Suchen

Security-Startups im Blickpunkt: Securai Security Awareness für Programmierer

Autor / Redakteur: Ralph Dombach / Peter Schmitz

Hacker, Malware und Cyberspionen wirksam den Zugriff auf digitale Unternehmenswerte zu verwehren ist nicht einfach. Man investiert dafür in clevere Software, durchdachte Prozesse und letztendlich auch in Security Awareness beim Mitarbeiter, der als engagierter Wächter ebenfalls Bedrohungen erkennen und eliminieren soll. Gerade Gruppen wie Programmierer bleiben bei diesen Maßnahmen aber oft inhaltlich ausgeschlossen, da man nicht auf Ihre Bedürfnisse eingeht.

Firmen zum Thema

Die Entwicklung von sicherem Programmcode ist ein elementarer Schritt auf dem Weg zu einer wirkungsvollen Abwehr von Cyber-Bedrohungen.
Die Entwicklung von sicherem Programmcode ist ein elementarer Schritt auf dem Weg zu einer wirkungsvollen Abwehr von Cyber-Bedrohungen.
(© bakhtiarzein - stock.adobe.com)

In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit neuen, innovativen Ideen die IT-Sicherheit nach vorn bringen wollen. Das Startup-Unternehmen Securai, aus Garching bei München bietet im Bereich der Security Awareness verschiedene Lösungsansätze, denn das junge Team nimmt sich speziell der Programmierer an und deren Arbeitsprodukte – den Programmen, die für den eigenen Bedarf oder zum Verkauf entworfen werden. Securai, 2014 gegründet, setzt dabei auf drei elementare Bausteine, um die Applikationssicherheit ihrer Kunden zu optimieren: Beratung, Training und Penetrationstests.

Die Mitarbeiter von Securai sind keine Experten, die nur am grünen Tisch Applikationssicherheit planen, sondern Programmierer und Berater, die im realen IT-Leben beheimatet sind. Man kennt die Probleme von Unternehmen, wie sie bei der Eigenentwicklung von Produkten auftreten. Man versteht die Umstände, die zu einer Lücke zwischen Schutzbedarf und gelebten Sicherheitskonzept führten. Man kann aber sich aber auch mit dem Programmierer auf Programmiersprachen-Niveau unterhalten oder auf einer übergeordneten Ebene, wenn es um Schwachstellen in Programmiersprachen geht oder um die Implementation von sicheren „Best Practices“-Lösungen. Man kennt seine Nöte zwischen effektiven Code, kurzen Entwicklungs- und Testzeiten und Security-Anforderungen. Die Securai-Mitarbeiter kennen aber auch die Methoden, die Cyberkriminelle verwenden, um Schwachstellen in Applikationen auszunutzen. Dieses Wissen hilft, durch organisatorische Maßnahmen oder verbesserte Programmierung diese Lücken des Kunden zu schließen.

Bildergalerie
Bildergalerie mit 5 Bildern

Modul: Beratung

Der dienstbare Samurai als „Maskottchen“ von Securai.
Der dienstbare Samurai als „Maskottchen“ von Securai.
(Bild: Securai)

Idealerweise wird dieses Modul vor der Entwicklung einer neuen Applikation durchlaufen. Denn müssen Schwachstellen im Betrieb beseitigt werden, ist der Aufwand ungleich höher, als zu Beginn der Entwicklung. Securai analysiert das Zusammenspiel zwischen Daten, Datenfluss, Entwicklungsprozess, Sicherheitskonzept und Schutzbedarf. All diese wird in Relation zueinander gesetzt um ein möglichst hohes Sicherheitsniveau zu erreichen und Maßnahmen zur weiteren Optimierung festzulegen. Diese festgelegten Aktionen, können dabei die Datenablage, ein Berechtigungskonzept, die Sitzungsverwaltung und andere elementare Bausteine betreffen. Auch ferne Konzepte, wie beispielsweise die Einbindung von externen Programmierern (oder Code) oder das Zusammenspiel mit fremden Nutzern, die ggf. auf einer unsicheren Basis agieren, kann hier Gegenstand einer Aktion sein. Die einzelnen Elemente der Betrachtung und erarbeiteten Aktionen werden dabei individuell, abhängig vom jeweiligen Umfeld, ermittelt.

Modul: Training

Programmierer sollen meistens, effektiven Code erstellen, der leicht zu warten ist und modular geschrieben wurde, so das Komponenten schnell ausgetauscht werden können (Beispielsweise ersetzen des Hash Algorithmus SHA-1 durch SHA-3).

Auf sichere Programmierung, wie beispielsweise die versschlüsselte Ablage von Daten (Passwörter), die Überprüfung von Eingaben (Eliminieren von Steuercodes) oder einen implementierte Selbstüberprüfung des Codes (Prüfen auf Veränderung; Unversehrtheit) wurde jahrelang verzichtet. Securai steht hier den Programmierern zur Seite. Für entdeckte Schwachstellen im Programmcode werden Alternativen aufgezeigt, die dem aktuellen Stand der Programmiertechnik entsprechen. Dabei orientiert man sich unter anderem am OPSWAT-Guide (OPSWAT TOP 10 Risks). Da niemand den Code besser kennt, als die Programmierer, verzichtet Securai auf ein kompletteres Code-Review und arbeite mit dem Programmieren zusammen. Denn diese kann nach den entsprechenden „Awareness“-Schulungen, die kritischen Bereiche in seinem Code identifizieren und sie zusammen mit den Security-Experten entschärfen.

Securai bietet hier Support für Webanwendungen an, aber auch für IoT-Programme und klassische Client-Server-Applikationen.

Modul: Pen-Test

Als “State-of-the-Art” zur Verifikation von Schwachstellen hat sich heute vielerorts das sogenannte Pen-Testing (Pentrationstest) etabliert, bei dem ein Auftrags-Angreifer versucht System auszuhebeln und an geschützte bzw. nicht zugängliche Bereiche und Daten zu kommen.

Ein solches Pen-Testing führt auch Securai im Kundenauftrag für dessen Tools durch. Hierfür wird im Vorfeld u.a. besprochen, was getestet werden soll und anhand dessen wird ein individuelles Testkonzept erarbeitet, welches letztendlich einen Report generiert. Dieser benennt die gefundenen Lücken und zeigt mögliche Maßnahmen zur Beseitigung auf.

Ergänzendes zum Thema
Im Gespräch mit Christoph Haas, Gründer und Geschäftsführer von Securai

Christoph Haas, Gründer und Geschäftsführer von Securai.
Christoph Haas, Gründer und Geschäftsführer von Securai.
( Bild: Securai )

Security-Insider: Ihr Namensspiel im Firmennamen lässt ja hoffen, denn bei IT-Sicherheit kann man immer einen guten „Beschützer“ brauchen. Wie sind Ihre Erfahrungswerte bezüglich erfolgreicher Attacken aufgrund von unsicherem Code – ist das wirklich eine nennenswerte Bedrohung?

Christoph Haas: Unsicherer Code ist – neben Social Engineering – einer der Hauptangriffspunkte. Gerade in Bezug auf IoT- bzw. Embedded-Geräte ist das ein Riesen-Problem. Das Mirai-Botnetz hat das letztes Jahr ja sehr eindrucksvoll gezeigt. Aber auch nahezu alle anderen größeren Datenlecks der letzten Zeit sind aufgrund von unsicherem Code erst möglich gewesen.

Security-Insider: Woher kommt das Probleme mit unsicherem Code nach Ihre Meinung? Sind es schlecht ausgebildete Programmierer, oder ist es ein Desinteresse an IT Sicherheit, das sich in den letzten Jahren etabliert hat oder sind es ganz andere Gründe?

Haas: Die Ausbildung der Entwickler könnte natürlich immer besser sein. Ein weiteres großes Problem ist in meinen Augen jedoch der enorme Zeit- und Kostendruck. Viele Entwickler würden gerne sichere Software schreiben, wissen aber zum einen nicht so recht wie und haben vor allem keine Ressourcen dies zu tun.

Security-Insider: Hr. Haas, OWASP gibt eine Vielzahl von Tipps und Ratschlägen vor. Sind diese auch für den DACH-Bereich zutreffend oder eher Global geprägt – wie ist hier Ihre Einschätzung?

Haas: Das OWASP-Projekt hat es geschafft, allgemeingültige Regeln und Vorgehensweisen für sichere Software-Entwicklung und -Tests aufzustellen. Inzwischen übrigens nicht mehr nur für den Web-Bereich! Die Konzepte sind so durchdacht, dass diese sowohl im DACH-Bereich gelten, als auch an jedem anderen Ort.

Security-Insider: Was wären die Top-3 Aktivitäten, die sie einer Geschäftsführung zur Absicherung ihrer Applikationen vorschlagen würden?

Haas: Als erstes sollten die Entwickler geschult werden, damit diese aktuelle Angriffsszenarien kennen und abwehren können. Anschließen sollten die Sicherheitsziele der Anwendung geklärt werden. Im einfachsten Fall: Was ist das absolute Worst-Case in Bezug auf Sicherheit in meiner Anwendung? Abschließend sind Maßnahmen umzusetzen, wie die Sicherheitsziele bereits in den Entwicklungsprozess integriert werden können.

Mehrwert

Ein Programmierfehler in einer Software kann weitreichende und auch kostenintensive Folgen haben. Selbst ein Akzeptanztest kann nicht alle Eventualitäten aufdecken und schon gar nicht eine böswillige Manipulation zur Angriffsvorbereitung. Denn die wenigsten Unternehmen leisten sich betriebseigene Hacker, die bei Programmeigenentwicklungen die Eingabefelder auf eine SQL-Injection oder ein Cross-Site-Request-Forgery überprüfen. So entstehen Lücken im Programm, die einem Angreifer Zugang zu Daten ermöglichen, die nicht für ihn bestimmt sind. Welche extremen Effekte dies haben kann, zeigte der Hack auf das Dating-Portal „Ashley Madison“ im Jahr 2015 mit einem Millionenschaden. Auch wenn das Portal nach wie vor existiert, ein Imageschaden ist zweifelsohne entstanden.

Ein Imageschaden, der mit einer Beratung durch Securai möglicherweise Vermeidbar gewesen wäre. Je nach Komplexität der Anwendung und Unternehmensgröße kostet eine individuelle Überprüfung des Codes einer „normalen“ Anwendung ab 3.500 Euro.

Man könnte nun auch mit Source Code Analyse Tools versuchen, automatisiert Security-Fehler zu entdecken, aber die Frage nach der Effektivität bleibt. Mitunter liefert ein Experte schneller und damit auch preiswerter ein Ergebnis. Offen ist auch, in welchen Umfang automatische Tools Designfehler erkennen. Christoph Haas berichtete beispielsweise über eine Webapplikation mit einem „cleveren“ Berechtigungskonzept. Die Berechtigung basierte darauf, ein Menü anzupassen und einem weniger autorisiertem Anwender eine geringere Auswahl an Menüpunkten anzubieten. Wer jedoch das ausgeblendeten Link bzw. den Funktionsaufruf kennt, kann manuell, ohne Einschränkungen, darauf zugreifen. Wie vielfältig die Dienstleistung von Securai sein kann, zeigt deren Referenz-Webseite auf der, anonym einige Referenzkunden und ihre Projekte vorgestellt werden.

Ergänzendes zum Thema
Security-Startups gesucht!

Security-Insider präsentiert innovative, junge Startups, aus Deutschland, Österreich und der Schweiz, die es sich zur Aufgabe gemacht haben, die IT-Sicherheit mit einfallsreichen, neuen Ansätzen und einem kreativen Blick auf die Security-Landschaft zu verbessern.

Wir stehen bei der Suche nach den interessantesten IT-Security-Startups aus dem deutschsprachigen Raum bereits mit vielen Verbänden, Inkubatoren, Acceleratoren und Universitäten in Kontakt. Aber wenn Sie ein Startup aus dem Bereich der IT-Sicherheit kennen, oder selbst Gründer eines solchen jungen Unternehmens sind, das nicht älter als drei Jahre ist und das wir unbedingt kennenlernen sollten, dann schreiben Sie uns!

Kurztest

Für Unternehmen, die über die Sicherheit ihrer Applikationen im unklaren sind, bietet Securai auch einen „Security Quick Check“ (SOC) an. Dieser beinhaltet eine Analyse der aktuellen IST-Situation, die mit einem vertretbaren Aufwand, bei Securai und dem Kunden, gewonnen wird.

Der erste Schritt besteht in einem Pen-Test, bei dem Securai grobe Lücken aufdeckt und die IST-Konstellation von außen ermittelt. Im zweiten Schritt wird beim Kunden das Netzwerk analysiert und Fachgespräche zur IST-Situation geführt. Hier werden die Personen kontaktiert, die für die IT Sicherheit zuständig sind - auf konzeptioneller Ebene und im RUN-Umfeld. Schließlich werden die Erkenntnisse in einem Managementreport zusammengefasst und empfehlenswerte Maßnahmen abgeleitet.

Fazit

Die Entwicklung von sicherem Programmcode ist ein elementarer Schritt auf dem Weg zu einer wirkungsvollen Abwehr von unerwünschten Cyber-Bedrohungen. Securai befähigt Unternehmen, sich selbst zu helfen und in Zukunft sicheren Code zu schreiben und gefährliche „Altlasten“ zu optimieren.

Securai auf einen Blick
Name Securai
Webseite https://www.securai.de/
Geschäftsform GmbH
Standort Garching
Gründungszeitpunkt September 2014
Geschäftsführer Christoph Haas
Anzahl Mitarbeiter 4 (2017)
Security-Sparte Pen-Testing und Sicherheitsanalyse von Web-, IoT- und klassischen Client-Server-Anwendungen
Produkt Web-/App-Sicherheitsanalyse mit Security-Beratung
Innovation Sicherheitsanalyse für Applikations-Code durch erfahrene Experten
Unternehmens-Blog https://www.securai.de/veroeffentlichungen/blog/
Investitionen möglich Nein
Startfinanzierung /
Umsatz letztes Jahr
40.000 Euro / keine Angabe

(ID:45225030)

Über den Autor