:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Sicherheit im Entwicklungsprozess Code Signing-Prozesse absichern
Heutzutage ist fast jedes Unternehmen von Software abhängig. Entweder produzieren Unternehmen die Software als Hauptprodukt oder Add-on-Produkt, oder sie verwenden sie für kritische interne digitale Infrastrukturen. Die von ihnen produzierte oder verwendete Software ist gemeinsam mit ihrer Marke und ihrem Ruf allgegenwärtig. Daher ist der Schutz der Software genauso wichtig wie das Verriegeln der Haustür.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Software ist überall zu finden: in Computern (Firmware, Treiber, Betriebssysteme, Anwendungen), mobilen Geräten, industriellen Steuerungen, Transportsystemen und anderen kritischen digitalen Infrastrukturen. Benutzer müssen darauf vertrauen können, dass die von ihnen installierte und verwendete Software authentisch und damit vertrauenswürdig ist und nicht von Dritten verändert wurde.
Code Signing ist eine Verschlüsselungstechnik, die seit über 30 Jahren von Unternehmen eingesetzt wird, um eine Software digital zu „signieren“. Das Verfahren soll aufzeigen, dass sie aus dem Unternehmen stammt (authentisch ist) und nicht von einem Dritten verändert wurde. Die Unterstützung dafür ist in vielen modernen Betriebssystemen integriert und Benutzer werden gewarnt oder daran gehindert, die Software zu installieren, wenn sie nicht digital signiert wurde. Es kann auch vorkommen, dass diese Software nach der ursprünglichen Signierung von einer unseriösen Quelle erneut signiert oder verändert wurde.
Code Signing als Cyber-Waffe
Cyber-Kriminelle benötigen oft unwissende Opfer, die ihre Malware installieren, um wichtige Informationen wie Anmeldedaten stehlen zu können. Da unsignierte oder unseriöse Software oft von einem Betriebssystem blockiert wird, stehlen die Angreifer legitime Code Signing-Anmeldeinformationen von legitimen Unternehmen. Sie versuchen dann die Mitarbeiter davon zu überzeugen, dass die Software, die nun eigentlich eine Schadsoftware ist, vertrauenswürdig ist. Tatsächlich wurden über 25 Millionen bösartige Binärdateien mit Code Signing-Zertifikaten im Internet verbreitet. So haben Sicherheitsforscher bereits bösartige Akteure entdeckt, die Malware in Antivirenprogrammen versteckten, indem sie Uploads mit gültigen Code Signatur-Anmeldeinformationen ausstatteten.
Code Signing-Zugangsdaten sind daher ein wertvolles Gut für Cyber-Kriminelle. Ein Beispiel: Das eigene Unternehmen ist eine Bank und verteilt eine Mobile Banking App an die Kunden. Die Kunden können dieser App vertrauen und sie nutzen, da sie mit den Zugangsdaten digital signiert wurde. Wenn Internet-Verbrecher diese Code Signing-Zugangsdaten gestohlen haben, dann können sie die Malware im Namen des Unternehmens verbreiten. Benutzer würden darauf vertrauen, dass die App weiterhin von der Bank stammt und installieren sie. Die schlimmste Folge für das Unternehmen? Die Kunden würden die Bank für den Betrug verantwortlich machen, wegen zu lascher Sicherheitsvorkehrungen.
Gefahr erkannt, doch nicht gebannt
In einer Venafi-Studie gaben Sicherheitsexperten an, dass sie zwar die Risiken der Code-Signatur verstehen, aber keine geeigneten Maßnahmen ergreifen, um ihr Unternehmen vor Angriffen zu schützen. Zu den wichtigsten Ergebnissen gehören:
- 50 Prozent sind besorgt, dass Hacker gefälschte oder gestohlene Code Signing-Zertifikate verwenden, um die Sicherheit ihrer Unternehmen zu verletzen.
- Weltweit setzen nur 29 Prozent der Unternehmen Sicherheitsrichtlinien für Code Signing konsequent durch. Dieses Problem ist in Europa akut, nur 14 Prozent sind in der Lage, Code Signing durchzusetzen.
- 35 Prozent haben keinen klaren Eigentümer für die privaten Schlüssel, die in den Code Signing-Prozessen in ihren Unternehmen verwendet werden.
- Weltweit verlassen sich 43 Prozent der Unternehmen bei der Verwaltung privater Code Signing-Schlüssel auf die IT-Security-Abteilung, nur noch 19 Prozent auf Entwickler, um diese Aufgabe zu erfüllen. Im Gegensatz dazu sind in 38 Prozent der europäischen Unternehmen die Entwickler dafür verantwortlich, während 27 Prozent erwarten, dass die IT-Security-Abteilung ihre private Code Signing-Schlüssel verwaltet.
- 69 Prozent erwarten, dass der Einsatz von Code Signing im nächsten Jahr zunehmen wird.
Ein wachsendes Problem
Da sich mehr Unternehmen auf Software verlassen und diese bereitstellen, werden ihre Entwicklungsabteilungen größer und komplexer. Häufig arbeiten sie auf der ganzen Welt verteilt und ihr Schwerpunkt liegt auf der schnelleren Bereitstellung von Software-Produkten (DevOps und Continuous Delivery). Für sie ist die Code Signierung nur ein Teil ihres Freigabeprozesses und sie treffen möglicherweise nicht die notwendigen Vorkehrungen, um die Code Signierungsdaten vor Diebstahl zu schützen.
Unternehmen sollten folgende Vorsichtsmaßnahmen treffen:
- 1. Sicherstellen, dass die für Informationssicherheit verantwortliche Gruppe stets Einblick in alle Code Signing-Aktivitäten hat und über alle verwendeten Code Signing-Anmeldeinformationen Bescheid weiß.
- 2. Sichere Speicherung privater Code Signaturschlüssel und Verhinderung, dass sie diesen sicheren Ort verlassen.
- 3. Definition und Durchsetzung von Code Signing-Richtlinien wie die Trennung von Aufgaben, welche Anmeldeinformationen zur Verfügung stehen, welche Code Signing-Tools verwendet werden können, welche Personen das Code Signing durchführen können und welche Genehmigungen zuerst erforderlich sind.
- 4. In der Lage sein, die Einhaltung der Code Signing-Richtlinien nachzuweisen, entweder für interne Audits oder externe in regulierten Branchen.
In der Praxis spielt es eine wichtige Rolle, ob der sichere Code Signing-Prozess schwerfällig, manuell und dadurch langsam oder für Entwickler schwierig zu bedienen ist. Um sich Arbeit zu sparen, werden Developer-Teams einfach das, was an Sicherheitsmaßnahmen vorhanden ist, umgehen und so weiterarbeiten, wie sie es gewohnt sind.
Um die Sache zu verkomplizieren, haben große Unternehmen viele verschiedene Entwicklergruppen, die verschiedene Arten von Software mit unterschiedlichen Code Signing-Anforderungen und mit verschiedenen Tools entwickeln. Ein gesicherter Code Signing-Prozess muss diese Unterschiede unterstützen und im gesamten Unternehmen anpassbar sein.
Fazit
Sicherheits-Teams und Entwickler betrachten Code Signing-Prozesse auf völlig unterschiedliche Weise. Entwickler sind in erster Linie daran interessiert, durch die Methoden und Anforderungen der Sicherheit nicht aufgehalten und behindert zu werden. Diese Trennung schafft oft eine chaotische Situation, die es Angreifern erlaubt, Schlüssel und Zertifikate zu stehlen. Um sich und ihre Kunden zu schützen, müssen Unternehmen genau verstehen, wo Code Signing verwendet wird, und sie müssen kontrollieren wie und wann Code Signing erlaubt ist. Darüber hinaus müssen sie Code Signing mit Development Build-Systemen zusammenbringen. Dieser umfassende Ansatz ist der einzige Weg, Risiken deutlich zu reduzieren und gleichzeitig die Geschwindigkeit und Innovation zu bieten, die Entwickler und Unternehmen heute benötigen. Eine Lösung sollte darin bestehen, den Code Signing-Prozess zu automatisieren. Solche Werkzeuge ermöglichen es Entwicklern, sich auf ihre Kernaufgaben zu konzentrieren und lassen die Sicherheitsleute ruhig schlafen.
* Eddie Glenn ist Senior Threat Intelligence Manager bei Venafi.
(ID:46121170)
:quality(80)/p7i.vogel.de/wcms/e7/07/e707db2cc874a44f9e0edf1652250440/0113670379.jpeg "Eine Kette ist nur so stark oder sicher wie das schwächste Glied – das gilt ebenso für die Komponenten einer Software-Anwendung. (Bild: KanawatTH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/b6/a6b65ea5946ffa87bc34d11d6c58c9ff/0109959919.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")