Peter Schmitz

Die digitale Transformation ist eine der bedeutenden Herausforderungen für die Zukunft. Die Bayerische-Staatsregierung will deshalb die Digitalisierung entschlossen voranbringen. Einer der Schwerpunkte der „Strategie Bayern Digital“ soll dabei die Nutzung der Potenziale der Blockchain-Technologie für den Standort Bayern sein.

Die Gewinner der IT-Awards 2018 stehen fest. Im Rahmen einer festlichen Abendgala wurden die Gewinner der Readers' Choice Awards 2018 der sieben Insider-Portale am 11. Oktober 2018 in Augsburg gekürt.

Die sieben Insider-Portale der Vogel IT-Medien haben in diesem Jahr ihre Leserinnen und Leser zum vierten Mal dazu aufgerufen, ihre Anbieter und Hersteller des Jahres zu wählen. Heute werden die Gewinner der Readers' Choice Awards 2018 in insgesamt 42 Kategorien im Rahmen einer festlichen Abendgala gekürt.

Ethereum ist eine bekannte öffentliche Blockchain. Viele wissen aber nicht, dass die Codebasis von Ethereum auch von Unternehmen zum Entwickeln von eigenen Blockchain-Lösungen genutzt werden kann.

Die Gewinner der IT-Awards 2018 stehen fest. Im Rahmen einer festlichen Abendgala wurden die Gewinner der Readers' Choice Awards 2018 der sieben Insider-Portale am 11. Oktober 2018 in Augsburg gekürt.

Wer Anwendungen entwickelt oder mit Datenbanken arbeitet, muss seine Ergebnisse ausreichend testen. Dazu werden valide Testdaten benötigt. Da liegt es nahe, die bereits bestehenden Produktivdaten zu kopieren und für den Test einzusetzen. Das klingt simpel und auch gar nicht unlauter, kann jedoch zu einem rechtlichen Problem mit beträchtlichen finanziellen Schäden werden.

Hinter dem Begriff DevSecOps steckt die Idee, dass jedes Teammitglied eines Softwareprojekts für die Entwicklung, den Betrieb und die Sicherheit des gesamten Softwareprojekts verantwortlich ist. Dabei versprechen statische Codeanalysen, Testgeneratoren und zahlreiche Machine Learning-Ansätze einen erhöhten Grad an Automatisierung.

An agilen Methoden wie DevOps kommt heute bei der Software-Entwicklung niemand mehr vorbei. Wer dem Thema Sicherheit dabei nicht von Anfang an große Aufmerksamkeit widmet, riskiert eine Menge Geld und den Ruf seines Unternehmens.

Das neu gegründete Trellix Advanced Research Center liefert detaillierte Informationen zu CVE-2007-4559, einer 15 Jahre alten Sicherheitslücke im Python-Modul für Tar-Dateien, von der nicht nur über 350.000 Open-Source-, sondern auch Closed-Source-Projekte betroffen sein dürften.

Die sieben Insider-Portale der Vogel IT-Medien haben in diesem Jahr ihre Leserinnen und Leser zum vierten Mal dazu aufgerufen, ihre Anbieter und Hersteller des Jahres zu wählen. Heute werden die Gewinner der Readers' Choice Awards 2018 in insgesamt 42 Kategorien im Rahmen einer festlichen Abendgala gekürt.

Im letzten Jahr hat Microsoft auf die Vorliebe von Cyberkriminellen reagiert, Schadcode über Makros von Office-Dokumenten in Unternehmen einzuschleusen. Hierzu werden nun XL4- und VBA-Makros für Office-Nutzer in den Standardeinstellungen blockiert. Dieser Schritt hat tatsächlich Wirkung gezeigt.

Eine neue Studie unter 350 Entscheidungsträgern aus den Bereichen Anwendungsentwicklung, Informationstechnologie und Cybersicherheit zeigt, dass bei 34 Prozent der befragten Unternehmen in ihren Anwendungen in den letzten 12 Monaten eine bekannte Open-Source-Software-Schwachstelle ausgenutzt wurde, 28 Prozent waren von einer bisher unbekannten ("Zero-Day") Schwachstelle betroffen.

Die Abwehr von intelligenter Malware oder raffinierten Phishing-Angriffen, das sichere Auslagern von Assets in die Cloud sowie das Einhalten von immer komplexeren Daten­schutz­richtlinien erfordert von Unternehmen eine nachhaltige Sicherheitsstrategie. Diese muss unternehmensweit adaptiert werden und möglichst alle Schwachstellen abdecken. Die Umsetzung eines DevSecOps-Ansatzes kann dies unterstützen.

Mit Windows 10 Version 1903 führt Microsoft die Windows-Sandbox ein. Mit dieser lassen sich Programme gegen das darunterliegende Betriebssystem abschotten. So kann man bei unbekannten Anwendungen und Dateien verhindern, dass Windows beeinträchtigt wird. In diesem Video-Tipp zeigen wir die Vorgehensweise und Möglichkeiten.

Container sind eine angesagte Methode zur Entwicklung und Bereitstellung von Applikationen, denn sie nutzen die dafür nötigen Ressourcen sehr effizient. Herkömmliche Sicherheitsarchitekturen können allerdings mit der steigenden Zahl an eingeführten Containerlösungen kaum mehr Schritt halten.

Die DSGVO regelt die Verarbeitung personenbezogener Daten neu. Sie wird am 25. Mai 2018 rechtsverbindlich. Rutronik beschreibt jetzt in einem Whitepaper wesentliche Bereiche, die für Hardware- und Software-Entwickler, Produktmanager und Einkäufer bei der Umsetzung der DSGVO entscheidend sind.

Will man eine Software auch sicher machen bedeutet das viel Arbeit. Es gilt Schwachstellen zu verhindern und von Beginn an einen sorg­samen Umgang mit Daten zu pflegen. Dazu gehört die Trennung von Datenverarbeitung und ihrer Darstellung ebenso wie eine konsequente Validierung von Ein- und Ausgangsdaten. Dann braucht es nur noch sichere Übertragungswege und regelmäßige Prüfroutinen. Oder fehlt da noch was?

Viele Onlinedienste und Websites sind anfällig für Angriffe. Die Entwicklung moderner Software für Webanwendungen ist heutzutage so komplex, dass Fehler trotz intensiver Prüfung nicht oder nur schwer erkennbar sind. Das demonstrierte auch die Heartbleed-Schwachstelle in der Open-Source-Bibliothek OpenSSL eindrucksvoll. Wir zeigen die gängigen Herausforderungen, mit denen Entwickler konfrontiert sind und wie man sie bewältigt.

Man könnte denken, „Cybersecurity Compliance“ liegt seit Jahren im Trend mit seinen unzähligen Artikeln, Initiativen und Ausschüssen, in denen diskutiert wird, wie die Welt am besten gegen das gewaltige Multi-Bedrohungs-Biest, die Cyberkriminalität vorgehen soll. Speziell bei der Software-Sicherheit haben Unternehmen aber noch viel zu tun.

Ein hartnäckiger Mythos besagt, dass Open-Source-Software grundsätzlich mehr Risiken birgt als proprietäre Lösungen. Schließlich gibt es keinen Hersteller, der für Funktionsweise und Sicherheit der Software verantwortlich zeichnet. Eine aktuelle Studie fragte IT- und IT-Security-Fachkräfte nach ihrer Meinung zu kommerziellen Open-Source-Lösungen und deren Einfluss auf Sicherheit und Datenschutz in Unternehmensanwendungen und zeigt erstaunliche Ergebnisse.

Am 06.12.2017 fand der Launch von Insider-Research.de statt. Hier findet man nun gebündelt die Informationen über Insider Research, der Analysten-Sparte der Vogel IT-Medien GmbH, darunter einen Überblick über die Leistungen von Insider Research, Beispiele für aktuelle Projekte im Bereich White Paper, eBooks und Buying Guides sowie mehr als zehn Aufzeichnungen von Insider Talks, einem Online-Talk-Format zu aktuellen IT-Trends mit spannenden Gästen, an denen Insider Research beteiligt ist.

Heutzutage ist fast jedes Unternehmen von Software abhängig. Entweder produzieren Unternehmen die Software als Hauptprodukt oder Add-on-Produkt, oder sie verwenden sie für kritische interne digitale Infrastrukturen. Die von ihnen produzierte oder verwendete Software ist gemeinsam mit ihrer Marke und ihrem Ruf allgegenwärtig. Daher ist der Schutz der Software genauso wichtig wie das Verriegeln der Haustür.

In Entwicklungsumgebungen, in denen schnelle und häufige Deployments die Regel sind, schleichen sich leicht unbemerkt Fehler in den Code. Der AWS Security Hub ermöglicht automatisierte Compliance-Checks und liefert aggregierte Informationen zu einer Reihe von Cloud-Services.

Sicherheitskriterien spielen bei der Auswahl von IT-Lösungen eine große Rolle. Doch wie kann man die IT-Sicherheit bei einem Angebot bewerten? Professionelle und transparente Security-Ratings mit ihren Kennzahlen können bei der Lösungssuche und Anbieterauswahl helfen. So können Unternehmen schon vor der Angebotsphase die für sie optimal passende Shortlist erstellen.

SSL-Zertifikate waren bisher mit Laufzeiten zwischen einem und drei Jahren erhältlich. Ab 1. März 2018 ändert sich diese Auswahloption und die maximale Laufzeit wird auf 825 Tage begrenzt. Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

Geht es um das Thema autonomes Fahren, stehen meist Aspekte wie hochpräzise Sensoren und KI im Vordergrund. Doch die zahlreichen Services, die autonomes Fahren ermöglichen, bergen auch Gefahren, denn mit jeder neuen Funktion kommen auch neue Sicherheitslücken und Schwachstellen.

Jede Web- und Mobilanwendung, die von Unternehmen benutzt wird, setzt Authentifizie­rungsmethoden ein. Sie sind Dreh- und Angel­punkt der Sicherheit von Applikationen. Au­then­ti­fizie­rungs­vorgänge sichern nicht nur die Anwendungen selbst, sondern schaffen auch individuellen Zugriffsschutz für jedes Benutzer­konto. Gleich­zeitig können sie jedoch auch zu einem der gefährlichsten Einfallstore für Hacker und Cyberkriminelle werden.

Im Linux Kernel wurde eine Sicherheitslücke gefunden, die einen lokalen DoS oder administrative Rechte ermöglicht. Sie ist seit 2009 Teil von Linux, große Distributionen liefern inzwischen Updates. Gefährdet sind IoT-Geräte und möglicherweise Docker-Hosts.

Das Internet der Dinge dringt in Gebiete wie Medizin, Automotive und Industrie vor. Für diese Systeme wird nicht nur die funktionale Sicherheit, sondern auch der Schutz gegen Cyber-Attacken wesentlich.

Das Security-Startup Bitinspect hilft Unternehmen, die Sicherheit ihrer Webanwendungen und Apps genau unter die Lupe zu nehmen. Spätestens wenn personenbezogene Daten gespeichert oder Zahlungstransaktionen abgewickelt werden sollen, ist dies ein wichtiger Faktor.

Während die Änderungen bei den Authentifizierungsverfahren im Rahmen der PSD2 (European Payment Services Directive) aktuell viel Aufmerksamkeit erhalten, geht ein wesentlich heikleres Thema mit viel größeren und komplexeren Auswirkungen auf die IT-Sicherheit beinahe unter: Die verpflichtende Bereitstellung von APIs für Drittanbieter.

Die Gewohnheit, bei der Entwicklung von Webapplikationen erst zum Schluss an die IT-Sicherheit zu denken, ist nicht zukunftsfähig. Durch Cyberangriffe in den Medien geraten Unternehmen zunehmend unter Druck, ihre Sicherheitsmaßnahmen zu verbessern. In Geschäftsbereichen wie dem Bank- und Finanzwesen, in denen IT-Sicherheit einen besonders hohen Stellenwert hat, hat sich die Situation bereits verbessert, aber vielerorts verharrt man in den alten Mustern.

Die Heartbleed-Schwachstelle hat gezeigt, wie wichtig es ist, die Sicherheit von Software zu verbessern. Konkrete Handlungsempfehlungen dazu diskutierten IT-Experten im Eberbacher Gespräch zu Software Security.

Der Hype um Container und den Betrieb von Workloads als Microservice ist mittlerweile auch in der Windows-Welt angekommen. Windows Server 2016 unterstützt Container, genauso wie Linux und VMware mit vSphere. Die Sicherheit darf dabei aber nicht vernachlässigt werden, unabhängig vom eingesetzten Betriebssystem.

Ein neues Projekt der TH Köln und von HK Business Solutions will kleine und mittlere Unternehmen bei der Entwicklung sicherer Software unterstützen. Die Unternehmen haben Zugriff auf einen kompletten Werkzeugkasten, der sie bei der Entwicklung unterstützt.

Kriminelle Hacker und Wirtschaftsspionage werden zu einem immer größeren Problem. Mit Software für Patch- und Versionsmanagement schließen Unternehmen potenzielle Einfallstore für Attacken und schützen sich damit vor Cyberangriffen wie dem kürzlich aufgetretenen Krypto-Trojaner WannaCry.

Beim Einsatz von Container-Technologien für Applikationsentwicklung und -betrieb werden immer wieder Sicherheitsbedenken geltend gemacht. Für die weitere Verbreitung ist deshalb eine hohe IT-Sicherheit erforderlich. Mit dem Einsatz adäquater Tools ist sie aber mit vertretbarem Aufwand realisierbar.

Centrify will die Sicherheit seiner Centrify Identity Platform weiter erhöhen und zahlt in einem neu gestarteten Bug-Bounty-Programm bis zu 3.000 US-Dollar für gefundene Schwachstellen. Das Programm wird zusammen mit Bugcrowd durchgeführt, einem Unternehmen das Crowd-gestützte Sicherheitstests anbietet.

Bug-Bounty-Programme verwandeln Hacker vom Feind zum Freund. Das bringt massive Vorteile für Unternehmen, die in einem sich ständig wandelnden Sicherheitsumfeld agieren. Gut durchdachte Programme zum Auffinden von Schwachstellen können Software-Anbietern helfen, den Netzwerkeffekt zu nutzen, um ihre Nutzer besser zu schützen.

Hacker, Malware und Cyberspionen wirksam den Zugriff auf digitale Unternehmenswerte zu verwehren ist nicht einfach. Man investiert dafür in clevere Software, durchdachte Prozesse und letztendlich auch in Security Awareness beim Mitarbeiter, der als engagierter Wächter ebenfalls Bedrohungen erkennen und eliminieren soll. Gerade Gruppen wie Programmierer bleiben bei diesen Maßnahmen aber oft inhaltlich ausgeschlossen, da man nicht auf Ihre Bedürfnisse eingeht.

Wer hat das Argument nicht schon mal von Entwicklern gehört: Sicherheit würde die Entwicklung verlangsamen und sei teuer. Auch stete Wiederholung macht diese Aussage nicht richtig. Denn genau das Gegenteil ist der Fall!

Wer wie die MEAG die SAP-Anwendungsentwicklung an Dienstleister auslagert, braucht effektive Methoden zur Kontrolle der Codequalität und -sicherheit. Manuell lässt eine solche Codeprüfung kaum umsetzen, helfen kann ein Tool zur automatischen Kontrolle.

40 Prozent der Unternehmen setzen schon bei der Software-Entwicklung auf Sicherheitstests. Das ist ein Ergebnis einer aktuellen Umfrage von Veracode unter Entwicklern und IT-Führungskräften aus Deutschland, dem Vereinigten Königreich und den Vereinigten Staaten.

Open Source vs. Closed Source – ein Streit, der von vielen Anwendern mit religiösem Eifer ausgefochten wird. IT-Entscheider denken da pragmatischer: Sie suchen nach Lösungen, die ihrem Unternehmen den größten Nutzen bringen.

KasperskyOS ist ein Betriebssystem, das für Embedded-Systeme mit strikten Cybersicherheitsanforderungen entwickelt wurde. KasperskyOS reduziert die Wahrscheinlichkeit nicht dokumentierter Funktionalität und vermindert so das Risiko von Cyberattacken.

Qualys hat eine kritische Sicherheitslücke im Multipart-Parser Jakarta von Apache Struts 2 entdeckt. Die Schwachstelle CVE-2017-5638 ermöglicht bei anfälligen Anwendungen die Ausführung von Schadcode aus der Ferne. Entsprechende Exploits können Angreifer in die Lage versetzen, kritische Daten zu stehlen oder die Kontrolle über Ihre Anwendungsserver zu übernehmen.

Agile Projekte liefern in Verbindung mit DevOps in der Regel schnell und häufig neue Releases aus. Jedoch kann bei einer hohen Rolloutfrequenz nicht jedes einzelne Release einen eigenen umfangreichen Penetrationstest erhalten, ohne dass Security als Bottleneck den Vorteil zügiger Rollouts wieder zunichtemachen würde. Um dennoch mit einem guten Gewissen agil live gehen zu können, bedarf es anderer Lösungen.

Vielen gelten die Prioritäten von Software-Entwicklern und Mitarbeitern der IT-Sicherheit als unvereinbar – die einen wollen möglichst schnell arbeiten, die anderen möglichst sorgfältig. Eine neue Studie von Veracode und den IT-Beratern der Enterprise Strategy Group (ESG) zeigt jetzt, dass die beiden Abteilungen durchaus in der Lage sind, an einem Strang zu ziehen.

Sicherheitsexperten von Check Point haben Schwachstellen im XML-Parser in den meistgenutzten Android-Entwicklungstools entdeckt. Betroffen sind Googles Android Studio, JetBrains’ IntelliJ IDEA und Eclipse sowie Reverse Engineering Tools wie APKTool, der Cuckoo-Droid Service und andere.

Sicherheitslücken in Webanwendungen nehmen immer weiter zu, neben bekannten Kategorien wie Cross-Site Scripting gibt es auch neue Bedrohungen wie „unsichere Deserialisierung“. Mit dem Erfolg des Internet der Dinge (IoT) wachsen die Risiken weiter und beeinflussen die Sicherheitslandschaft dauerhaft. WordPress und PHP bleiben „dominierend“ im Hinblick auf veröffentlichte Sicherheitslücken in Content-Management-Systemen beziehungsweise serverseitigen Technologien.