Sicherheit beginnt bei Sicherheit: Wer sich gegen Kriminelle im Netz absichern will, sollte zunächst fundamentale Standards beachten.
Die Nachricht schlug im vergangenen Dezember ein wie eine Bombe: Über eine Milliarde Nutzerkonten des Internetriesen Yahoo waren gehackt worden und standen seit einem unbestimmten Zeitpunkt für den potenziellen Datendiebstahl offen.Es war das bisher größte bekanntgewordene Leck weltweit, wenngleich nicht das einzige.Wie lässt sich das verhindern? »Zunächst sollte jeder, der eine Seite ins Netz stellt, die grundlegenden Standards für sichere Webseiten kennen und sie bei der Programmierung beachten«, sagt Stefan Jahn, bei 3m5. zuständig für Datensicherheit.
Den international gültigen Standard hat das Open Web Application Security Project (OWASP) aufgestellt. »Diese Punkte kennt jeder Programmierer im Schlaf. Leider werden sie nicht immer beherzigt.« Das kann schlimme Folgen haben, denn ungewollte Programmierfehler verursachen massive Risiken in Unternehmen.Die Sicherheitslücke namens Heart Bleed beispielsweise führte beim Bekanntwerden im April 2014 fast zum Kollaps der kommerziellen Internetangebote.Ein Fehler im Quellcode der Verschlüsselungssoftware OpenSSL führte damals zu einem Problem bei der (eigentlich) geschützten Übertragung von Passwörtern und Bankdaten.OpenSSL wird von knapp 66 Prozent aller Webseiten verwendet und somit war fast jeder Internetnutzer davon betroffen.Zwar konnten schnell eingespielte Updates den Bug zügig beheben, aber die Sicherheitslücke existierte zu diesem Zeitpunkt schon seit zwei Jahren.In dieser Zeit konnten kriminelle Hacker die Kunden von Facebook, Google, Yahoo, Tumblr, Instagram, Web.de oder Dropbox theoretisch ungestört angreifen.
Endnutzer stehen beim Thema Cybersecurity vor einem besonderen Problem.Erstens lassen sich kompromittierte Webseiten oder Applikationen kaum von sicheren unterscheiden.Und zweitens können die Nutzer wenig dagegen tun, denn die Möglichkeiten zur Problembeseitigung befinden sich in der Regel außerhalb ihrer Reichweite.So liegt der Ball wieder im Feld der Dienstbetreiber, die im schlimmsten Fall mit dem Verlust ihrer wirtschaftlichen Basis rechnen müssen.
Es besteht also ein beiderseitiges Interesse, Risiken und Schwachstellen so schnell wie möglich aus der Welt zu schaffen.Doch Vorsorge ist sowieso besser als Nachsorge: Entwickler arbeiten deshalb mit Coding Guidelines, um Schwachstellen gar nicht erst entstehen zu lassen.Die Richtlinien beschreiben international anerkannte Konventionen zur Erstellung von Quellcode.Es gibt sie für verschiedene Programmiersprachen und sie zielen auf die Verständlichkeit und Wartbarkeit von Software ab.Einheitliche Coding Guidelines können in der Folge auch die Funktionssicherheit der Anwendungen erhöhen.Das Gerüst bildet die Norm ISO/IEC 9126 zur Standardisierung von Softwarequalität.
Ein weiterer Schritt zur Verbesserung der Internetsicherheit ist das Prüfen von Webseiten und Apps.Mit einem sogenannten Penetrationstest wird dabei ein böswilliger Angriff auf die vitalen Bereiche beispielsweise einer Webapplikation oder eines Firmennetzwerks simuliert.Der klassische Penetrationstest besteht üblicherweise aus zwei Teilen, einem externen Black-Box-Test und einem internen White-Box-Test.Bei ersterem wird ohne Wissen des Kunden und der zuständigen IT-Techniker das Netzwerk von außen nach
Sicherheitslücken durchsucht.Zum Einsatz kommt dabei spezielle Testsoftware.Wird eine mögliche Schwachstelle entdeckt, gehen die Versuche, ins System einzudringen, manuell weiter.Bei den White-Box-Tests arbeiten die Prüfer dagegen mit den ITSpezialisten des Unternehmens oder der Behörde zusammen und analysieren anhand von Netzwerkplänen, Security Policies und weiteren Unterlagen die betriebsinterne Sicherheit.Nach dem Penetrationstest folgen eine ausführliche Dokumentation und – im besten Falle – die schnellstmögliche Fehlerquellenbeseitigung.
WEBAPPLIKATIONEN
1 Injection
2 Fehler bei der Authentifizierung und im Session-Management
3 Cross-Site Scripting (XSS)
4 Unsichere direkte Objektreferenzen
5 Sicherheitsrelevante Fehlkonfiguration
6 Verlust der Vertraulichkeit sensibler Daten
7 Fehlerhafte Autorisierung auf Anwendungsebene
8 Cross-Site Request Forgery (CSRF)
9 Nutzung von Komponenten mit bekannten Schwachstellen
10 Ungeprüfte Um- und Weiterleitungen
MOBILE APPLIKATIONEN
1 Unsachgemäße Plattformverwendung
2 Unsichere Datenspeicherung
3 Unsichere Kommunikation
4 Unsichere Authentifizierung
5 Unzureichende Kryptografie
6 Unsichere Autorisierung
7 Ungenügende Clientcode-Qualität
8 Quellcode-Manipulation
9 Reverse Engineering
10 Fremdfunktionalität
Ab nach Sydney: Sechs Schülerinnen und Schüler eines Dresdner MINT-Gymnasiums vertreten Deutschland beim internationalen Finale des Wettbewerbs. Wir sponsern die Reisekosten.
Neos ist ein Open Source CMS, das von der Entwickler-Community lebt. Damit das CMS sich stetig weiter entwickeln kann, benötigt es viel Unterstützung. 3m5. leistet seinen Beitrag und ist nicht nur Platinum-Sponsor, sondern beteiligt sich auch in der Konzeption und Programmierung. Vom 04.10.2022 – 07.10.2022 fand in diesem Jahr der Neos-Sprint in Hamburg statt. Zwei unserer Entwickler waren mittendrin, statt nur dabei und programmierten fleißig mit am Neos Core.
Plugins sind nützliche Erweiterungen, die in der Entwicklung Zeit und Geld sparen. Die beliebstesten für das Neos CMS stellen wir Ihnen hier vor.