Peter Schmitz ♥ Dev-Insider

Peter Schmitz

Chefredakteur
Security-Insider

Peter Schmitz ist der Chefredakteur von Security-Insider und Host vom Security-Insider Podcast. Er ist seit 25 Jahren IT-Journalist und von Berufswegen oft ein bisschen paranoid.

Artikel des Autors

Ein nachlässiger Umgang mit realen Daten für Testzwecke kann schwerwiegende Konsequenzen haben. Unternehmen, die sich mit der Entwicklung von Anwendungen oder Datenbanken beschäftigen sollten eine entsprechende Software für Testdatengenerierung haben. (gemeinfrei)
Tokenisierten Datenbanken

Böse Überraschungen mit Testdaten vermeiden

Wer Anwendungen entwickelt oder mit Datenbanken arbeitet, muss seine Ergebnisse ausreichend testen. Dazu werden valide Testdaten benötigt. Da liegt es nahe, die bereits bestehenden Produktivdaten zu kopieren und für den Test einzusetzen. Das klingt simpel und auch gar nicht unlauter, kann jedoch zu einem rechtlichen Problem mit beträchtlichen finanziellen Schäden werden.

Weiterlesen
Folgen von Log4Shell, SolarWinds und Kaseya

Unternehmen investieren in die Sicherheit der Softwarelieferkette

Eine neue Studie unter 350 Entscheidungsträgern aus den Bereichen Anwendungsentwicklung, Informationstechnologie und Cybersicherheit zeigt, dass bei 34 Prozent der befragten Unternehmen in ihren Anwendungen in den letzten 12 Monaten eine bekannte Open-Source-Software-Schwachstelle ausgenutzt wurde, 28 Prozent waren von einer bisher unbekannten ("Zero-Day") Schwachstelle betroffen.

Weiterlesen
Beim DevSecOps-Ansatz liegt die Sicherheit in der Verantwortung aller Teammitglieder und wird gleichzeitig in allen Phasen und Entwicklungen mitgedacht. (gemeinfrei)
DevSecOps effizient umgesetzt

So klappt eine reibungslose DevSecOps-Einführung

Die Abwehr von intelligenter Malware oder raffinierten Phishing-Angriffen, das sichere Auslagern von Assets in die Cloud sowie das Einhalten von immer komplexeren Daten­schutz­richtlinien erfordert von Unternehmen eine nachhaltige Sicherheitsstrategie. Diese muss unternehmensweit adaptiert werden und möglichst alle Schwachstellen abdecken. Die Umsetzung eines DevSecOps-Ansatzes kann dies unterstützen.

Weiterlesen
Nur wenn Unternehmen neben den Grundsätzen der sicheren Software-Entwicklung auch die dauerhafte Pflege der Sicherehit umsetzen, können sie wirklich sichere Software entwickeln. (Gronau IT)
Sichere Softwareentwicklung – Teil 2

Pflegeanleitung für sichere Software

Will man eine Software auch sicher machen bedeutet das viel Arbeit. Es gilt Schwachstellen zu verhindern und von Beginn an einen sorg­samen Umgang mit Daten zu pflegen. Dazu gehört die Trennung von Datenverarbeitung und ihrer Darstellung ebenso wie eine konsequente Validierung von Ein- und Ausgangsdaten. Dann braucht es nur noch sichere Übertragungswege und regelmäßige Prüfroutinen. Oder fehlt da noch was?

Weiterlesen
Software-Entwickler sind mit vielen Heraus­for­de­rungen konfrontiert. (Gronau IT)
Sichere Softwareentwicklung – Teil 1

Grundsätze für sichere Softwareentwicklung

Viele Onlinedienste und Websites sind anfällig für Angriffe. Die Entwicklung moderner Software für Webanwendungen ist heutzutage so komplex, dass Fehler trotz intensiver Prüfung nicht oder nur schwer erkennbar sind. Das demonstrierte auch die Heartbleed-Schwachstelle in der Open-Source-Bibliothek OpenSSL eindrucksvoll. Wir zeigen die gängigen Herausforderungen, mit denen Entwickler konfrontiert sind und wie man sie bewältigt.

Weiterlesen
Eine neue Studie zeigt: IT-Security-Spezialisten vertrauen bei Collaboration mehr auf Open Source als auf proprietäre Lösungen. (Comfreak - Pixabay.com)
Studie zu kommerzieller Open-Source-Software

Open Source verbessert Software-Sicherheit

Ein hartnäckiger Mythos besagt, dass Open-Source-Software grundsätzlich mehr Risiken birgt als proprietäre Lösungen. Schließlich gibt es keinen Hersteller, der für Funktionsweise und Sicherheit der Software verantwortlich zeichnet. Eine aktuelle Studie fragte IT- und IT-Security-Fachkräfte nach ihrer Meinung zu kommerziellen Open-Source-Lösungen und deren Einfluss auf Sicherheit und Datenschutz in Unternehmensanwendungen und zeigt erstaunliche Ergebnisse.

Weiterlesen
Insider Research analysiert den Einsatz von Lösungen unter Berücksichtigung von IT-Politik / Compliance und liefert so Insider-Wissen für IT-Entscheider. (Vogel IT-Medien)
Launch von Insider-Research.de

Analysen und Insider-Wissen zur IT-Compliance

Am 06.12.2017 fand der Launch von Insider-Research.de statt. Hier findet man nun gebündelt die Informationen über Insider Research, der Analysten-Sparte der Vogel IT-Medien GmbH, darunter einen Überblick über die Leistungen von Insider Research, Beispiele für aktuelle Projekte im Bereich White Paper, eBooks und Buying Guides sowie mehr als zehn Aufzeichnungen von Insider Talks, einem Online-Talk-Format zu aktuellen IT-Trends mit spannenden Gästen, an denen Insider Research beteiligt ist.

Weiterlesen
Sicherheits-Teams und Entwickler betrachten Code Signing-Prozesse auf völlig unterschiedliche Weise. Die einen wollen möglichst hohe Sicherheit, die anderen möglichst keine Behinderung durch die Prozesse. (gemeinfrei)
Sicherheit im Entwicklungsprozess

Code Signing-Prozesse absichern

Heutzutage ist fast jedes Unternehmen von Software abhängig. Entweder produzieren Unternehmen die Software als Hauptprodukt oder Add-on-Produkt, oder sie verwenden sie für kritische interne digitale Infrastrukturen. Die von ihnen produzierte oder verwendete Software ist gemeinsam mit ihrer Marke und ihrem Ruf allgegenwärtig. Daher ist der Schutz der Software genauso wichtig wie das Verriegeln der Haustür.

Weiterlesen
Security-Ratings, also Übersichten, Bewertungen und Kennzahlen zu der IT-Sicherheit verschiedener Lösungen, sind für Anwender und Anbieter voon Vorteil. (pixelfreund - stock.adobe.com)
Security-Ratings

Sicherheit als als Einkaufsbedingung

Sicherheitskriterien spielen bei der Auswahl von IT-Lösungen eine große Rolle. Doch wie kann man die IT-Sicherheit bei einem Angebot bewerten? Professionelle und transparente Security-Ratings mit ihren Kennzahlen können bei der Lösungssuche und Anbieterauswahl helfen. So können Unternehmen schon vor der Angebotsphase die für sie optimal passende Shortlist erstellen.

Weiterlesen
Entwickler sollten sicherstellen, dass sie die vier häufigsten Schwachstellen prüfen und gegebenenfalls so gut es geht beheben, bevor es zum Penetrationstest kommt. (gemeinfrei)
Authentifizierung sicher planen

Die vier größten Fehler bei Authentifizierungsvorgängen

Jede Web- und Mobilanwendung, die von Unternehmen benutzt wird, setzt Authentifizie­rungsmethoden ein. Sie sind Dreh- und Angel­punkt der Sicherheit von Applikationen. Au­then­ti­fizie­rungs­vorgänge sichern nicht nur die Anwendungen selbst, sondern schaffen auch individuellen Zugriffsschutz für jedes Benutzer­konto. Gleich­zeitig können sie jedoch auch zu einem der gefährlichsten Einfallstore für Hacker und Cyberkriminelle werden.

Weiterlesen
DevSecOps beschreibt den Ansatz, Sicherheit in die Entwicklung und Betriebsprozesse zu integrieren, Sicherheitstechnik kann dieses Vorhaben sinnvoll unterstützen. (Pixabay)
WAF und Reverse Proxy

DevSecOps technisch unterstützen

Die Gewohnheit, bei der Entwicklung von Webapplikationen erst zum Schluss an die IT-Sicherheit zu denken, ist nicht zukunftsfähig. Durch Cyberangriffe in den Medien geraten Unternehmen zunehmend unter Druck, ihre Sicherheitsmaßnahmen zu verbessern. In Geschäftsbereichen wie dem Bank- und Finanzwesen, in denen IT-Sicherheit einen besonders hohen Stellenwert hat, hat sich die Situation bereits verbessert, aber vielerorts verharrt man in den alten Mustern.

Weiterlesen
Die Entwicklung von sicherem Programmcode ist ein elementarer Schritt auf dem Weg zu einer wirkungsvollen Abwehr von Cyber-Bedrohungen. (bakhtiarzein - stock.adobe.com)
Security-Startups im Blickpunkt: Securai

Security Awareness für Programmierer

Hacker, Malware und Cyberspionen wirksam den Zugriff auf digitale Unternehmenswerte zu verwehren ist nicht einfach. Man investiert dafür in clevere Software, durchdachte Prozesse und letztendlich auch in Security Awareness beim Mitarbeiter, der als engagierter Wächter ebenfalls Bedrohungen erkennen und eliminieren soll. Gerade Gruppen wie Programmierer bleiben bei diesen Maßnahmen aber oft inhaltlich ausgeschlossen, da man nicht auf Ihre Bedürfnisse eingeht.

Weiterlesen
Aufgrund einer Sicherheitslücke im Multipart-Parser Jakarta von Apache Struts 2 sollten Anwender dringend auf die aktuellen Versionen 2.3.32 oder 2.5.10.1 updaten. (Apache Foundation, Vogel IT-Medien)
Schwachstelle CVE-2017-5638

Sicherheitslücke in Apache Struts 2 Jakarta

Qualys hat eine kritische Sicherheitslücke im Multipart-Parser Jakarta von Apache Struts 2 entdeckt. Die Schwachstelle CVE-2017-5638 ermöglicht bei anfälligen Anwendungen die Ausführung von Schadcode aus der Ferne. Entsprechende Exploits können Angreifer in die Lage versetzen, kritische Daten zu stehlen oder die Kontrolle über Ihre Anwendungsserver zu übernehmen.

Weiterlesen
Sicherheit kann es auch für agile Projekte mit DevOps geben, wenn man richtig plant und Werkzeuge für die automatische Quellcode-Analyse und Security-Tests nutzt. (Digital Buggu - Pexels.com)
IT-Security Management & Technology Conference 2017

Security in agile Software-Projekte integrieren

Agile Projekte liefern in Verbindung mit DevOps in der Regel schnell und häufig neue Releases aus. Jedoch kann bei einer hohen Rolloutfrequenz nicht jedes einzelne Release einen eigenen umfangreichen Penetrationstest erhalten, ohne dass Security als Bottleneck den Vorteil zügiger Rollouts wieder zunichtemachen würde. Um dennoch mit einem guten Gewissen agil live gehen zu können, bedarf es anderer Lösungen.

Weiterlesen
Software-Entwickler und IT-Security-Verantwortliche arbeiten zusammen um Anwendungssicherheit in den DevOps-Prozess zu integrieren. (Pixabay)
DevSecOps

Entwickler und IT-Security ziehen an einem Strang

Vielen gelten die Prioritäten von Software-Entwicklern und Mitarbeitern der IT-Sicherheit als unvereinbar – die einen wollen möglichst schnell arbeiten, die anderen möglichst sorgfältig. Eine neue Studie von Veracode und den IT-Beratern der Enterprise Strategy Group (ESG) zeigt jetzt, dass die beiden Abteilungen durchaus in der Lage sind, an einem Strang zu ziehen.

Weiterlesen
Webanwendungen sind noch immer voller Schwachstellen und es ist nur eine Frage der Zeit bis Cyberkriminelle diese für Angriffe auf IT-Systeme und sensible Daten ausnutzen. (Pixabay)
Spannende Zahlen aus 2017

Schwachstellen in Webanwendungen

Sicherheitslücken in Webanwendungen nehmen immer weiter zu, neben bekannten Kategorien wie Cross-Site Scripting gibt es auch neue Bedrohungen wie „unsichere Deserialisierung“. Mit dem Erfolg des Internet der Dinge (IoT) wachsen die Risiken weiter und beeinflussen die Sicherheitslandschaft dauerhaft. WordPress und PHP bleiben „dominierend“ im Hinblick auf veröffentlichte Sicherheitslücken in Content-Management-Systemen beziehungsweise serverseitigen Technologien.

Weiterlesen