:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Automatisierte Schwachstellen-Scans für objektive Ergebnisse
Es gibt viele Arten von automatisierten Tools, die jeweils unterschiedliche Aspekte der Produktsicherheit überprüfen. Es existiert eine Reihe von Tools, die das gesamte IoT-Ökosystem abdecken, also eingebettete, Cloud-, Web- und mobile Komponenten.
Einige verwenden den dynamischen Ansatz, bei dem ein aktives Gerät über das Netzwerk gescannt wird, um den Sicherheitsstatus hinsichtlich von Webserver und Kommunikation zu diagnostizieren. Andere verwenden den statischen Ansatz, bei dem der Quellcode oder das Binary Image eines Geräts gescannt werden.
Dynamische Tools brauchen ein aktives Gerät. Dahingehend sind statische Tools flexibler. Sie benötigen nur eine Datei, die über ein Web-Interface heruntergeladen wird. Ein weiterer Unterschied besteht darin, dass dynamische Tools auf das externe Verhalten des Geräts limitiert sind, während statische Tools auch sein Innenleben untersuchen.
Statische Tools decken sichere Codierungspraktiken ab, finden bekannte Sicherheitsschwachstellen und Exploits, identifizieren potenzielle Zero-Day-Schwachstellen und zeigen sogar verschiedene Konfigurations- und Architekturprobleme auf den untersten Anwendungsebenen (Bootloader und Betriebssystem-Interna) bis hin zu den oberen Ebenen auf. Ein gut entwickeltes Tool kann Hunderte oder sogar Tausende von einzelnen Scans oder Tests durchführen.
Dabei haben statische Tests den Vorteil, dass sie in wenigen Minuten die Art von Ergebnissen liefern, für die Penetrationstester manuell Tage oder Wochen brauchen würden. Der gesamte Testprozess verläuft automatisch und wird nahtlos in einen kontinuierlichen Integrations- beziehungsweise Entwicklungsfluss integriert. Dabei kann man potenziell jedes Produkt und jede Version scannen – ohne Automatisierung an sich schon ein unmögliches Unterfangen.
Tools sind wiederverwendbar und objektiv
Solche Tools zu entwickeln ist mit Kosten verbunden, denn jede einzelne Scan-Funktion muss auf jedes Betriebssystem portiert und die Abdeckung für jeden Dateisystemtyp und jede Softwarekomponente hinzugefügt werden. Hat man den Aufwand aber einmal betrieben, zahlt er sich aus. Denn die Scanner kann man immer wieder einsetzen, und sie erlauben eine schnelle On-Demand-Analyse.
Wer ein gutes, automatisiertes Tool für Schwachstellen-Scans anbieten will, der investiert oft jahrelang in Forschung und Entwicklung, an der im Übrigen auch Penetrationstester maßgeblich beteiligt sind. Die Expertise von solchen Forschungsteams fließt in die Analyse von Produkten, Plattformen und Softwarekomponenten ein. Umgekehrt liefern diese ihrerseits Erkenntnisse, die den Weg zurück in die Entwicklung automatisierter Scanner finden.
Im Gegensatz zu einem manuell erstellten Bericht eines Pen-Testers hat die Automatisierung noch einen weiteren Vorteil: sie ist objektiv. Ein und dasselbe Tool liefert immer objektive Ergebnisse zu einem Gerät oder einer Softwarekomponente. Ein Aspekt, der automatisierte Tools für externe Zertifizierungen sehr hilfreich macht.
Dazu kommt, dass solche Tools auch externe Standards beinhalten. Sie analysieren beispielsweise die Firmware eines Geräts und geben einen Defizitbericht in Bezug auf einen bestimmten Standard aus. Der gibt Aufschluss über den nötigen Zeit- und Arbeitsaufwand, um diesen Compliance-Anforderungen zu entsprechen. Das lässt sich in der Regel in wenigen Minuten erledigen, während der gleiche Prozess, manuell durchgeführt, Wochen für die Dokumentation und Analyse in Anspruch nehmen würde.
Sicherheitsprüfung – ein Must-Have
Sicherheitsprüfungen sind notwendig, daran besteht kein Zweifel, aber es gibt verschiedene Wege. Manuelle Methoden erzielen hervorragende Ergebnisse, erfordern aber ein engagiertes und entsprechend ausgebildetes Team sowie Zeit und Aufwand. In einigen Fällen führen sie trotzdem zu verzerrten Ergebnissen. Insbesondere dann, wenn ein Auftraggeber die Anreize falsch gesetzt hat.
Der Markt für vernetzte internetfähige Geräte (IoT) ist hoch dynamisch. Umfangreiche Produktlinien, viele unterschiedliche Varianten und eine möglichst schnelle Markteinführung sind die Regel. Anbieter sollten deshalb automatisierte Tests gegenüber manuellen in Betracht ziehen.
Die unabhängige Zertifizierung hat ihre eigenen Nachteile, vor allem hohe Kosten und langwierige Arbeitsprozesse und gegebenenfalls Aktualisierung oder gar Neuzertifizierung. Andererseits kommt man in bestimmten Märkten um eine unabhängige Zertifizierung nicht herum. Je nach Art und Umfang ist sie vermutlich der tauglichste Indikator für ein sicheres Produkt und liefert somit einen Wettbewerbsvorteil. Automatisierte Tools unterstützen auch unabhängige Zertifizierungen.
Der beklagenswerte Sicherheitslevel vieler IoT-Produkte schafft es regelmäßig in die Schlagzeilen. Aber inzwischen sind die Regulierungsbehörden hellhörig geworden und mischen bei den Vorgaben zu Sicherheitsstandards kräftig mit. Sicherheitsprüfungen sind folglich unabdingbar. Automatisierte Tools erlauben eine detaillierte Sicherheitsprüfung, On-Demand und für eine breite Palette von vernetzten Produkten. Das wird den Anteil solcher Tools innerhalb von Sicherheitsprüfungen weiter steigen lassen.
* Harry Zorn ist Vice President EMEA bei Vdoo.
(ID:47103349)
:quality(80)/p7i.vogel.de/wcms/b5/53/b553d1ce5c08cb9197aaf0cf4f0183fa/0109518660.jpeg "Mit einem Masterplan für alle Safety & Security-Standards und -Level kommt man schneller ans Ziel und kann seine Applikationen agiler weiterentwickeln. (© momius – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/9a/b39aa13cc05be9327f07e65ce13d19dd/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")