Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
8 l 2020 sicherheit & Datenschutz l Cyber Security l 43 IT-System eines Finanzunternehmens oder eines Dienstleistungsanbieters eingedrungen passiert in vielen Fällen erst einmal gar nichts Viele Opfer wissen deshalb nicht dass eine Zeitbombe in ihrem IT-System schlummert die Cyberkriminelle per Fernbedienung dann zünden wenn der Zeitpunkt für sie am attraktivsten erscheint Im E-Commerce wäre das etwa die Hauptverkaufssaison vor Weihnachten im Tourismus und in der Hotellerie die Phase einige Wochen vor den Sommerferien Aus gutem Grund kursiert unter Sicherheitsspezialisten das geflügelte Wort es gebe zwei Typen von Unternehmen Diejenigen die gehackt wurden und diejenigen die es nicht wissen Der drohende Schaden hängt dabei von der Angriffsstrategie ab Einige Angriffe zielen gar nicht auf den schnellen Profit manchmal geschieht die Infiltration durch Schadcode auch mit der Absicht ein IT-System auszuspionieren und die Kontrolle zu erlangen um eine spätere noch größere Attacke vorzubereiten Wichtig ist deshalb einen Schaden zum Beispiel durch geeignete Sicherheitsmaßnahmen möglichst zu begrenzen und Sicherheitslücken sofort nach Bekanntgabe durch Patches zu schließen Viele Unternehmen behandeln die Sicherheit der Web-Applikationen heute aber immer noch sehr stiefmütterlich auch weil diesem Angriffsvektor in der Vergangenheit keine große Relevanz zukam White Hat Security Spezialist für Applikationssicherheit und Tochterunternehmen von NTT hat herausgefunden dass zwischen dem Erkennen und Beheben von Schwachstellen im Durchschnitt 380 bis 390 Tage vergehen Damit setzen sich Unternehmen einem unkalkulierbaren aber auch völlig unnötigen Sicherheitsrisiko aus Risiko-Applikationen Als potenziell risikobehaftet gelten unter anderem Web-Shops aus der Open-Source-Community und Container-Technologien wie Docker Zwar gilt Open-Source-Software zurecht als innovativ und agil zudem ist sie für Anwender kostenfrei nutzbar Aber Sicherheitserwägungen genießen in der Open-Source-Gemeinde nicht unbedingt oberste Priorität NTT beispielsweise hat einen beliebten freien Web-Shop einem Sicherheitstest unterzogen mit unbefriedigendem Ergebnis Auch Container die ursprünglich zum performanten Aufsetzen von Testumgebungen konzipiert wurden sind unter der Perspektive strategischer Sicherheitsüberlegungen zurzeit noch nicht zufriedenstellend ausgereift Ein konzertiertes Bündel an Maßnahmen hilft IT-Systeme gegen Angriffe von außen zu härten Dazu gehören die korrekte Konfiguration etwa von Content-Management-Systemen und regelmäßig wechselnde Passwörter aber auch Web-Application-Firewalls IntrusionDetection-Systeme und die Micro-Segmentierung der firmeninternen Netzwerke Es empfiehlt sich die operationale IT im Backend gegen Schadcode aus dem Web ausreichend abzusichern um die Hürde gegen Eindringlinge möglichst hoch aufzustellen René Bader Lead Consultant Secure Business Applications bei NTT Security Division Sicherheitstipps für Web-Applikationen ❶ Sicherheits-Updates sofort aufspielen Ein zeitnahes Patch-Management für Web-Applikationen hat oberste Priorität Sie können ansonsten leicht zum Einfallstor für Hacker werden ❷ Präzises Zugangsund KonfigurationsManagement Zugriffsberechtigungen sollten genau geprüft und auf die Aufgaben des jeweiligen Mitarbeiters zugeschnitten werden Unter Sicherheitsaspekten ist weniger oft mehr Wo immer möglich sollten Passwörter durch eine starke Authentifizierung ersetzt werden ❸ Segmentierung der Netzwerkumgebung Unternehmen sollten Anwendungen und Infrastruktur in Segmente unterteilen so dass Bedrohungen isoliert werden und nicht auf andere Bereiche überspringen ❹ Security by Design Das Thema Sicherheit muss bei Architektur Entwicklung und Design von Anfang an mitgedacht werden Regelmäßige Sicherheitstests gehören zur Methodik einer agilen Software-Entwicklung Zudem sollten nur Anwendungen und Tools von Drittanbietern mit entsprechendem Nachweis genutzt werden ❺ Web Application Firewall WAF Eine WAF schützt Webanwendungen indem sie den Datenverkehr zwischen Webservern und Clients auf Anwendungsebene kontrolliert Sie filtert analysiert und überwacht den HTTP-Verkehr ❻ Regelmäßige Sicherheitstests Empfehlenswert ist regelmäßig die Unternehmens-IT auf Schwachstellen hin zu untersuchen die ScanErgebnisse entsprechend zu priorisieren und gegebenenfalls eine Anpassung der internen Prozesse und Kontrollen vorzunehmen Ohne Web-Anwendungen als Schnittstelle für Kunden und Partner ist heute kein Unternehmen mehr konkurrenzfähig Sie stehen zurzeit im Fokus der Cyberkriminellen und werden gerne als Einfallstor missbraucht um Kundendaten Sozialversicherungsnummern oder Kreditkarteninformationen zu erbeuten