Читать книгу Cloud Security: Praxisorientierte Methoden und Lösungen für sicheres Cloud Computing - Группа авторов - Страница 14

Vor der Herstellung eines neuen Produkts gehen dem Softwareentwickler viele Fragen durch den Kopf: Wie soll die Benutzerschnittstelle aussehen? Wie leistungsfähig soll die neue Software sein? Ein wichtiger Aspekt fällt dabei jedoch immer noch zu oft unter den Tisch: die Sicherheit.

Aktuell nimmt die Zahl von Cyberangriffen rapide zu, wie aus dem Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervorgeht. Demnach entdecken die Experten zum Beispiel täglich etwa 380.000 neue Varianten von Schadprogrammen. Große Konzerne verzeichnen schon heute mehrere Tausend Attacken pro Tag. 95 Prozent der erfolgreichen Angriffe basieren auf schlecht programmierter, schlecht gewarteter oder schlecht konfigurierter Software. Dieses Problem ließe sich aber lösen, indem Security zu Beginn des Projektes direkt berücksichtigt wird. Der Fachbegriff dafür lautet: Security by Design.

Werden Sicherheitseigenschaften als Designkriterium durch die Softwareentwicklung berücksichtigt, lassen sich Systemfehler von vornherein vermeiden. Ein Softwareingenieur arbeitet dann auch ganz anders, denn er arbeitet Spezifikationen ab. Ist Security nicht Teil der Anforderungen, werden diese durch den Entwickler nicht abgearbeitet. Im Idealfall ist das Thema Security bereits ein fester Bestandteil in der Ideenphase, und eine mögliche Umsetzung mit allen Vorgaben kann frühzeitig mit beispielsweise einem Prototyp überprüft werden. Durch weitere Einhaltung der Sicherheitsvorgaben in den weiteren Produktionsstufen erfüllt das fertige Produkt bestenfalls alle Erfolgskriterien.

Sieben Grundregeln zur Reduzierung der Risiken sollten durch Unternehmen berücksichtigt werden:

1. Angriffsfläche klein halten

Die Angriffsfläche lässt sich deutlich minimieren, indem Überflüssiges deaktiviert wird. Deaktivierte, nicht benötigte Softwareprogramme und Komponenten auf IT-Systemen können auch nicht angegriffen werden.

2. Geeignet authentifizieren und autorisieren

Vertrauliche Informationen und Informationssysteme sollten nur für die gewünschten Kommunikationspartner zugänglich und im erforderlichen Umfang nutzbar sein.

3. Eingaben überprüfen

Jede Eingabe sollte auf zulässige Zeichen, insbesondere Sonderzeichen, und auf die maximal zulässige Eingabelänge geprüft werden. Ein Beispiel: Bei der Bestellung auf einem Web-Portal sind im Feld für das Geburtsdatum des Nutzers nur Zahlen und möglicherweise noch Punkte erforderlich. Ziel hierbei ist die wirksame Verhinderung von Pufferüberläufen oder die Einspeisung von als Code interpretierbaren Zeichenketten.

4. Systeme trennen

Nach einem erfolgreichen Angriff auf ein System versuchen Angreifer häufig, von dort nach und nach Zugriff auf weitere Systeme zu erhalten. Systeme sollten daher voneinander getrennt werden und über eine abgesicherte Netzwerkverbindung miteinander kommunizieren.

5. Vertrauliches verschlüsseln

Der Zugang zu Systemen der Datenspeicherung, -verarbeitung und -übermittlung liegt meistens nicht vollständig in der Hand des eigenen Unternehmens, etwa wenn Cloud-Dienste genutzt werden. Umso wichtiger ist es, vertrauliche Informationen zu schützen.

6. Regelmäßig aktualisieren

Systeme sind schutzlos, wenn sie nicht stets auf einen aktualisierten Versionsstand gebracht werden. Nur so wird verhindert, dass Angreifer bekannte Sicherheitslücken nicht ausnutzen können. Neue Versionsstände enthalten zum Beispiel oftmals Abwehrmechanismen gegen bekannt gewordene Sicherheitslücken der Vorgängerversionen.

7. Sicherheit kontinuierlich testen

Der Zustand der Systeme muss im Hinblick auf ihre Sicherheit und Angreifbarkeit kontinuierlich durch Security-Checks wie der Überprüfung der Konfiguration und möglicher Sicherheitsschwachstellen kontrolliert werden.