:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/25/2c/252c14a7cc655c7042a5340cf89f6634/0115266124.jpeg "Durch die Integration mit OpenAI werden die bestehenden KI-basierten Fähigkeiten von Parasoft Jtest zur automatischen Generierung von Unit-Tests erweitert. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/9d/63/9d63d4d0333767d38bcfd8586b1cc22b/0115311824.jpeg "Progress hat Release R3 2023 von Progress Telerik und Progress Kendo UI veröffentlicht. (Bild: Progress)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/42/b3/42b36e6473e4cec5e3276d1de9833374/0115255429.jpeg "Schwachstellen mit kritischem oder hohem Schweregrad sind laut Synopsys weniger wahrscheinlich geworden. (Bild: <a href=https://pixabay.com/illustrations/cyber-security-internet-security-1923446/>Darwin Laganzon</a>)")
:quality(80)/p7i.vogel.de/wcms/98/4c/984c13b55df0ad02a970332d4d8f3aee/0115070151.jpeg "Beispiel einer User Journey. (Bild: Grammarly)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf0c6b696fffdd88adcb5610cdc8c27/0115235498.jpeg "Beim Einsatz von generativer KI lauern eine Security- und Compliance-Risiken, mit denen man sich auseinandersetzen sollte. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/f9/a3/f9a30aab66a2bf745dd9c677c6548fd7/0115396059.jpeg "„Beware the App Generation“, titelt Cisco AppDynamics in seiner aktuellen Studie, denn diese urteilt schnell und erbarmungslos über schlechte Anwendungen. (Bild: <a href=https://unsplash.com/@zana_qaradaghy>Zana Latif</a>)")
:quality(80)/p7i.vogel.de/wcms/1b/05/1b05a6297b2a816d61ef53c5a274bff2/0115206676.jpeg "Eine Pythonschlange am Computer – okay, sie hat Hände, aber wie sollte sie auch sonst effizient tippen? (Bild: StableDiffusionXL)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/54/cd/54cda8ed648ddd8c02cadbb63dad78e5/0115243203.jpeg "RAD Studio 12 Athens unterstützt iOS 17, Android 13 und macOS Ventura, Ubuntu 22 LTS und Windows Server 2023. (Bild: Embarcadero)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3c1969a5faf8fd032f4b56ccad311/0114861996.jpeg "Full-Stack-Developer beherrschen Front-end- und Back-end-Entwicklung ebenso wie adminsitrative und analytische Tätigkeiten. (Bild: <a href=lakexyde>lakexyde</a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Penetrationstests zur Tiefenanalyse (Deep Analysis)
Penetrationstests sind Sicherheitsprüfungen, durchgeführt von internen oder externen Spezialisten mit einem offensiven Ansatz. Anstatt die Produktfunktionen zu prüfen, konzentrieren sich Penetrationstests nur darauf, Sicherheitslücken und -schwächen aufzudecken. Abhängig von der Vereinbarung mit dem Kunden verwenden Pen-Tester entweder die White- oder die Black-Box-Methode.
Diese gewähren jeweils unterschiedlich viel Einblick in die interne Dokumentation und sogar den Quellcode eines Produkts. Beim White-Box-Ansatz haben die Tester Zugang zu internen Informationen, ähnlich wie ein internes QS-Team sie hat. Beim Black-Box-Ansatz bekommen die Pen-Tester nur das aktive Produkt und alle öffentlich zugänglichen Dokumentationen, d. h. sie können nur auf die Informationen zugreifen, die auch einem realen Angreifer zur Verfügung stünden.
Die Pen-Tester richten dann eine Testumgebung ein, die mindestens ein betroffenes Gerät enthält, eventuell mit einer Netzwerkverbindung. In einem komplexen Szenario umfasst das Setup die gesamte Systeminstanz, einschließlich von Cloud- oder Serverkonten.
Dieses Setup erlaubt es einem Tester, das Gerät durch verschiedene Onboarding- und Update-Flows zu führen, ohne die Produktivumgebung des Herstellers zu gefährden – wie das zum Beispiel beim Testen von ungültigen Eingaben der Fall ist, die an die Cloud übermittelt werden. Bei vielen gängigen vernetzten embedded Produkten gehören auch die mobilen Apps zum Pen-Test Setup. Schließlich braucht der Benutzer sie, um das Gerät zu handhaben.
Pen-Tester sind Sicherheitsprofis, deren Wissen und Fähigkeiten eher auf der offensiven Seite liegen. Das ist hilfreich, um das Verhalten eines realen Angreifers zu simulieren. Um eine vollständige Schwachstellenbewertung zu erstellen, werden die externen Eigenschaften des Produkts untersucht; hierunter fallen die Netzwerkschnittstelle und die gesamte Kommunikation, die darüber abläuft, sowie die internen Eigenschaften wie der Inhalt des Firmware-Images.
Die Tester suchen nach Möglichkeiten, das Produkt zu kompromittieren, angefangen von vergleichsweise milderen Angriffsvarianten wie Denial-of-Service und dem Offenlegen von Daten, über intrusive Wege einen unautorisierten Zugriff zu erlangen und die Kontrolle zu übernehmen bis hin zu dauerhaften Modifikationen der Gerätelogik oder dem Beschädigen von Daten und/oder der Logik in der Cloud.
Penetrationstests durch eine externe Gruppe von Testern oder ein darauf spezialisiertes Unternehmen haben gegenüber internen Tests etliche Vorteile. Einmal durch das gebündelte Fachwissen, und zum anderen durch die organisatorische Unabhängigkeit. Ein guter Testbericht deckt die Sicherheitsprobleme eines Produkts umfassend ab. Trotzdem kann er sich in der Praxis als unzureichend erweisen.
Zeitmangel und eigeschränkte Sicht
Da die meisten Penetrationstests in Black-Box-Umgebungen durchgeführt werden, konzentrieren sich die Tester oft auf die extern exponierten Komponenten eines Produkts, wie Web-Anwendungen und Remote-Login-Schnittstellen. Das geht meist auf Kosten der anfälligen internen Funktionsmerkmale. Dazu kommt, dass den Testern nur begrenzt Zeit zur Verfügung steht.
Nicht selten besteht der Ehrgeiz dann darin, möglichst eindrucksvolle Schwachstellen zu finden. Solche „Low Hanging Fruits“ konzentrieren sich aber zumeist auf Angriffe, die leicht durchführbar sind. Eine eingehende Analyse der einem Produkt zugrundeliegenden Sicherheitsarchitektur ist unter Umständen gar nicht im Interesse der Tester. Es sei denn, es handelt sich um Schwachstellen, die sich leicht ausnutzen lassen.
Ein weiterer Nachteil: Penetrationstests sind subjektiv und in hohem Maße von den Erfahrungen der jeweiligen Pen-Tester abhängig. Zwei verschiedene Teams werden nie ein und denselben Bericht erstellen. Die Ergebnisse sind immer auch das Resultat von Variablen wie der Expertise des Testers und den verwendeten Test-Tools.
Gute Penetrationstestteams verwenden automatisierte Tools, angefangen bei Portscannern wie z. B. nmap und weiterhin mit Tool-Suiten wie Metasploit oder Detectify. Automatisierte Tools erleichtern den anfänglichen Erkundungsprozess, erstellen ein Gesamtbild der Angriffsfläche eines Produkts, finden erste Einstiegspunkte für Angreifer und so weiter.
Software-Scan-Tools unterstützen Pen-Tester dabei, schwerwiegende Sicherheitsschwachstellen zu finden. Das sind beispielsweise bekannte Schwachstellen in Bibliotheken von Dritten und Open Source Code. Solche Scans führen fast zwangsläufig in Bereiche, die man gründlicher untersuchen sollte, oder sie verschaffen den Testern Zugang zur Codebase eines Produktes, die sich für weitere Angriffe ausnutzen lässt. Tools, die hier noch einen Schritt weitergehen, liefern differenzierte Ergebnisse und enthüllen auch tiefer liegende Architekturprobleme. Im Folgenden werden wir uns automatisierte Tools etwas genauer ansehen.
Unabhängige Sicherheits- und Compliance-Zertifizierungen
Pen-Testberichte lassen sich als Nachweis für eine unabhängige Zertifizierung verwenden. Wenn man Kunden allerdings von der Sicherheit eines Produkts überzeugen will, ist es in der Regel besser, die Zertifizierung über ein spezielles Verfahren zu erlangen. Einige Branchen und Märkte verlangen Zertifizierungen durch ein unabhängiges Labor und Standard-Compliance. Das ist besonders dann nachvollziehbar, wenn Sicherheit eine zentrale Rolle spielt.
Im Automobil-, Medizin- und Industriesektor ist Compliance über verschiedene Zertifizierungen gesetzlich vorgeschrieben. Wenn es aber um vernetzte, internetfähige Produkte, wie Embedded- oder IoT-Geräte, geht, sind die Compliance-Anforderungen im Bereich Cybersicherheit weit weniger klar definiert. Allerdings bringen Regulierungsbehörden zunehmend entsprechende Gesetze und Kennzeichnungssysteme auf den Weg.
In anderen Branchen ist eine Zertifizierung vielfach nicht zwingend vorgeschrieben. Dennoch verspricht sie bei zunehmend sicherheits- und datenschutzaffinen Kunden einen Wettbewerbsvorteil. Aus diesem Grund reichen Anbieter ihre Produkte häufig zur unabhängigen Zertifizierung ein.
Zertifizierungsprogramme für Cybersicherheit werden in der Regel um ein Standarddokument herum definiert. Die Bandbreite der relevanten Standards reicht von geschlossenen und proprietären Standards, die typischerweise von der zertifizierenden Organisation selbst entwickelt wurden (z. B. die UL-2900-Familie von Standards), über freie und offene Standards (z. B. die NIST-CMVP-Dokumente, ENISA- oder IoTSF-Standards) bis hin zu allem was dazwischen liegt (z. B. die Dokumente für ISA/IEC 62443, die nach einer E-Mail-Registrierung verfügbar sind).
Für jeden Standard muss der Anbieter in der Regel alle Anforderungen hinsichtlich von Verfahren und Technik umsetzen. So erwartet man von ihm, dass er detaillierte Nachweise vorlegt, aus denen hervorgeht, in welcher Weise das Produkt dem Standard entspricht oder wo es davon abweicht. Der Zertifizierungsprozess selbst verläuft sehr unterschiedlich.
Am einen Ende des Spektrums steht die Selbstzertifizierung, bei der ein Anbieter lediglich einen Fragebogen ausfüllen und die Antworten für potenzielle Kunden veröffentlichen muss. Am anderen Ende steht Compliance aufgrund einer Prüfung durch eine unabhängige Organisation. Dabei führt ein Labor eigene, umfassende Produkttests durch und überprüft die vom Anbieter eingereichte Dokumentation.
In beiden Fällen verbleibt ein Großteil der Beweislast beim Anbieter. Er liefert das Produkt und muss die dazugehörige Dokumentation erstellen. Der Entwicklungsaufwand ist beträchtlich. Dazu kommen die Kosten für die Zertifizierungsstelle und die beteiligten Labors oder Berater. Selbst nach einer erfolgreichen Zertifizierung können Folgekosten anfallen. Wird ein Produkt aktualisiert oder eine Produktlinie erweitert, muss nicht selten auch die Zertifizierung aktualisiert oder ganz erneuert werden.
Was genau Cybersicherheitsstandards beinhalten ist sehr unterschiedlich. Einige Standards widmen sich verstärkt der Dokumentation des Anbieters und dem Sicherheitsprozess selbst (einige schreiben sogar Penetrationstests oder die Verwendung automatisierter Tools zum Auffinden von Sicherheitsschwachstellen und bekannter Exploits zwingend vor), andere konzentrieren sich auf sichere Codierungstechniken. Noch technischere widmen sich der Gerätearchitektur und -konfiguration oder enthalten zumindest einige technische Kapitel.
Die meisten Standards halten ihre technischen Anforderungen auf einem relativ hohen Niveau. Allerdings formulieren nur wenige explizit technische Anweisungen wie man die Anforderungen am besten erfüllt (einige positive Beispiele sind die CIS-Benchmarks, DoD STIGs oder der AGL Security Blueprint). Für einen Anbieter ist es deshalb nicht ganz einfach, sein anfängliches Compliance-Niveau abzuschätzen, bevor er mit dem Zertifizierungsprozess beginnt. Das treibt die Kosten in die Höhe. Automatisierte Tools tragen dazu bei, Aufwand und Kosten zu senken.
(ID:47103349)
:quality(80)/p7i.vogel.de/wcms/b5/53/b553d1ce5c08cb9197aaf0cf4f0183fa/0109518660.jpeg "Mit einem Masterplan für alle Safety & Security-Standards und -Level kommt man schneller ans Ziel und kann seine Applikationen agiler weiterentwickeln. (© momius – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/9a/b39aa13cc05be9327f07e65ce13d19dd/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")