:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/51/b7/51b7a7d69e16959c4e7dbe416c279173/0115397256.jpeg "Frank Karlitschek (2. von links) spricht als Keynote Speaker der SFSCON im NOI Techpark in Bozen. (Bild: Daniele Fiorentino)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/1b/05/1b05a6297b2a816d61ef53c5a274bff2/0115206676.jpeg "Eine Pythonschlange am Computer – okay, sie hat Hände, aber wie sollte sie auch sonst effizient tippen? (Bild: StableDiffusionXL)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3c1969a5faf8fd032f4b56ccad311/0114861996.jpeg "Full-Stack-Developer beherrschen Front-end- und Back-end-Entwicklung ebenso wie adminsitrative und analytische Tätigkeiten. (Bild: <a href=lakexyde>lakexyde</a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Developer verwalten die Schlüssel zum Datenschatz Der Entwickler als Social-Engineering-Schwachstelle
Softwareentwickler finden sich immer häufiger in strategischen Positionen wieder und verfügen über Administratorrechte auf verschiedenen IT-Systemen. Dieses Privileg können Angreifer ausnutzen, um sich unbemerkt in Firmennetzwerken zu bewegen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Heutzutage zeigen Angreifer ein besonderes Interesse an Technologieunternehmen und Entwickler sind eines ihrer Hauptziele. Die jüngste Studie des Cybersicherheitsunternehmens Glasswalls, der Threat Intelligence Bulletin zeigt, dass fast die Hälfte der bösartigen Phishing-Kampagnen auf Technologieunternehmen abzielen.
Kriminelle versuchen, geistiges Eigentum und andere Daten zu stehlen. Diese Informationen werden entweder gewinnbringend verkauft oder – im Falle von Unternehmens- oder staatlich unterstützter Spionage – zur Herstellung von Knock-off-Versionen derselben Produkte verwendet.
Der Verizons Breach Investigations Report 2018 fand heraus, dass mehr Cyberangriffe, Hacks und Datenschutzverletzungen vor allem aus finanziellen Gründen durchgeführt werden: 76 Prozent der Cyberangriffe sind durch finanzielle Anreize motiviert; die meisten dieser Angriffe (73 Prozent) werden von Personen außerhalb der Organisation verübt, wobei die Mehrzahl von organisierten kriminellen Gruppen und 12 Prozent von nationalstaatlichen oder staatlich verbundenen Akteuren durchgeführt wird.
Stand 2019 hat dies zu Verlusten von rund 3,92 Mio. US-Dollar (3,55 Mio. Euro) weltweit geführt, jedoch sollen die Gesamtkosten der Cyberkriminalität in diesem Jahr auf voraussichtlich 2 Mrd. US-Dollar (1,81 Mrd. Euro) übersteigen. Obwohl 51 Prozent der Datenschutzverletzungen auf böswillige oder kriminelle Angriffe zurückzuführen sind, sind menschliche Fehlern für 24 Prozent der Angriffe verantwortlich. Dies wirft definitiv Sicherheitsbedenken auf.
Social Media ist ein lukratives Jagdgebiet
Die meisten Softwareentwickler neigen dazu, sich als sehr technisch kompetente und sicherheitsbewusste Personen einzuschätzen, die nicht auf einfache Betrugsversuche hereinfallen. Dies kann theoretisch stimmen, in der Realität ist aber das Gegenteil der Fall. Letztendlich sind sie Menschen und kein Mensch ist perfekt.
Softwareentwickler bleiben oft für relativ kurze Zeit im Job, für Berufstätige ist es daher üblich, verschiedene Profile in professionellen sozialen Netzwerken wie LinkedIn oder XING zu unterhalten. Angreifer nutzen diese Möglichkeit, um Informationen über diese Person zu sammeln. Danach führen sie aufwändige Spear-Phishing-Kampagnen mit überzeugenden Botschaften durch – mit wachsendem Erfolg.
Das ist erschreckend, denn die Wachstumsrate bei Social Media-Phishing ist dieses Jahr auf 75 Prozent gestiegen. Laut der Glasswall-Studie sind 70 Prozent dieser Fälle Evasive Malware Spear Phishing und durchschnittlich eine von 35.000 E-Mails enthält sehr gezieltes Spear Phishing. Darüber hinaus zeigten frühere Untersuchungen, dass 91 Prozent der Cyberangriffe mit einer ‚Spear Phishing‘-E-Mail beginnen. 56 Prozent der Social Media-basierten Betrügereien verweisen auf LinkedIn.
Angreifer bieten beispielsweise angebliche Chancen an, um neue Geschäftsverbindungen zu knüpfen. Diese gefälschten Karrieremöglichkeiten werden mit dem Ziel vorangetrieben, spezifische Fähigkeiten und Interessen ihrer potenziellen Opfer herauszufinden. In vielen Fällen schickt der Angreifer eine Phishing-E-Mail, die vorgibt, aus der Personalabteilung abgeschickt worden zu sein.
Dort wird dann beschrieben, dass man jemanden mit den Fähigkeiten oder Programmiersprachen des beabsichtigten Opfers sucht – Fähigkeiten, die aus seinem öffentlichen beruflichen Netzwerkprofil gesammelt wurden. Das Stellenangebot kann in PDF-Form vorliegen, was tatsächlich ein kompromittiertes Dokument ist. Das Öffnen solcher Dokumente ermöglicht dem Angreifer einen einfachen Zugriff auf das Konto seiner Opfer, wo er die Aktivitäten des Opfers leise überwacht und Login-Informationen kopiert.
Angreifer konzentrieren sich dabei nicht ausschließlich auf berufliche Social-Media-Netzwerke; sie nutzen auch beliebte Social-Media-Plattformen wie Facebook, die sehr eng mit dem Privatleben des Opfers verbunden sind. Menschen tendieren oft dazu, eher Dokumente und Links auf Facebook anzuklicken oder zu öffnen, ohne darüber nachzudenken, weil sie aus einer vermeintlich bekannten Quelle stammen. Neben LinkedIn-bezogenen E-Mails klicken Social-Media-User auch gerne auf solche Meldungen:
- Anmeldealarm für Chrome auf Motorola Moto X: 9 Prozent
- 55. Jahrestag und Pizza-Party: 8 Prozent
- Dein Freund hat ein Foto von dir markiert: 8 Prozent
- Facebook Passwort-Rückstellungs-Verifizierung: 8 Prozent
- Dein Passwort wurde erfolgreich zurückgesetzt: 6 Prozent
- Neue Sprachnachricht um 1:23 Uhr: 5 Prozent
Security-Awareness-Trainings für Entwickler
Entwickler sind eine risikoreiche Gruppe von Mitarbeitern, bei den möglichen Auswirkungen befinden sie sich auf der gleichen Risikoebene wie die Geschäftsführung oder Mitarbeiter aus Vertrieb, Marketing, Personal und Recht. Unternehmen sollten daher auch ihre Entwickler mit einem New-School-Security Awareness-Trainings schulen.
Schulungen, die spezifisch für die Softwareentwicklung sind, sollte die Kerntechnologien ansprechen, die Entwickler derzeit im Unternehmen verwenden. Dann wird sichergestellt, dass sie in ihren Webanwendungen Sicherheitsrisiken minimieren. Die OWASP Top 10-Liste ist ein effektiver erster Schritt, um auch die Softwareentwicklung dazu zu bringen, sicheren Code zu produzieren. Darüber hinaus leisten Sicherheitstrainings zu Themen wie Industriespionage, Verschlüsselung, Webapplikationsentwicklung usw. einen großen Beitrag zur Verbesserung der Sicherheitskultur auf Ebene der Softwareentwicklung.
Die Cyberwelt wird immer anspruchsvoller. Sie verschmilzt immer mehr mit der realen Welt und es gibt vielfältige Möglichkeiten, Cyberangriffe durchzuführen. Social Media-Plattformen sind zu einer Goldgrube für die Cyberkriminellen geworden. Angreifer nutzen die Plattformen, um sowohl Mitarbeiter als auch Kunden zu verführen, indem sie Malware verbreiten oder Social Engineering-Kampagnen durchführen. Phishing ist nach wie vor die wichtigste Bedrohungstechnik bei Social-Engineering-Angriffen, und Spear-Phishing beginnt im meisten Fällen auf diese Plattformen (Facebook, Instagram, LinkedIn und Twitter).
Als wichtigste Maßnahme gehört hier die Schulung der Mitarbeiter, um das Unternehmen besser vor solchen Social Engineering-Kampagnen zu schützen. Der Social Media Phishing Test (SPT) zum Beispiel, ist ein kostenloses IT-Sicherheitstool, mit dem Unternehmen feststellen können, welche Benutzer in ihrem Unternehmen anfällig für diese Art von Phishing-Angriffen sind. SPT gibt außerdem einen schnellen Überblick darüber, wie viele Mitarbeiter zu Opfern werden könnten.
* Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.
(ID:46291321)
:quality(80)/p7i.vogel.de/wcms/de/f3/def38b3f05889a71707b64e7ebe883cd/0112261389.jpeg "Security Champions denken Cybersicherheit für ihr gesamtes Team mit und integrieren sie tief in den Entwicklungsprozess. (Bild: <a href=https://pixabay.com/users/andremsantana-61090/>André Santana AndreMS</a>)")
:quality(80)/p7i.vogel.de/wcms/a0/18/a0184a1ae317b7756b0efc70cf3a3c25/0108782048.jpeg "Cyber-Kriminelle machen sich vermehrt Anfälligkeiten in Software-Lieferketten zunutze, um bösartige Software-Pakete zu verteilen. (Bild: <a href=https://pixabay.com/users/tumisu-148124/>Tumisu</a>)")