:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/32/58/3258b4502d485b3badcf393daf037698/0118433379.jpeg "Derzeit gibt es eine große Anzahl von malware-verseuchten Repositories auf Docker Hub. (Bild: donald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/c5/eec54cec9c7a219a3ed62042db71e084/0118151065.jpeg "Die verbreitetsten und beliebtesten Cloud-Native-Projekte unter Schirmherrschaft der CNCF. (Bild: CNCF)")
:quality(80)/p7i.vogel.de/wcms/8c/1b/8c1befa60ff518845ad692c9de0db30c/0113715722.jpeg "Alle Zeichen deuten auf Anwendungsvirtualisierung und Kubernetes: Die Software-Bereitstellung dürfte in naher Zukunft deutlich Container-lastiger werden, (Bild: <u><a target="_blank" href="https://unsplash.com/@growtika">Growtika</a></u>)")
:quality(80)/p7i.vogel.de/wcms/8e/b3/8eb34e2abe20465041e396063e8d39b5/0118088468.jpeg "Künstliche Intelligenz kann in Testing und Qualitätssicherung gleich an mehreren Stellen tätig werden. (Bild: sompong_tom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/59/d859a4bcea4e775772b78767789646e7/0117717484.jpeg "Report eines Testdurchlaufs mit dem Robot Framework. (Bild: Lang / Robot Framework)")
:quality(80)/p7i.vogel.de/wcms/95/0d/950dd2218249e3c616e1666c30c8548a/0117578309.jpeg "Die Log4j-Schwachstelle zeigte mit Blick auf die Sicherheit von Open-Source-Projekten sowohl Vor- als auch Nachteile. (© Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/dd/97ddc917ccc52db20fcb3cbdebe916f1/0118360337.jpeg "Ablauf des typischen CrashLoopBackOff-Zustands in Kubernetes. (Bild: Groundcover)")
:quality(80)/p7i.vogel.de/wcms/f1/9d/f19deb033fc3094112887ccba347e548/0118171860.jpeg "In TypeSpec kommt eine an TypeScript und C# angelehnte Syntax zum Einsatz, ergänzt durch Editor-Tools für Visual Studio und VS Code. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/72/2e7289e13f9938285540e96be53cc098/0117654091.jpeg "Nebenläufigkeit, mehr Performance, bessere Fehlerbehandlung: Das für September geplante Upgrade auf Swift 6 verspricht einige Optimierungen. (Bild: <u><a href=https://pixabay.com/users/stocksnap-894430/>StockSnap</a></u>)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/fb/0e/fb0ec038774b9939f8180f811b62645d/0118117596.jpeg "In vielen IT-Bereichen sind Cross- und Upskilling die bevorzugten Methoden, um für die benötigte Expertise im Unternehmen zu sorgen. (Bild: Linux Foundation)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Software Security muss unkompliziert sein Softwaresicherheit durch Monitoring erhöhen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Das Thema Software Security ist zu einem wichtigen Faktor in der IT-Administration geworden. Sicherheitsprobleme in eingesetzten Betriebssystemen und Programmen gefährden das Firmennetzwerk. Ein automatisiertes Monitoring der Netzwerkkomponenten und eingesetzter Software können das Risiko entschärfen. Wichtig ist dabei die einfache Handhabung im Alltag.
Angriffe von Cyber-Kriminellen bedrohen Unternehmen und öffentliche Einrichtungen aller Art. Dabei macht es häufig die Masse – Mails mit potenziell schadhaften Anhängen finden sich heutzutage beinahe täglich in E-Mail-Postfächern von Mitarbeitern. Aber auch das automatisierte Scannen von Netzwerken auf Schwachstellen gehört zum Repertoire von Angreifern.
Datendiebstahl, Erpressungen mit Verschlüsselungs-Trojanern und Störungen des Betriebs durch Denial-of-Service-Angriffe sind mögliche Motive. Intrusion-Detection-Systeme und Firewalls helfen bei der Absicherung der internen IT-Infrastruktur. Ebenso wichtig ist es, die eingesetzte Hard- und Software im Blick zu behalten. Sicherheitslücken in genutzten Programmen oder verbauten Komponenten machen ein eigentlich gut abgesichertes Netzwerk angreifbar.
Software-Security-Standards nach Maßgabe des BSI
Die einschlägigen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellen eine Orientierungshilfe für die Lebenszyklen der Softwareentwicklung dar. Sie beschreiben Kriterien der Auswahl einer geeigneten Umgebung für den Entwicklungsprozess, die Festlegung eines Vorgehensmodells und Standards für Qualitätssicherung sowie Dokumentation. Auch Hinweise für ein sicheres Systemdesign sind enthalten. Diese umfassen etwa die Pflicht zur Prüfung von eingegeben Daten vor der Weiterverarbeitung, die Maßgabe, Software grundsätzlich nicht mit erhöhten Rechten ausführen zu lassen und die Vorgabe sicherer Authentifizierungsmechanismen.
Weitere grundlegende Empfehlungen der Software Security betreffen die Auswahl von externen Bibliotheken aus vertrauenswürdigen Quellen sowie begleitende Sicherheitstests. Essenziell ist zudem die Bereitstellung von Sicherheitspatches und Updates durch den Softwareentwickler. Gerade in diesem Kontext sollte der Einsatz freier Anwendungen im professionellen Umfeld unter dem Gesichtspunkt der Software Security regelmäßig kritisch geprüft werden.
Secure-Software-Development ist nur die Basis
Softwaresicherheit, Software-Maintenance und Anwendungssicherheit benötigen mehr als die sichere Entwicklung. Diese stellt nur eine Basis für die Software Security dar. Update-Zyklen werden zunehmend kürzer. Gleichzeitig suchen Cyber-Kriminelle nach neuen Wegen, um angreifbare Elemente zu lokalisieren.
Ein Schwerpunkt ist dabei der Faktor Mensch, dem es durch ausgefeilte E-Mails oder Anrufe im stressigen Alltag schwer gemacht wird, zwischen echten Nachrichten und solchen, die zum Ausführen schadhafter Aktionen animieren sollen, zu unterscheiden. Software Security läuft in diesem Fall ins Leere, wenn Mitarbeiter in gutem Glauben Schadsoftware ausführen oder schützenswerte Informationen preisgeben. Hier helfen nur Aufklärung und regelmäßige Sensibilisierung.
Ein anderer Angriffsvektor sind Netzwerk-Komponenten, die häufig nicht so im Fokus stehen, etwa Router oder netzwerkfähige Drucker. Aus diesem Grund sind die möglichst lückenlose Erfassung aller IT-Assets und ein systematisches Patch-Management von essenzieller Wichtigkeit. Das softwarebasierte IT-Asset-Management wird zunehmend alternativlos. Dabei ist ein möglichst hoher Grad an Automatisierung anzustreben, denn manuelle Kontrollen sind gleichermaßen zeitintensiv wie auch fehleranfällig.
CVE-Datenbank und aktuelle Berichterstattung
Die aktuelle Lage der Software Security im Blickfeld zu behalten, gehört zu den Aufgaben der IT-Verantwortlichen eines Netzwerks. Inzwischen schaffen es Sicherheitslücken in populären Anwendungen in die Berichterstattung der allgemeinen Medien. Zumindest aber Fachportale veröffentlichen in der Regel zeitnah bekanntgewordene Schwachstellen.
Darüber hinaus bietet die Datenbank der Common Vulnerabilities and Exposures (CVE) eine Übersicht aktueller Software-Sicherheitslücken. Darin erhalten ausnutzbare Fehler, sogenannte Exploits, eine eindeutige CVE-Nummer. Auf diese Weise wird die einheitliche Bezeichnung und Verarbeitung bestimmter Exploits möglich. Zuständig für die Verwaltung ist die amerikanische Non-profit-Organisation Mitre Corporation.
Sicherheitslücken finden, bevor es andere tun
Das BSI empfiehlt, die Sicherheit im eigenen Netzwerk regelmäßig in Penetration-Tests auf den Prüfstand zu stellen. Mögliche Varianten sind sogenannte Blackbox-Tests, bei denen die Sicherheitsexperten keine spezifischen Informationen zur Verfügung gestellt bekommen und Whitebox-Tests, für die zuvor umfassende Daten über die zu testende Umgebung bereitgestellt werden. Bei der Durchführung versuchen Penetration-Tester, mittels aktueller Angriffsmethoden Zugang zum System des geprüften Unternehmens zu erlangen. Erfasst sein sollen neben Server und Clients insbesondere auch Netzkoppelelemente, Telekommunikationsanlagen und Infrastruktureinrichtungen, etwa zur Gebäudesteuerung.
Ein separates Feld der Software Security ist der Code Review, also die Untersuchung von verwendetem Quellcode, als Bestandteil der Qualitätssicherung beim Entwickler. Nach Abschluss des Penetration-Tests erhalten Verantwortliche eine detaillierte Dokumentation, aus der sich, sofern erforderlich, idealerweise Handlungsempfehlungen zur Absicherung des Netzwerks ableiten lassen.
Praxisnahe Implementierung durch kommerzielle Anbieter
Voraussetzung für die Beurteilung der Sicherheit im eigenen Netzwerk und der Software Security ist eine lückenlose Dokumentation eingesetzter IT-Assets. Hierfür gibt es spezialisierte Software, mit der eine Erfassung und Verwaltung möglich werden. Dabei sind unterschiedliche Ansätze denkbar. Ein generalistisches Konzept verfolgt der Schweizer Anbieter Timly mit seiner Inventarsoftware. Diese wird als cloudbasierter Dienst angeboten und ermöglicht es, mittels flexibler Vorlagen stark unterschiedliche Assets einheitlich zu erfassen. Dadurch lassen sich grundsätzlich alle erdenklichen Hardware-Elemente und installierte Anwendungen verwalten. Die Stärke der Software liegt in den umfassenden Verknüpfungsmöglichkeiten, mit denen beispielsweise Verbünde aus PC-Arbeitsplätzen, aber auch ganzen Räumen gebildet werden können. Dadurch werden Gegenstände der Peripherie, die ansonsten bei der Betrachtung aus Sicherheitsaspekten womöglich eher vernachlässigt würden, in den Fokus genommen.
Für veränderliche Parameter der Software Security ist so allerdings Handarbeit angesagt. Daher wurde durch die Entwickler eine Schnittstelle zur IT-Asset-Management-Software Lansweeper geschaffen, die eine automatische Detektierung auf Basis von Netzwerkprotokollen oder installierter Clientsoftware im Netzwerk durchführt. Erkannt werden dabei auch Details verwendeter Betriebssysteme und Anwendungen.
Im Hintergrund erfolgt ein Abgleich mit der CVE-Datenbank. Wird ein Sicherheitsproblem erkannt, erhalten Verantwortliche eine Meldung. Für besonders schwerwiegende Vorfälle besteht die Möglichkeit, automatisierte Aktionen – etwa die Deaktivierung einer Software – vorzunehmen. Datenbestände aus Lansweeper lassen sich in Timly einbinden, wodurch Informationen zu Hard- und Software auf einer Plattform zusammengeführt werden.
Fazit: Software Security verlangt Aufmerksamkeit
Software Security bleibt ein Dauerthema, dem Aufmerksamkeit geschenkt werden muss. Systeme zur Intrusion-Detektion und zum Monitoring eingesetzter IT-Assets sind ein wichtiges Hilfsmittel, um das Schutz-Niveau zu steigern. Am Ende macht es die Kombination aus nötiger Aufmerksamkeit und Automatisierung von grundlegenden Aufgaben, die im Alltag ansonsten womöglich vernachlässigt würden.
Über die Autorin: Jennifer Ritz arbeitete nach ihrem Staatsexamen für Gymnasiallehramt in Germanistik und Anglistik an der Universität Heidelberg, fünf Jahre lang für Deutschlands erfolgreichstes Börsenmagazin, finanzen.net. Seit April 2023 ist sie für die Timly Software AG als Senior Content Marketing Manager tätig und kümmert sich um die deutsche und englische Kommunikation.
(ID:49912994)
:quality(80)/p7i.vogel.de/wcms/12/7a/127aa47b6c1a3302e77ea8871dbb0d28/0116236162.jpeg "Werden IT-Asset-Management-Lösungen per API mit Tools zur Inventarverwaltung gekoppelt, entsteht das Maximum an Management- und Verwaltungsmöglichkeiten für IT-Assets. (Bild: © puhhha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/9a/b39aa13cc05be9327f07e65ce13d19dd/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")