Dabei ist es vor allem der Mittelstand – der Motor der deutschen Wirtschaft –, der besonderes Interesse an Open Source zeigt. Das Potenzial von Open-Source-Software wird klar erkannt: Finanzielle Einsparungen durch den Wegfall von Lizenzkosten, hohe…
NEWS | TRENDS 2020 | TRENDS SECURITY | IT-SECURITY
Cybersicherheit 2020: Vier konkrete Bedrohungsszenarien
Jedes Jahr erstellen die Experten von Stormshield eine Analyse der Tendenzen, die sich für das angebrochene Jahr abzeichnen. Auf den Prüfstand stellt der Hersteller dabei selbst schwache Angriffssignale aus dem Vorjahr, die jüngsten Branchenanalysen und die Meinungen seiner Sicherheitsspezialisten. Daraus resultiert 2020 ein Ausblick mit vier Hypothesen und Szenarien, die alles andere als realitätsfremd sind.…
NEWS | DIGITALISIERUNG | IT-SECURITY | KOMMENTAR
Digitale Sicherheit: Täter lernen schneller, als Opfer
»Wieder ist Safer Internet Day. Wieder erzählen wir uns gegenseitig, wie schön es wäre, wenn jeder mithelfen würde die digitale Welt sicherer zu machen. Und möglicherweise wird wieder dieser gute Vorsatz schon einen Tag später vergessen sein. Im nächsten Jahr dann auf ein Neues? Nein, es darf so nicht weiter gehen«, lautet das Fazit…
NEWS | TRENDS 2020 | TRENDS SECURITY | IT-SECURITY
Drei Prognosen zur Anwendungssicherheit für 2020
Das sind die drei wichtigsten Trends im Bereich Anwendungssicherheit für 2020: Steigende Komplexität, Open Source und DevSecOps. Veracode veröffentlichte vor Kurzem die zehnte Ausgabe ihres jährlich erscheinenden State of the Software Security (SoSS) Reports [1]. In diesem beschreibt der Anwendungssicherheitsspezialist, wie sich die Sicherheit von Software und Applikationen im Laufe der letzten Jahre entwickelt hat…
NEWS | IT-SECURITY | AUSGABE 11-12-2019 | SECURITY SPEZIAL 11-12-2019
Sicherheit braucht mehr Geschwindigkeit
Unternehmen und Behörden sind einfach zu langsam. Sie brauchen im Durchschnitt ganz sechs Tage einen Eindringling in ihren Netzwerken zu entdecken, die Schwere des Angriffs auszuwerten und die Schäden zu beheben. Die Folge: Vier von fünf Unternehmen waren im letzten Jahr nicht in der Lage Cyberangreifern den Zugriff auf die Zieldaten zu verwehren. Es gibt…
NEWS | BUSINESS | STRATEGIEN | AUSGABE 11-12-2019
ERP-Systeme – Open Source vs. Closed Source
Der Entscheidungskampf zwischen Open-Source- und Closed-Source-Softwarelösungen wird weiterhin mit vollem Eifer gefochten. Auch im ERP-Bereich kann man keinen generellen Sieger ernennen. Beim Entschluss zu einem Für oder Wider sollten einige wichtige Kriterien, wie Innovationsfähigkeit, Support, Sicherheit, Leistung, Preis oder Unternehmensgröße, bei der Entscheidungsfindung berücksichtigt werden.
NEWS | INFRASTRUKTUR | IT-SECURITY | KOMMENTAR | KOMMUNIKATION
Sicherheitsrisiko 5G
Sicherheitsforscher von der Purdue University und der University of Iowa haben auf der Sicherheitskonferenz der Association for Computing Machinery in London nahezu ein Dutzend Schwachstellen in 5G-Protokollen thematisiert. Nach Aussagen der Forscher können die Schwachstellen benutzt werden, um den Standort eines Benutzers in Echtzeit offenzulegen, Notfallalarme vorzutäuschen und so möglicherweise eine Panikreaktion auszulösen. Es sei…